サプライチェーン攻撃から学ぶ – Kaseyaケース

当社では技術提携をしているイスラエル企業のブログを紹介しています。

今回は当社のサプライチェーンリスク評価サービス「Panorays」で技術提携をしているPanorays Ltd.のブログ『サプライチェーン攻撃から学ぶ – Kaseyaケース』を紹介します。

みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。

Demi Ben-Ari@Panorays | 2021年7月6日

SolarWindsへの攻撃でサプライチェーンに起因するリスクは十分に理解されたはずではなかったか。。。

2021年7月Kaseya VSAを標的としたサプライチェーン攻撃は、何千もの組織に影響を与える可能性がある大規模な攻撃でした。

何が起こったのか、何を心がけるべきなのか、見ていきましょう。

何が起こったのか?

週末に独立記念日を控えた米国、7月2日金曜日、REvilランサムウェアの攻撃者グループが、リモート監視・管理ソフトウエア「Kaseya VSA」の脆弱性を悪用し、攻撃を仕掛けました。この攻撃は史上最大級とも言われるランサムウェア攻撃でしたが、被害にあったすべてのシステムの暗号化を解く身代金としてビットコインで7000万ドル（約77億円）の支払いを要求されました。(後にこの金額は5000万ドルに引き下げ)

KaseyaのITおよびセキュリティ管理ソリューションは、主に中小企業のためのマネージドサービスプロバイダ(MSP)やマネージドセキュリティサービスプロバイダ(MSSP)によって使われています。当初の報告書では、約60社のオンプレミス顧客が影響を受けたとされていましたが、Kaseyaは予防措置としてオンプレミスとSaaSサーバの両方をシャットダウンしました。この侵害の詳細はまだこれから明らかになることも多いと思いますが、影響がかなりの広範囲に及ぶことは間違いないでしょう。

SolarWindsケースとの比較

SolarWindsのサイバー攻撃と同様に、攻撃者は最大限の影響を与えるためにサプライチェーンを標的にしました。しかし、今回のKaseyaのケースでは被害はさらに大きくなる可能性があります。

その理由は次の通りです:

Kaseyaは、ITインフラの管理を自らせずに、外部に委託をする企業向けのサービスを提供するMSPやMSSPなど、世界中の約40,000社を顧客に持ち、IT管理ツールを提供しています。MSPとMSSPはどちらも、その先に潜在的に数百のお客様と連携しています。つまり、この侵害はMSPやMSSPを標的とすることで、そこが管理する顧客を含む甚大な被害・影響を与える可能性があるのです。現在のところ、最大1500社の企業が影響を受けたと報じられています。それにはスウェーデンの食料品小売業者のCoopが含まれており、800店以上の店舗が一時、閉鎖されていたと報じられています。

Kaseya VSAへの攻撃の場合、動機は非常にシンプルでした。

金銭目的です。

この破壊的な行為では、システムが停止すると、停止時間が延びれば延びるほどビジネスオーナーである企業に損失が出てしまうわけです。ビジネスが滞ることで損失が出るだけではなく、被害者は、ビジネスを復旧、再稼働させるために、巨額の身代金をも請求されるのです。米国政府は、被害企業が身代金を支払うことを奨励していません。しかし、ランサムウェア攻撃の被害者の多くは、抵抗するコストが支払いよりもはるかに大きいと結論付けています。いずれにせよ、どちらのオプションも最適と言えるものではありません。

SolarWindsの場合はどうだったのでしょうか？
彼らの攻撃目的は金銭ではなかったと考えられています。

おそらく州の機密情報を収集して公開するために、政府機関へのアクセスを手に入れることが最終目的だった、と考えられています。しかし、Kaseyaケース同様、SolarWindsケースもまだ解明されていない事柄も多く、全貌の解明には今しばらく時間がかかるものと思われます。

注目すべきは攻撃のタイミング

今回のKaseya VSAへの攻撃がアメリカの独立記念日の直前に実行されたのは偶然ではないでしょう。連休を控えた金曜日で、すでに休暇に入っている人も少なくなく、攻撃を仕掛けるには絶好もタイミングだったと言えます。攻撃が発覚したところで、その事後対応もスムーズにできる時期でもなかったわけです。攻撃者にとって、最小限の努力で最大限の被害を及ぼすにはタイミングも重要な要素なのです。

企業側の心構え

Kaseya VSAへの攻撃は、SolarWinds、Microsoft Exchange、Accellion、Codecovなど、昨今の大規模なサプライチェーン攻撃を彷彿とさせる不快な攻撃です。攻撃者は明らかに、サプライチェーン攻撃とは、被害を拡大させることができる効果的な方法であると確信していると思われます。

業界や組織の規模を問わず、この種の攻撃には備えなければなりません。

サイバーセキュリティに投資していない中小企業は、より侵害しやすい状態にあり、攻撃にウィルス性のものが使われる危険もあります。唯一の解決策は、このようなことがどこで再び起こり得るのかではなく、いつ自分に起こるかという「自分事」として捉え、準備を進めておくことです。

Panoraysなどのサードパーティのリスク評価サービスを活用して、自らの置かれている環境を客観視すると同時に、攻撃に備えて復旧に向けたシナリオを構築しておくことで、リスクやダメージを軽減することができます。

サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価（自動化されたセキュリティに関する質問票）と外部評価（アタックサーフェスの評価）をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。

過去の記事

◆『サプライチェーン経由のサイバー攻撃の標的 意外な4業界』

◆『SolarWindsのようなインシデントの予測は可能か?』

◆『サプライチェーンのリスク評価　～5つの重要な機能～』

◆『サプライチェーンを悪用した大規模サイバー攻撃　5つの対策』

◆『テレワークが急激に広がる今、サプライチェーンリスク管理として何をすべきか？』

◆『サプライチェーンリスク管理とは』