** 本記事は、Kaseya VSA supply chain ransomware attack の翻訳です。最新の情報は英語記事をご覧ください。**
第 1 回更新: 2021-07-02, 22:40 UTC
最終更新: 2021-07-07, 11.13 UTC
ソフォスは、2021 年 7 月 2 日 (金) 14:00 EDT/18:00 UTC に、Kaseya を利用してランサムウェアを標的の環境に展開するサプライチェーン攻撃を発見しました。近年、境界デバイスへの攻撃 が顕著になってきています。攻撃者は、インターネットに接続している一般的なデバイスの脆弱性を悪用することで、わずかな労力で数多くのシステムを一度に攻撃することが可能になります。今回のインシデントで攻撃者の標的となったのは、Kaseya VSA サーバーです。
攻撃者は、インターネットに接続している VSA サーバーにリモートアクセスするために、SQL インジェクション (SQLi) を用いてゼロデイ脆弱性を悪用したと考えられます。Kaseya は主にマネージドサービスプロバイダー (MSP) によって使用されていることから、攻撃者は MSP の顧客のデバイスに対する特権アクセスを入手してしまいました。VSA サーバーの主な機能として、ソフトウェアの展開と IT タスクの自動化が挙げられます。そのため、顧客のデバイスから VSA サーバーに対する信頼度は高く、VSA サーバーへの侵入に成功すれば、VSA サーバーが要求するタスクを任意の接続クライアントに実行させることができます。これが、Kaseya が標的にされた理由の一つであると思われます。現時点では、影響を受ける MSP は 70 社を超えており、結果的に 350 社以上の企業が影響を受けていることが 明らかになっています。
この攻撃の詳細な分析、使用されたマルウェア、この攻撃から学ぶべき教訓については、SophosLabs Uncut の記事 REvil ランサムウェア、Kaseya のアップデートシステムを悪用し数百社の企業を攻撃をお読みください。また、関連のウェビナー (1 時間) もご覧ください。
SophosLabs とソフォスのセキュリティオペレーションチームは、この攻撃に関するセキュリティブログ記事 (リンク先: 英語) を公開しました。この記事では、影響を受ける可能性があるかどうかを判断する際に役立つ検出、プロセス、ファイル、レジストリキー、拡張子、ドメインなどの IoC (侵害の痕跡) と併せて、推奨される次のステップを紹介しています。また、ソフォスでは、エンドポイントに該当する IoC が存在するかどうかをチェックするためのクエリを公開しています。
ソフォスは、新しい情報を入手し次第、これらの記事をリアルタイムで更新していきます。この攻撃を受けたために支援を必要とされている場合は、ソフォスの Rapid Response サービスをご利用ください。
複数のソフォス製品によってこの攻撃は検出されるため、ソフォスをご利用のお客様は保護されています。詳細については、セキュリティブログの記事 (リンク先: 英語) をご覧ください。
変更履歴:
2021-07-04, 23:28 UTC – この攻撃の詳細な分析、使用されたマルウェア、この攻撃から学ぶべき教訓
2021-07-04, 17:35 UTC – 攻撃手法に関する最新情報
2021-07-03, 22:49 UTC – IoC の更新
2021-07-03, 02:35 UTC – 支援を必要とされている方に向けた最新情報を追加
2021-07-07, 11.13 UTC – エンドポイントの IoC を特定するためのソフォスクエリへのリンクを追加
コメントを残す