ランサムウェア感染、独立記念日狙いサプライチェーン攻撃 IT管理ソフトのアップデート悪用:この頃、セキュリティ界隈で
Kaseya VSAのアップデートを悪用したランサムウェアは、独立記念日で手薄なところを狙い撃ち。
IT管理ソフトウェア「Kaseya VSA」のアップデートを悪用してランサムウェアに感染させるサプライチェーン攻撃が発生し、同ソフトウェアを使っていたマネージドサービスプロバイダー(MSP)の間で被害が広がっている。Kaseyaは7月2日、全顧客に対し、感染を防ぐためにオンプレミスのVSAサーバを停止するよう勧告した。
Kaseyaによると、米東部標準時の2日正午ごろ、リモート管理ソフトウェアのVSAに関連したセキュリティインシデントが発覚し、直ちにSaaSを停止させるとともに、オンプレミス版の顧客に通知した。攻撃を受けるとVSAに管理者権限でアクセスできなくなることから、直ちにVSAサーバを停止する必要があると強調している。
同社は米連邦捜査局(FBI)や国土安全保障省のサイバーセキュリティ機関CISAにも通報した。CISAもKaseya VSAを使っているMSPに対応を呼び掛けている。
Kaseyaは攻撃に悪用された脆弱性を突き止めて、オンプレミス顧客向けにパッチを配信する準備を進めていると説明する。SaaSについては危険はないと判断し、安全が確認され次第、サービスを再開する見通し。影響を受けた顧客は「ごく少数」で、2日現在、世界で40社に満たないと強調した。
一方、Bleeping Computerは2日、Kaseya VSAを使っている大手MSP 8社で被害が確認され、その顧客のデータも暗号化されていると伝えた。セキュリティ企業のHuntress Labsは、約200社が被害に遭った可能性があると推定している。
Kaseya VSA経由で感染を広げているのは「REvil」(別名Sodinokibi)と呼ばれるランサムウェアで、VSAのアップデートが悪用され、ランサムウェアに感染させるコードが仕込まれたと思われる。感染すると、ネットワークに接続されたシステム上のコンテンツが暗号化され、身代金を要求する画面が表示される。
REvilは米食肉大手JBSなどに対する攻撃に関与したと伝えられるランサムウェアで、組織の情報を暗号化する前に盗み出し、要求に応じなければ暴露すると脅しをかける二重脅迫の手口でも知られる。今回の攻撃の被害に遭った組織から情報が盗まれているのかどうかは現時点で分かっていない。
米国の7月4日は建国記念の祝日に当たる。今回の攻撃は、この週末を控えて企業で対応に当たる人員が手薄になるタイミングを狙って仕掛けられたとみられる。
関連記事
- ランサムウェア被害は深刻化の一途、撲滅目指し官民が連携 3分の1は身代金払ってもデータ取り戻せず
既に企業が単独で対応できるレベルではなくなってきているランサムウェアの実態。 - 石油パイプラインを停止させた「ダークサイド」のパワー 身代金目当てに大企業を揺さぶる二重三重の脅し
- クライアント管理サービスのKaseyaに大規模ランサムウェア攻撃 またREvilの可能性
クライアント管理サービスを手掛けるKaseyaは米独立記念日前の金曜午後、大規模なランサムウェア攻撃を受けたと発表した。オンプレミス版で約40の顧客が犠牲になり、全顧客にサービスの停止を呼び掛けている。セキュリティ企業はロシアのハッカー集団REvilが関わっている可能性を指摘した。
Copyright © ITmedia, Inc. All Rights Reserved.