今週気になったIT関連のニュース

Jul 7, 2021 01:15 · 1440 words · 3 minute read 今週のニュース

2021年6月28日~2021年7月4日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

Kaseya VSAを起点にした大規模なサプライチェーン攻撃被害

今週一番インパクトのあったニュースはこれだろう。
関連記事の多さからも、世間の注目の大きさが伺える。

What

  • Kaseyaというアメリカ マイアミにある企業のサービスが侵害された。
    • 影響を受けたのはVSAというサービス
    • KASEYA VSA
  • 影響を受けたのは同社のkaseya virtual system administrator (VSA)のサービスをオンプレミスサーバを使って利用している顧客約40社。
  • SaaS版の利用者は影響を受けていないらしい。
  • 攻撃に使われたランサムウェアはREvil。
  • 少なくとも1000以上の組織が被害にあっている。
    • 暗号化被害にあった企業については「少なくとも1000以上」「数千」など情報が錯綜している。おそらくまだ被害の全容が明らかになってないのだろう。
    • 被害にあった企業にはマネージドサービスプロバイダー(MPS)が含まれているため、MSPの顧客も含めると帽体な数になる。
    • 詳細のレポートはまだ読めていないが、Windoews Defenderの機能を悪用して実行されるらしい。
    • トロイの木馬化されたソフトウェアは「Kaseya VSA Agent Hot-fix」の形式で配布される。
  • ランサムウェアのagentがVSA経由で配信された。
    • Kaseya VSAのインフラストラクチャを侵害し、そこからオンプレミスサーバに対して悪意ある更新をpushした。
  • KaseyaはVSAサービスの利用者にオンプレミスサーバの停止を促し、SaaS版も停止した。
  • MSPが収益性の高いターゲットとして浮上してきている。
  • 攻撃者は復号キーと引き換えに7000万ドル相当のビットコインを要求している。
  • 今回の攻撃では、暗号化前にデータは盗まれていなかった模様。
  • 今回悪用された脆弱性はCVE-2021-30116。
  • 過去48時間で、インターネットから到達可能な Kaseya VSA インスタンスの数は、2.200 以上から 140 件未満に減少した。
  • 今回攻撃者が突いた脆弱性をKaseyaは既に把握しており、セキュリティ研究者とともに修正とテストをしているところだった。
    • 攻撃者のほうが一足早く攻撃を実行し、成功させた。
    • 2021年4月頃話題になったProxylogonも、セキュリティ研究者が0-day脆弱性を見つけたのと時を同じくして攻撃が発生していたはず。たまたまそのようなタイミングだったのか、それとも攻撃者がセキュリティ研究者の動向をチェックしていて、修正される前に行動に移しているのか?
    • ProxyLogon
    • ProxyLogonのニュースまとめリンク

When

  • 2021年7月2日金曜日の正午頃 Kaseyaのインシデント対応チームがVSAのセキュリティインシデントを検知する

関連記事

最後に

Keseyaの攻撃はかなり辛いな。

人材が豊富でない中小企業の場合は自社で十分にシステムを管理することができないので、管理サービスを活用することになる。

信頼しなければならない管理サービスが被害にあったとなると、人材に余力が無い企業は事業の継続や復旧が相当厳しいのではないだろうか・・・。

tweet Share