2021年7月6日12時更新:
オランダのDIVD CSIRT(Dutch Institute for Vulnerability Disclosure)は、今回のランサムウェア攻撃で使用されるKASEYA VSAのゼロデイ脆弱性の1つとして「CVE-2021-30116」を公表しました。 Kaseyaの脆弱性は、システム管理ツールの調査の一環として発見されました。 KaseyaとDIVD-CSIRTは、この事件の前に調整された開示リリースに取り組んでいました。
さらに、REvil/Sodinokibiの暴露サイト上で今回の事件についての表明が公開されると共に、ユニバーサル復号ツールの取引を推進しているという報告もありました。
図:REvil/Sodinokibiの暴露サイト上の書き込み例(2021年7月5日取得)
マネージドサービスプロバイダ(MSP)やIT企業へIT管理ソフトウェアを提供しているKaseya社は、現地時間2021年7月2日、同社のオンプレミス型製品を狙った「高度なサイバー攻撃」に見舞われたことを発表しました。その後のアップデートにより、攻撃はランサムウェアを利用したものであると説明が加えられました。これを受けて同社は、すべての顧客に対し、さらなる発表があるまでオンプレミス型VSAサーバを停止するよう勧告しました。Kaseya社は、この攻撃に関する調査中、保守的なセキュリティ対策として提供している同社のSaaS(Software-as-a-Service)サーバも直ちにシャットダウンすることを決定しました。これらのKaseya社の公表内容、およびこのインシデントに関する報道の内容を総合して考えると、同社のIT管理製品である「VSA」を悪用したいわゆる「サプライチェーン攻撃」が発生したものと推測されます。
■ ランサムウェアREvil/Sodinokibiによる攻撃か?
この攻撃に関する技術的な情報については、本記事執筆時点(日本時間7月4日夜)でまだKaseya社から発表されていません。一方、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(Cybersecurity and Infrastructure Security Agency、CISA)からは、Kaseya社のソフトウェア「VSA」が不正なスクリプトをプッシュするために使用されたとする情報が提供されています。
MSPでは通常、顧客にソフトウェアアップデートを配布するためにVSAを使用しますが、今回の攻撃では、不正なPowerShellスクリプトをプッシュするために武器化されており、これにより、ランサムウェアのペイロードを顧客の端末へ読み込んでいたようです。つまり、直接Kaseya社製品を使用していない利用者であっても、MSP経由で同様の被害を受ける可能性がある点も注意が必要です。
Kaseya社のVSAソフトウェアへ影響を与えたランサムウェアREvil(別名:Sodinokibi、トレンドマイクロでは「Ransom.Win32.SODINOKIBI.YABGC」として検出対応)は、特定のサービスを無効にして、ブラウザや業務効率化関連の各種アプリケーションなどで使用される正規のソフトウェアのプロセスを終了させます。具体的には、以下のようなプロセスを終了させます。
- agntsvc
- dbeng50
- dbsnmp
- encsvc
- excel
- firefox
- infopath
- isqlplussvc
- msaccess
- mspub
- mydesktopqos
- mydesktopservice
- ocautoupds
- ocomm
- ocssd
- onenote
- oracle
- outlook
- powerpnt
- sqbcoreservice
- sql
- steam
- synctime
- tbirdconfig
- thebat
- thunderbird
- visio
- winword
- wordpad
- xfssvccon
他方、標的となる端末のオペレーティングシステム(OS)の言語が以下のいずれかであることを検出すると、自身を終了させます。
- アラビア語 – シリア
- アルメニア語東部
- アゼリ語キリル文字
- アゼリ語ラテン語
- ベラルーシ語
- グルジア語
- カザフ語
- キルギス語キリル文字
- ルーマニア語 – モルドバ
- ロシア語
- ロシア語 – モルドバ語
- シリア語
- タジク語
- タタール語
- トルクメン語
- ウクライナ語
- ウズベク語キリル文字
- ウズベク語
図1:ランサムウェアREvil/Sodinokibi感染時に表示される壁紙画像の例
図2:ランサムウェアREvil/Sodinokibiのランサムノート(脅迫状)の例
ランサムウェアREvil/Sodinokibiは、GandCrabの後継と考えられているランサムウェアであり、知名度の高い対象をターゲットにして身代金の支払いを要求し、情報暴露型の二重脅迫の手口を用いることで知られています。REvil/Sodinokibi は、食肉業のJBS社を標的とした大規模なランサムウェア攻撃にも関与しています。
■ 被害に遭わないためには
当該攻撃に関する調査はまだ進行中ですが、影響を受けたユーザは、さらなる侵害からシステムを保護するためにも、Kaseya社が発表したガイダンスに従うことが重要です。2021年7月3日米国東部夏時間午後9時(日本時間:7月4日午前10時)の時点では、同社は、すべてのオンプレミスのVSAサーバをシャットダウンし、修正パッチが展開された後にのみ再起動すべきだとアドバイスしています。
ランサムウェアは、複数の侵入経路を駆使し、暗号化の機能を備えているため、企業が自社のネットワークを守り、業務に重要な機密情報を保護するためには、適切なバックアップポリシーおよびセキュリティ対策での多層的なアプローチの双方が不可欠です。
- EメールおよびWebでのセキュリティ対策:スパムメールや不正なリンクへのアクセスをブロックすることでランサムウェアによるネットワークへの侵入を阻止します。
- サーバでのセキュリティ対策:脆弱性の悪用する攻撃からサーバを保護することが重要となります。
- ネットワークでのセキュリティ対策:ランサムウェアがサーバからエンドポイントへ、もしくはエンドポイントからエンドポイントへと拡散するのを防ぐことで、ネットワークを保護します。
- エンドポイントでのセキュリティ対策:ランサムウェアの実行自体を阻止することで、エンドポイントを保護します。
トレンドマイクロでは、今回の攻撃で被害を受けたお客様に対して、パターンベースの検知機能と防御フィルタを提供しています。詳細については、弊社のセキュリティアラートをご覧ください。
■ トレンドマイクロの対策
今回、侵入の痕跡(IoC)として確認されたファイルは現在全てがトレンドマイクロのマルウェア対策ソリューションによって検出対応しています。また、予測型機械学習(ML)や挙動監視機能を備えたトレンドマイクロ製品も、この脅威の検知およびブロックに貢献しています。
トレンドマイクロでは、今回の攻撃キャンペーンに関連する既知の不正ドメインと複数の感染経路をWebレピュテーションサービス(WRS)により積極的にブロックしています。
進化し続けるランサムウェアの脅威に対応するため、企業は、多層的なサイバーセキュリティ防御システムを構築する必要があります。そのためには、ネットワーク、エンドポイント、Eメール、サーバなどから得られるそれぞれの脅威情報をサイロ化しないことが重要です。こうした対応を実現するには、それぞれの異なるセキュリティレイヤーをすべて可視化する必要があります。
「Trend Micro Vision One™」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One™」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。
■ 侵入の痕跡(Indicator of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
- 「IT Management Platform Kaseya Hit With Sodinokibi/REvil Ransomware Attack」
by Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)
