キヤノンMJ/サイバーセキュリティ情報局
Kaseyaのインシデントから学ぶ、MSPのセキュリティリスク
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「MSP選定時に確認すべきポイント:Kaseyaが受けた脆弱性を狙ったゼロデイ攻撃から学ぶサードパーティによるサイバーセキュリティリスク 」を再編集したものです。
マネージドサービスプロバイダー(MSP)は、ITエコシステムの中で重要な役割を果たしています。MSPに日々のIT業務の多くを委託することで、特に中小企業はコストを削減し、サービスレベルを向上させ、より多くの社内リソースをビジネスの成長に集中させることが可能となります。理論的には、高い能力を有し豊富なリソースがあるプロバイダーに依頼すれば、セキュリティリスクを軽減できます。しかし、Kaseyaの顧客に影響を与えたランサムウェアのように、MSPもまたサイバーセキュリティリスクの原因となることがあります。
変化を続ける現在の脅威環境にあって、このようなリスクも常に進化しています。そのため、企業は契約を締結する前に、候補となるプロバイダーが適切なセキュリティ対策を履行しているか(デューデリジェンス)を必ず確認する必要があります。
Kaseyaで発生した問題とは?
Kaseyaは、主にMSPを顧客としているIT管理ソフトウェアプロバイダーです。KaseyaのVSA製品は、ソフトウェアの自動パッチ適用やリモート監視などの機能を提供し、MSPがその顧客のITインフラストラクチャーをシームレスに管理できるようにします。SolarWindsのOrionと同様に、VSA 製品を運用するためには顧客の環境への非常に高い特権アクセスが必要となります。これが、絶大な効果を発揮するROIの高い攻撃方法を探している攻撃者にとっては絶好の選択肢となっている理由です。
7月2日にKaseyaで発生したインシデントにはこのような背景があります。Kaseyaのサービスアップデートページに記載されているように、攻撃者が同社のプラットフォームを利用して多くのMSPのセキュリティを侵害し、REvil/Sodinokibiランサムウェアが仕込まれた偽のアップデートが顧客に配信されました。影響を受けたMSPの数はおよそ50〜60社となり、そのMSPのおよそ1500社の顧客が影響を受けました。現在までの報告では、今回の攻撃者は、オンプレミスのKaseya VSA製品に存在していた1~3つのゼロデイ脆弱性を攻撃しています。Kaseyaのセキュリティチームは同時期にこれらのバグを修正するパッチを作成していましたが、攻撃者に先を越される形となりました。これらの脆弱性は以下のとおりです。
・CVE-2021-30116:認証情報の漏えいとビジネスロジックのバグ
・CVE-2021-30120:多要素認証の回避
・CVE-2021-30119:クロスサイトスクリプティングの脆弱性
この脆弱性により、MSPがオンプレミスに展開していたKaseya VSAのウェブインターフェースの認証が回避されました。このセッションを利用してペイロードをアップロードし、SQLインジェクションによってコマンドを実行しました。このブログの執筆時点で、ようやくオンプレミスの顧客にパッチが配信され、多くのSaaS MSPはすでにオンラインに復旧しています。
MSPに潜む危険性とは
Kaseyaがランサムウェアグループの標的になったのは、今回が初めてではありません。2019年には、Kaseya VSAの脆弱なプラグインが攻撃されており、MSPの1社のセキュリティが侵害されました。攻撃者は、このソフトウェアの管理者レベルのアクセス権限を取得し、管理されていたすべての顧客のシステムでランサムウェアを実行することができ、1500~2000社の顧客がGandcrabランサムウェアに感染しました。
Gandcrabは、REvilとの関連性が指摘されていますが、これらの攻撃が同じグループによって実施されたことかどうかは不明です。いずれにしても、地下で暗躍するサイバー犯罪組織は、情報セキュリティコミュニティよりも優れた方法で情報やツールを共有しています。過去に成功した攻撃は、何度も繰り返されることが多くあります。これは、MSPとその顧客にとって好ましくない状況です。なぜなら、MSPに対する攻撃によって大きな成功が可能となることを示す過去の例が積み重なってきているからです。
過去に大きな注目を集めたいくつかの攻撃は、国家が支援している工作員によって引き起こされています。これらの攻撃には、APT10が複数年に渡って大規模に実施し、過去にない規模の被害者を全世界的に生み出したOperation Cloud Hopper(クラウドホッパー作戦)も含まれます。現在の攻撃と異なっているのは、現在MSPを標的としているのは、金銭的な動機のあるサイバー犯罪者だということです。最近発行されたレポートによると、73%のMSPが過去1年間に少なくとも1件のセキュリティインシデントを報告しており、そのうち60%がランサムウェアに関連しています。
サイバー犯罪は巨大なビジネスへと成長しています。また、ダウンストリームの顧客を1社ずつ攻撃するよりも、何千もの企業にアクセスできる可能性のある組織を、時間をかけて調査し標的にする方が、ビジネスとしては大きな効果を上げることが可能です。MSPには顧客のデータがあり、MSPはこれらの顧客組織への特権アクセスを持っています。現在、複数の顧客にサービスを提供しているMSPは、北米だけでも2万社に上ると推定されています。そして、これらのMSPのすべてが十分なセキュリティ対策を履行しているとは限りません。このようなMSPは、攻撃者の絶好の標的となっています。
MSPのリスクを管理する方法
市場の力学から、セキュリティに関する顧客の期待を満たすことができないMSPは、強力なサイバーリスク対策を講じているMSPに取って代わられることになります。これらのプロバイダーがセキュリティ対策で差別化を図ることができるツールは市場に多く存在します。しかし、顧客は十分な情報を入手できなければ、自らの行動によってその意思を示すことはできません。
そのために、MSPを選択するときに考慮すべき基本的な対策についてのチェック事項を以下に紹介します。
・パッチ/脆弱性管理プログラムはどのようになっているか?
・どのようなソフトウェアパートナーと提携しているか、また、セキュリティや品質保証に関するMSPの評判はどうか?
・特権を使用して動作するMSPソフトウェアについて特別なチェックを実施しているか?
・MSPの8つの基本的なコントロール(アプリケーションのホワイトリスト登録、パッチ適用とセキュリティ強化、管理者権限の制限、多要素認証、OSへのパッチ適用、定期的なバックアップ、Officeマクロ設定の調整の8つの対策)を実行しているか?
・サーバー、エンドポイント、ネットワーク、電子メール、クラウドシステムなどを対象とする強力なマルウェア対策を行なっているか?
・最小権限の原則を適用したアクセスポリシーの履行や、ネットワークのセグメンテーションを実施し、攻撃対象領域を最小化しているか?
・フィッシングに対する意識を向上するために、従業員に定期的にトレーニングを実施して、最新の情報を提供しているか?
・定期的かつ包括的なセキュリティ監査/レビューを実施しているか?
・XDR(Extended Threat Detection and Response)を実行し、プロアクティブな保護を実践しているか?
・最悪のシナリオを想定して十分に練られたインシデントレスポンス計画を準備しているか?
・どのような業界標準、認証、フレームワークを遵守しているか?
このようなセキュリティ対策の履行状況をチェックしても、MSPに関連するセキュリティインシデントから組織を完全に守ることはできませんが、そのリスクを軽減することは可能です。そして、これが組織として取りうることが可能な現実的な対策なのです。
[参照元] MSP選択時に考慮すべき点:Kaseyaのインシデントから学ぶサードパーティがもたらすサイバーセキュリティのリスク
https://www.eset.com/jp/blog/welivesecurity/msp-kaseya-incident-third-party-cyber-risk/