Kaseya VSAユーザーがランサムウェアの被害から逃れるために

米国子会社AppGuard Inc. の組織Malware R&Dチームによるブログの抄訳
著者：Erik Iverson, AppGuard Inc.

IT管理サービス「Kaseya VSA」ユーザーがランサムウェアから身を守るためにはどうすればよいか

Kaseya社より「Kaseya VSA製品は、残念ながら洗練されたサイバー攻撃の犠牲になっています」との声明が発表されました。ロシアのハッカーグループとして知られるREvilは、SQLi（SQLインジェクション）の脆弱性と認証バイパスを利用して、Kaseya VSAのオンプレミス展開を乗っ取りました。その結果、多数の企業やMSP（マネージドサービスプロバイダ）の顧客によって保有される数知れないほどのラップトップ、デスクトップ、およびサーバーが、身代金のためにファイルを暗号化される結果となりました。
このような壊滅的な被害をもたらすサイバー事件から、改めて学ぶべき教訓があります。外部からのデータを利用するアプリケーションは、攻撃者に乗っ取られるリスクをもたらします。すべての企業のIT/Sec-Ops担当者は、このような攻撃が成功しないようにリスクの高いとされるアプリケーションを封じ込める制御 を適用しなければなりません。

オンプレミス環境の Kaseya VSA

Kaseya VSA は、リモートIT管理 (RMM) ソリューションです。IT 管理者やネットワーク管理者が企業コンピューティングデバイスに対し、次のようなことができるようになります。
・ソフトウェアのインストール
・パッチマネージメント
・バックアップの管理
・他のIT プロセスを自動化
・リモートによるITサポート

このようなツールには、各コンピューティングデバイス上で特権 を持つソフトウェアエージェントが必要となります。各コンピューティングデバイス上の個々のエージェントは悪用されませんでした。2台以上のサーバー上で動作するKaseya VSAソフトウェアが侵害され、エージェントに悪意のあるソフトウェアをインストールして実行するよう指示しました。

一方クラウドサービスにおけるKaseya VSAですが、これらも各コンピューティングデバイスで実行されるエージェントに依存しますが、クラウドサービスにおける エージェントはKaseyaによって指示されています。Kaseyaは、これらの顧客が今回の攻撃の影響を受けたことはないというステートメントを発表してます。

この種のサイバー攻撃によるリスクを軽減するために経営者が知っておくべきこと

この攻撃の詳細を調査していくと、SQLインジェクションや認証バイパスなどという単語がでてきますが、これらは、攻撃を成立させるための手段にすぎません。何らかの方法で、攻撃者はインフラ内の重要なアプリケーションを乗っ取り、攻撃の踏み台として利用します 。すべての企業が全体にわたって使用すべきセキュリティ管理策には、封じ込めと隔離という種類があります。封じ込めとは、リスクの高いと思われるアプリケーションが、それをホスティングしているほかのエンドポイントにできることを制限します。隔離とは、同じホスト上にあるアプリケーションやオブジェクトに対して、他のエンドポイントが何をしたり、何を奪ったりできるかを制限するものです。
この攻撃では、乗っ取られたKaseya VSAアプリケーションが本来書き込むべきでない場所に書き込もうとすると、封じ込める制御がリアルタイムでこれらのアクションをブロックすることが可能です。またこの攻撃は、同じホスト上の異なるアプリケーションをハイジャックして、それを利用してKaseya VSAのようなアプリケーションに悪意のあるコードを書き込んだり、注入したりします。隔離制御は、これらのアクションをリアルタイムでブロックするでしょう。
上記で述べた管理策と同じことができる別のアプローチがあります。それは、実行前と実行前後の両方の機能を実行するアプリケーション統制ツールを使用することです。実行前後というのは、Kaseya VSAのようなアプリケーションのために、たくさんの読み取りと書き込みのルールを実行することを意味します。残念ながら、ルールの設定は非常に複雑で、アプリケーションが変更されるたびに作成し、最新の状態に保つための工数が必要とされます。実行時アプリケーションコントロールツールを実装している企業は非常に少なく、5%以下、おそらく1%以下でしょう。

AppGuardがあればKaseya VSAの乗っ取りを避けることができたはず

封じ込めおよび隔離のセキュリティ管理策を簡単に実装・維持、また効果的に運用できるベンダーはおそらく存在しないでしょう。どのベンダーも、それを有効にすることはできません。昨年よりトップニュースで扱われてきたSolarWindsのサプライチェーン攻撃、Microsoft Exchange Serverの Proxylogon攻撃と同様に、AppGuardは勝者と敗者を大きく分けるツールとなりました。
AppGuardのアプローチは、おそらく従来型の防御方法として知られているものとは大きく異なります。AppGuardは、許可されていないアクションをブロックすることでマルウェアを認識することなく攻撃を阻止します。従来知られているものは、マルウェア＝悪意あるもの、が検知された場合にその攻撃を防御するものですのでその方法論と比較すると全く異なる概念と言ってよいかもしれません。今日の攻撃者は自らの攻撃を偽装するのに長けています。Kaseyaがこの事件の捜査のために雇った専門家Mandiantの報告によると、彼らが2020年に実施したサイバー事故捜査では、65%のIT/Sec-Opsチームが攻撃を受けてから1週間以内に発見できなかったことをつきとめました。このように、攻撃者が攻撃を開始してから長時間企業内のシステムに潜み、犯罪行為を容易に実行できる時間を十分に与えてしまっていることがわかります。
AppGuard のユーザーは、すでに導入されている他のソリューション多層防御としてAppGuardを追加し、攻撃の防止・阻止機能を大幅に強化しています。また、AppGuardがエンドポイントでマルウェア攻撃をリアルタイムにブロックすることで、アラート、ラテラルムーブメント、エンドポイントの修復、さらにはアプリケーションパッチ管理の負担を軽減することで、他のサイバー層、またIT/Sec-Opsチームのワークロードを軽減します。
ランサムウェアにお悩みの方、脅威検知のアラートに追われている方… AppGuard がお役に立てるかもしれません。

詳しくはこちら。

AppGuardで感染対策を！