IT管理ソフトウェアを提供するKaseya社は、2021年7月3日、自社のサイトで『巧妙なサイバー攻撃の被害に遭った』と発表しました。このサイバー攻撃の原因となったサーバーの脆弱性を修正するためのパッチが同社から発行されていますが、このハッキングにより世界中の何百もの企業や組織がランサムウェアによる影響を受けています。
本記事では、Kaseya社の『史上最大のランサムウェア攻撃』と呼ばれるまでに拡大したサイバー攻撃の概要をご紹介し、被害拡大を防止するために必要だと考えるゼロトラスト ・アーキテクチャについてご紹介します。
事件の概要
マイアミに本拠を置くKaseya社は、Virtual System Administrator(VSA)というサーバーを利用してクライアントにネットワーク上のコンピューターへのリモートコントロールアクセスを提供しています。ハッカーは、VSAサーバーのいくつかの脆弱性を利用してランサムウェアを配布したと、Kaseya社の広報担当者は述べています。
被害にあったKaseya社のクライアントの中には、マネージドサービスプロバイダー(MSP)経由で被害を受けることが、この事件を大きくした要因になりました。つまり、Kaseya社のVSAをターゲットにした、いわゆるサプライチェーン攻撃により、より多くのコンピューターをランサムウェアに感染させるバックドアを開くことになってしまったのです。
2021年7月5日、Kaseya社はランサムウェア攻撃を受けた可能性のある企業は全体で1,500社以下であると発表しました。これらの企業の多くは、消費者に直接関わることの少ない中小企業ですが、スウェーデンのスーパーマーケットチェーン『Coop』は、この攻撃のために週末に一部の店舗の閉鎖を余儀なくされました。
今回のサイバー攻撃では、ロシアを拠点に犯行を重ねるランサムウェアグループ『REvil』を名乗るハッカーが犯行声明を出しています。REvilは、広範囲にわたるハッキングで影響を受けたすべてのシステムを解除するために7,000万ドルを要求しましたが、ウォール・ストリート・ジャーナルの記事によると、被害を受けた企業が2万5,000ドルから500万ドルの間で直接個別に身代金を支払うことができるとも述べているとのことです。そのうち、身代金を支払った、もしくは支払う予定の企業がどれくらいあるのかは不明でしたが、7月22日にKaseya社は復号鍵を入手し、被害を受けた企業への対応を進めていると発表しました。また、7月26日には、顧客のネットワークの復号鍵を得るための身代金を払わなかったことが明らかになっています。
REvilは2時間以内でランサムウェアを展開させた
Dark Readingの記事によると、REvilの攻撃者が、Kaseya社の脆弱なVSAサーバーの悪用からMSPを経由したエンドポイントの企業にランサムウェアを展開する攻撃を自動化したことで、攻撃を検知してブロックできる時間は非常に限られていたようです。
時系列で表すと以下のようになります。
Kaseya社のVSAサーバーへの攻撃に使われた脆弱性のうち、少なくとも1つを発見したオランダの Dutch Institute for Vulnerability Disclosure(DIVD)のデータによると、当初は約2,200台の脆弱なVSAサーバーがインターネットに接続されていたといいます。Kaseya社からの警告や回避策がなければより多くのMSPが侵害され、被害はもっと拡大する可能性がありました。
このような脅威を捉えるためには、頻繁にモニタリングとアラートを実行する必要がありますが、それらを実行するリソースや人材を確保するのは容易ではありません。
ブラインドトラストからゼロトラストへ
ランサムウェア攻撃などのサイバー攻撃に対処するためにゼロトラスト ・アーキテクチャを適用することが重要だと考えています。特にソフトウェアやITサービスなどを提供する企業は、自社製品への適用は急務なのではないでしょうか。
ゼロトラスト・アーキテクチャとは
ゼロトラスト ・アーキテクチャ(ZTA)は、ゼロトラストの概念を利用し、コンポーネントの関係、ワークフロー
計画、アクセスポリシーなどを含むサイバーセキュリティ計画のことである。従って、ゼロトラスト企業とは、
ゼロトラスト ・アーキテクチャ計画の産物として、組織のネッ各MSPもベンダーであるKaseya社のセキュリティ運営に依存する、ネットワークインフラストラクチャ(物理的および仮想的)と運用ポリシーを指す。
今回のKaseya社の事件を振り返ると、VSAサーバーを直接利用するMSP60社だけが危険に晒されただけでなく、そのMSPサービス経由で少なくとも1,500社が影響を受けた可能性があるとされています。一般的にこれらの企業は中小企業のため、専門的なIT知識を備えておらず、自社のサイバーセキュリティを含めたITシステム運用をMSP業者に依存する傾向があります。しかし、この事件ではエンドユーザーだけでなくMSP業者でさえ無条件にVSAサーバーを信用するという「ブラインドトラスト」の状態に陥っていたことも被害を拡大させた一因だと考えています。
攻撃者にインターネットに繋がっているサーバーに侵入されてしまえば、もはやパソコンを守る方法はないと言えます。そのため、ITサービスを提供する側は顧客をサイバー攻撃から守ることにその責任をおき、そして利用する側も自社の情報資産を守るために「ブラインドトラスト」から「ゼロトラスト」にシフトし進化する必要があると考えています。このシフトは簡単なことではありませんが、攻撃の拡大を抑えられないことは明らかであり、アクセスされている全てのものを疑い、不確実性を最小限に抑えた運用が重要なのです。
最後に
今回はKaseya社への事件を挙げ、ランサムウェア攻撃の被害を最小限に抑えるために実施できる対策をご紹介しましたが、アメリカだけでなく日本の企業もまた新型コロナウイルスの影響によって、リモートワークを継続していくことを考えると、ゼロトラストへのシフトが急務なのではないでしょうか。
実際にIT管理資産ツールを提供するIvanti Softwareのサイバー攻撃に関する実態調査によると、日本企業の約50%が1年以内に自社がフィッシングやランサムウェア攻撃の被害にあったと回答しています。
私たちISRは、経営理念に「全力でお客様の情報資産を守る」を掲げ、CloudGate UNOにてゼロトラストMFA(FIDO認証や生体情報を使った本人検証で突破されにくい強固な認証)、そしてゼロトラストSSO(クラウドサービスにアクセスする度に確認/認証)の提供を通じ、このようなサイバー攻撃から企業の情報資産を守っていきたいと考えています。
