Kaseya
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/11/09 07:39 UTC 版)
2021年7月2日、フロリダ州に拠点を置くIT企業でクライアント管理サービスを手掛けるKaseya(英語版)は、IT環境管理サービス「VSA」のオンプレミス版が高度なサイバー攻撃を受けたと発表した。影響を受ける顧客は最大で約3万6000社にのぼるが、Kaseyaは直接影響を受けたのが確認されたのは約40社にとどまると説明した。しかし、今回標的とされた同社のソフトは企業のバックオフィスのシステム運用保守を代行するマネージドサービスプロバイダーに利用されており、そこから連鎖的にランサムウェアが拡散していった。 Kaseyaは多くのMSPの間で利用されており、使用しているある日本の企業のサイトには「Kaseyaは、全世界のMSP事業者の過半数で利用されている」とシェア率の高さが謳われている。現在判明しているだけで8つのMSPが侵入されていたが、ハッカー集団がどこから侵入したのかはまだ判明していない。未知の脆弱性を利用したゼロデイ攻撃だったとされる。 これまでのところVSAを自社の設備で運用するオンプレミス版を利用している企業だけに影響が出ており、クラウドでSaaSとして使用していた企業は影響を受けていないとされている。だが同社は念のためSaaSサーバもオフラインにしており、顧客へは保護のためすべてのVSAを停止するよう呼び掛けている。攻撃を受けるとVSAに管理者権限でアクセス不能になるためだという。 技術情報サイトのBleeping Computerによると、この攻撃で200社もの企業のデータが暗号化されたという。スウェーデンで800店余りを展開する最大級の食料品チェーン「コープ」では、レジが操作できなくなり店舗が休業に追い込まれている。 この件でKaseyaに協力しているセキュリティ企業Huntress Labsは、既に1000社余りが影響を受けているとしており、アンチウイルスソフトウェア企業Emsisoftも「ひとつのMSPが侵害されただけで、数百のエンドユーザーに影響が及ぶことがあります。今回のケースでは複数のMSPが侵害されたようですから…」と、被害数は世界中でさらに増えると予想している。 BleepingComputerは、被害を受けたMSPに500万ドル(約5億5000万円)、そのMSPの個別の顧客に4万4999ドル(約550万円)を要求していると報じている。 英セキュリティ企業Sophosによると、仮想通貨のMoneroで支払うように指示されていたという。Kaseyaは外部セキュリティ企業からの勧告で、脅迫文に書かれているリンクは武器化されている可能性があり、どのリンクもクリックするべきではないと被害企業に警告している。 7月3日、Kaseyaは事件後、このインシデントに関する最新情報を継続的に発信し続けており、3日には侵害検出ツールを提供すると発表し、要望のあった900社の顧客にロールアウトした。 Huntress Labsとウォールストリート・ジャーナルは、この攻撃にはREvilが関わっている可能性が高いと報じているが、バイデン大統領は「まだ分からない」と述べるにとどめた。今後、情報機関に調査を指示した上で、もしロシアが関与したと判定されれば、米国は対応することになるとした。 FBIは声明を発表し、国土安全保障省のサイバーセキュリティー・インフラストラクチャセキュリティー庁(CISA)と協力して調査を開始したとした上で、Kaseyaを利用していた企業に対応策を実施するよう呼び掛けた。 7月4日、Kaseyaはコロニアル・パイプラインの件でも対応したセキュリティ企業ファイア・アイと契約したと明らかにした。SaaSについては危険はないと判断し、地域単位で段階的に復旧する計画を実行し始めているとした。 ホワイトハウスのサイバー問題担当アン・ニューバーガー(英語版)は、被害に遭った企業に対し「国全体のリスク評価に基づき支援の手を差し伸べる」と表明したが、捜査を担当しているFBIは、今回の攻撃は大規模で「個別の被害者に対応することが不可能」かもしれないとの見解を示した。 セキュリティ企業ソフォスによると、ドイツやスウェーデンなどアメリカ以外でも被害が報告されており、影響を受けた団体・個人には学校や小規模な公共団体、旅行・娯楽組織、信用組合、会計士などが含まれる。ITmediaは「Kaseya VSA」のアップデートが悪用され、ランサムウェアに感染させるコードが仕込まれたと報じた。また7月4日はアメリカの独立記念日で祝日に当たるため、今回の事件はこの週末を控えて企業で対応に当たる人員が手薄になるタイミングを意図的に狙って仕掛けられたともみられている。 サイバー安全保障を専門とするオックスフォード大学のマーティン教授は、多数の中小企業にITサービスを提供する企業を狙ったサプライチェーン攻撃(英語版)だったことから「これはおそらく史上最大のランサムウエア攻撃だ」と指摘した。レコーデッド・フューチャーのアラン・リスカは、REvilはJBS攻撃後「さらに横暴になった」と語った。国家が関与しないサプライチェーン(供給網)攻撃の中では過去最大規模、ランサムウェア攻撃の中では過去2番目の規模になるかもしれないと推定しているが、どの程度の影響が出ているかは、連休明けになるまで分からないとしている。 同日夜、関与が疑われていたREvilがダークウェブ上のHappy Blogで、身代金として7000万ドル(約78億円)支払えばすべての暗号化を解除するツールを提供するとの犯行声明を出した。「我々は金曜日(7月2日)にMSPへの攻撃を開始し、100万台以上のシステムを感染させた。もし誰かがユニバーサルデクリプターについて交渉したいのであれば、我々の提示する金額はBTCで7000万ドルだ。支払えばすべての被害者の暗号化されたファイルを復号化するデクリプターを公開する。これで誰もが1時間以内に攻撃から回復することができるだろう。この取引に興味のある者は、感染したPCに残された「readme」ファイルの指示に従って我々にコンタクトせよ」と脅迫した。その後、ロイターの取材に対し「われわれは常に交渉の用意がある」とし、交渉次第では減額の可能性も示している。 レコーデッド・フューチャーは、この投稿がREvilの中心的人物によるものであることが「ほぼ確実」だと分析した。セキュリティ研究者のマーカス・ハッチンズは、REvilが個々の被害者へのMonero請求と並行してビットコインでも身代金を要求していることについて、「私は100万のシステムが感染したという主張には非常に懐疑的だ。私が見たところでは、彼らは個々の組織を恐喝するための手段を持っていないことを示しており、それでKaseyaあるいはどこかの政府に7000万ドルでマスターキーを買わせようとしているということだ」との見解を示した。 7月5日、KaseyaはSaaS版の再開を、顧客のリスクを最小限に抑えるためにもっと時間が必要として延期を発表した。被害者数の報道にはかなりばらつきがあるが、CEOのフレッド・ボッコラは取材に対し、サイバー攻撃の影響は同社の顧客だけではなく、その企業の顧客にまで広がっているため、数を正確に把握するのが難しいと語った。ただ当初の40社という被害者数は、800から1500社に訂正した。また要求されている身代金の支払いについては明言を避けた。 サイバーセキュリティー企業ESETによると、南アフリカやイギリス、メキシコなど少なくとも17か国での感染を確認し、またニュージーランド教育省は、国内の少なくとも2つの学校が影響を受けたことを公表するなど、世界中に被害が拡大している。 被害を受けたスウェーデンのスーパーCoopは、POSシステムが使用できないため、店舗は開けていたものの、買い物客の入店は断り、イチゴやスナック、コーヒーなどを無料で配ったという。現在は複数の店舗で影響を受けたレジシステムの交換に取り組んでいるとした。 7月9日、バイデン大統領はプーチン大統領と電話会談し、ランサムウエアを用いた攻撃の阻止をロシア政府に求めた。両首脳は先月ジュネーブで行われたG7で会談し、サイバー攻撃に関する協議を始めることで合意していたが、その後もロシア系集団による米国企業への攻撃は続いている。アメリカ側はロシアが犯罪集団の行為を黙認しているとして非難しているが、プーチン大統領は「ロシア側はサイバー犯罪を共同で阻止するための準備ができているが、米国の担当省庁から過去1カ月間、この問題で照会がない」と、米側の対応に疑問を投げかけた。これに対し、米政府高官は「公式ルートで数回にわたって要求している」と述べ、ロシア側の説明と食い違いを見せている。 ホワイトハウスは「ロシア国内で活動するランサムウエア集団による犯罪の防止で、ロシアは行動を起こさなくてはならないと、バイデン大統領は強調した」「国民や重要インフラの保護へあらゆる必要な行動を取る」との声明を発表し、対抗措置も辞さない考えを示した。 7月10日、Kaseyaの元従業員5人がこれまでに、古いコードや弱い暗号化、堅牢なパッチプロセスがないことなど、セキュリティ面に懸念があることを同社の上層部に報告していたとブルームバーグが報じた。だが報告書を提出した1人の従業員は2週間後に解雇されたという。別の従業員によると、パッチを当てず、顧客のパスワードを暗号化せずクリアテキストで保存するなど、同社は安全面をないがしろにし、問題の修正よりも新機能や新製品を優先していたと証言した。 事実、オランダ脆弱性開示研究所が、Kaseyaのソフトウェアにセキュリティホールがあることを4月の時点で通知しており、同社は脆弱性を修正するためのアップデートをリリースしたが、攻撃を受けた時点ではまだすべてのホールにパッチが適用されていなかった。スウェーデンのセキュリティ企業が、VSAをレビューしたところ、わずか数時間の調査で「深刻で悪用可能な脆弱性」が見つかるなど、セキュリティには問題があった。さらにKaseyaが狙われたのは今回が初めてではなく、2018年から2019年にかけて、REvilの前身と目されるGandcrabに最低でも2回攻撃を受けていた。だが同社のセキュリティ態勢が改善されなかったため、今回さらなる攻撃を受けた可能性があると元従業員3名は述べている。 7月12日、サイバーコンサルティング会社や国防総省に勤務する研究者が、身代金のビットコインを追跡して記録するサイトを立ち上げた。ビットコインは透明性があるためアドレスを追跡しやすいという。現時点の被害総額1位は「Netwalker(Mailto)」、2位「REvil/Sodinokibi」となっている。 Kaseyaが脆弱性を修正したVSAのアップデートをリリースした。REvilは、VSAに潜んでいた脆弱性を悪用し、認証処理をバイパスするとともに悪意あるコードを実行して、顧客のエンドポイントにランサムウェアを送り込もうとしていた。リリースノートによると、共通脆弱性識別子が割り当てられた3つの脆弱性、認証情報の漏えいとビジネスロジックの欠陥(CVE-2021-30116)、クロスサイトスクリプティングの脆弱性(CVE-2021-30119)、二要素認証のバイパスにつながる問題(CVE-2021-30120)などが修正されているという。 7月13日、REvilを追跡しているセキュリティ専門家によると、同グループのサイトやインフラがダウンしネット上からアクセスできなくなっていると報告した。消滅した理由は現時点で不明で、逃亡するための計画的なシステムダウン説から、グループ内での紛争説、政府機関による一斉攻撃説などが飛び交っているが、FBIやサイバー軍はこの件に関して声明は発表していない。 11月8日、アメリカ司法省がウクライナ国籍とロシア国籍の2人を起訴した。ウクライナ国籍の被告は7月にREvilを使用しKaseyaを攻撃、1500人に身代金を要求した疑いが持たれている。
※この「Kaseya」の解説は、「REvil」の解説の一部です。
「Kaseya」を含む「REvil」の記事については、「REvil」の概要を参照ください。
- Kaseyaのページへのリンク
