カセヤへの攻撃は、サンバースト (ソーラーウィンズ) に続き、XNUMX か月以内で XNUMX 回目のセンセーショナルなサプライチェーン攻撃です。 同時に影響を受ける企業の数を考えると、このサイバー攻撃は間違いなく IT セキュリティ史上最大規模の攻撃の XNUMX つです。 トレンドマイクロのビジネスコンサルタント、リチャード・ワーナーによるKaseya危機に関する解説。
米国建国記念日である 4 月 50 日の週末、サービスプロバイダーの Kaseya がサイバー攻撃に見舞われ、顧客や他の企業に急速に広がりました。 ニュース プラットフォーム Bleepingcomputer によると、プロバイダーの直接の顧客約 1.500 人が影響を受け、彼らはサービス プロバイダーとしての顧客にも感染しました。 同通信によると、世界中で約XNUMX社が影響を受けるという。
Kaseya の顧客 50 社が他の 1.500 社に感染
トレンドマイクロは、ドイツでも事件があったことを確認しています。 攻撃が米国の最も重要な休日の一つに起こったという事実は偶然ではなく、加害者による慎重な計算であり、それはうまくいきました。 IT セキュリティ チームは通常、週末や祝日には人員が不足しているだけでなく、影響を受ける顧客への通信チェーンも切断されており、多くの場合、攻撃は妨げられずに拡大します。 同時に影響を受ける企業の数を考えると、このサイバー攻撃は間違いなく IT セキュリティ史上最大規模の攻撃の XNUMX つです。 それらを個々の部分に分解すると、他の攻撃との類似点が数多く思い浮かびます。 大まかで反復的なスキームから、企業は自社のインフラストラクチャに関していくつかの有益な教訓を引き出すことができます。
すべては脆弱性から始まります
「Kaseya」事件で注目すべき点は、ソフトウェアにセキュリティ ギャップが使用されていたことですが、メーカーは犯行時にそれを認識していて、すでにベータ段階で閉鎖されていました。 攻撃側に成功を望むなら、あまり時間は残されていなかった。 サービス プロバイダーは、いわゆる「責任ある開示」を通じて脆弱性の存在を認識し、脆弱性の解消に取り組みました。 それにもかかわらず、時間的なつながりは異常であり、解釈の余地を残しています。 パッチの問題は IT セキュリティではよく知られていますが、企業は、攻撃者が Microsoft やその他の広く使用されているソフトウェアの亜種の脆弱性だけでなく、IT サービス プロバイダーのソフトウェアの脆弱性も探していることに留意する必要があります。 特に、複数の顧客デバイスと直接通信するアプリケーションに重点が置かれています。 独自のソフトウェア開発を行う場合は、この事実もリスク計算の一部にする必要があります。
サプライチェーン攻撃の詳細
事件全体は「サプライチェーン攻撃」のカテゴリーに分類される。 このカテゴリでは、まだ比較的まれですが、ますます一般的になりつつあり、加害者は最初に IT サービス プロバイダーに感染します。 これらは、他の企業との既存の、またはアクティブ化可能な IT 接続を維持するため、非常に興味深いものです。 たとえば、外部システムで直接更新を実行する更新メカニズムだけでなく、リモート メンテナンス システムや注文処理なども影響を受けます。 その結果、加害者は被害者のデータセンターにあるマシン (通常はサーバー) を乗っ取ることができます。 「従来の」攻撃とは対照的に、ネットワーク セキュリティ全体とクライアント ベースのセキュリティ ソリューションはバイパスされます。 残るのは、サーバー システム上でアクティブ化され、サーバー システム間の通信を監視するものです。
時代遅れのウイルス対策テクノロジーが道を開く
特にオンプレミスのデータセンターでは、これは時代遅れのウイルス対策テクノロジーであることがよくあります。 さらに、オペレーティング システムがサポートされている場合でも、重要なセキュリティ パッチが欠落していることがよくあります。 この状況により、加害者は多くの場合、最終的な被害者を非常に迅速に排除し、ほとんど検出されずにシステム内を動き回ることができます。 初期ダメージが大きければ大きいほど、攻撃者にとって有利になります。これは多大なプレッシャーを生み出す可能性があるためです。 Kaseya の特別オファーにより、犯罪者は企業に直接連絡するだけでなく、顧客に連絡する機会も得られました。 これは犠牲者の数が比較的多いことを説明しています。 サプライ チェーン攻撃は複雑であり、攻撃者にとって多大な労力を必要とするため、比較的まれです。 しかし、その影響はしばしば致命的です。
加瀬谷さんからの教訓
これは通過する波ではないことを理解することが重要です。 現在急速に変化している IT セキュリティ環境では、多くの場合、外部要因が現在の状況の原因となっています。 これらには、企業におけるITの重要性、従業員によるITの一般的な使用、ビットコインの出現などが含まれます。 最初の XNUMX つは IT に貢献し、とりわけ企業の IT セキュリティはますます複雑になり、混乱が増していますが、仮想通貨の出現は実際にサイバーアンダーグラウンドに革命をもたらしました。 これにより、地下にいる主人公たちの専門性が高まり、お互いに無制限に取引できるようになります。 XNUMX つの要素すべてを元に戻すことはできなくなります。 前述の複雑さはディフェンダーにとってますます負担となり、移籍と純粋に対人関係の両方で問題を引き起こしています。 したがって、企業は最新の攻撃手法について現在のセキュリティ戦略を確認する必要があります。 加瀬谷さんの例が参考になります。
詳しくは TrendMicro.com をご覧ください
トレンドマイクロについて トレンド マイクロは、IT セキュリティの世界有数のプロバイダーとして、デジタル データ交換のための安全な世界の構築を支援しています。 30 年以上にわたるセキュリティの専門知識、グローバルな脅威研究、および絶え間ない革新により、トレンドマイクロは企業、政府機関、および消費者に保護を提供します。 当社の XGen™ セキュリティ戦略のおかげで、当社のソリューションは、最先端の環境向けに最適化された防御技術の世代を超えた組み合わせの恩恵を受けています。 ネットワーク化された脅威情報により、より優れた迅速な保護が可能になります。 クラウド ワークロード、エンドポイント、電子メール、IIoT、およびネットワーク向けに最適化された当社のコネクテッド ソリューションは、企業全体にわたって一元化された可視性を提供し、より迅速な脅威の検出と対応を実現します。