ITの世界がおかしくなっています。アメリカの独立記念日の週末に、ReVilランサムウェアがリモートモニタリング・マネジメント(RMM)ソフトウェアであるKaseyaへの感染に成功しました。Kaseyaが、世界中で使用されているMSPのトップRMMツールの1つであることを考えると、サプライチェーン攻撃は非常に大きな影響を及ぼしました。現在までに、70社のMSPが影響を受け、世界中で1,500以上の企業がランサムウェアの被害に遭いました。
事件の経緯
サービスとしてのランサムウェア(RaaS)モデルは、新しい枠組みではありません。悪意のある開発者が自らランサムウェアを配布するのではなく、他の開発者を募り、サービスとして販売することでランサムウェアを配布します。つまり、彼らの努力の結果として支払われる身代金要求は、ディストリビュータと作成者の間で分配されることになります。
このケースでは、Kaseyaのネットワークにはパッチが適用されていないセキュリティホールがありました。このようなセキュリティホールがあったからこそ、サイバー犯罪者はネットワークに侵入し、ランサムウェアを顧客に配布することができたのです。その結果、ランサムウェアはサプライチェーンを経由してMSPの顧客にも感染してしまいました。
このランサムウェアは、Kaseyaのオンプレミス版を使用していたMSPにのみ影響を与えました。したがって、潜在的な被害者の数は大幅に減少しました。もしサイバー犯罪者がクラウドベースのKaseyaユーザをターゲットにしていたら、その数ははるかに大きくなっていたでしょう。
Kaseyaからの学び
MSPが狙われたのは今回が初めてではありません。2019年に、あるMSPが非公開のランサムウェアの亜種に襲われ、2,000人の顧客が影響を受け、MSPは260万ドルの身代金要求に直面しました。
Kaseyaの攻撃は、さらに一歩進んだものでした。サプライチェーンのレベルが1つ上がったことで、はるかに多くのMSPが感染しました。影響を受けたMSPのリストは、その顧客の数と同様に増加し続ける可能性があります。セキュリティホールの通知を受けてから、Kaseyaは直ちにアップデートを開始しましたが、残念ながら、そのスピードは十分ではありませんでした。
次のKaseyaにならないための秘訣は簡単です。積極的になることです。
もしKaseyaが自社のセキュリティ脆弱性にパッチを当てていたら、この攻撃は決して入り込むことはなかったでしょう。もし彼らがセキュリティホールについて知らなかったとしたら?Kaseyaは、RMMゲームの主要なプレーヤーです。定期的に脆弱性ソフトウェアでネットワークをテストすれば、どのような穴が悪用されるかを明らかにすることができます。その時点で、Kaseyaはそれらをパッチするために必要な措置を取ることができます。最後に、現在のセキュリティスタックの上にアプリケーションホワイトリストソリューションを重ねることで、未知の脅威が実行されるのを防ぐことができます。アプリケーションホワイトリストのアプローチは、既知の、そして証明された安全なアプリケーションの実行のみを許可します。このアプローチにより、被害に遭うリスクが大幅に軽減されます。
積極的に行動する。脆弱性テストでネットワークにセキュリティホールがないかを確認し、それに応じてパッチを当てる。アプリケーションホワイトリストのようなデフォルトディナイのアプローチをセキュリティに重ねて、次のKaseyaにならないようにしてください。
