ITmedia NEWS > セキュリティ >
ニュース
» 2021年07月05日 13時29分 公開

ランサムウェア感染、独立記念日狙いサプライチェーン攻撃 IT管理ソフトのアップデート悪用この頃、セキュリティ界隈で

Kaseya VSAのアップデートを悪用したランサムウェアは、独立記念日で手薄なところを狙い撃ち。

[鈴木聖子,ITmedia]

 IT管理ソフトウェア「Kaseya VSA」のアップデートを悪用してランサムウェアに感染させるサプライチェーン攻撃が発生し、同ソフトウェアを使っていたマネージドサービスプロバイダー(MSP)の間で被害が広がっている。Kaseyaは7月2日、全顧客に対し、感染を防ぐためにオンプレミスのVSAサーバを停止するよう勧告した

photo Kaseyaの勧告

 Kaseyaによると、米東部標準時の2日正午ごろ、リモート管理ソフトウェアのVSAに関連したセキュリティインシデントが発覚し、直ちにSaaSを停止させるとともに、オンプレミス版の顧客に通知した。攻撃を受けるとVSAに管理者権限でアクセスできなくなることから、直ちにVSAサーバを停止する必要があると強調している。

 同社は米連邦捜査局(FBI)や国土安全保障省のサイバーセキュリティ機関CISAにも通報した。CISAもKaseya VSAを使っているMSPに対応を呼び掛けている

photo 国土安全保障省CISAも呼び掛け

 Kaseyaは攻撃に悪用された脆弱性を突き止めて、オンプレミス顧客向けにパッチを配信する準備を進めていると説明する。SaaSについては危険はないと判断し、安全が確認され次第、サービスを再開する見通し。影響を受けた顧客は「ごく少数」で、2日現在、世界で40社に満たないと強調した。

 一方、Bleeping Computerは2日、Kaseya VSAを使っている大手MSP 8社で被害が確認され、その顧客のデータも暗号化されていると伝えた。セキュリティ企業のHuntress Labsは、約200社が被害に遭った可能性があると推定している。

 Kaseya VSA経由で感染を広げているのは「REvil」(別名Sodinokibi)と呼ばれるランサムウェアで、VSAのアップデートが悪用され、ランサムウェアに感染させるコードが仕込まれたと思われる。感染すると、ネットワークに接続されたシステム上のコンテンツが暗号化され、身代金を要求する画面が表示される。

 REvilは米食肉大手JBSなどに対する攻撃に関与したと伝えられるランサムウェアで、組織の情報を暗号化する前に盗み出し、要求に応じなければ暴露すると脅しをかける二重脅迫の手口でも知られる。今回の攻撃の被害に遭った組織から情報が盗まれているのかどうかは現時点で分かっていない。

 米国の7月4日は建国記念の祝日に当たる。今回の攻撃は、この週末を控えて企業で対応に当たる人員が手薄になるタイミングを狙って仕掛けられたとみられる。

Copyright © ITmedia, Inc. All Rights Reserved.