セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
ランサムウェアの拡散阻止
ラグー・ナンダクマラ
業界戦略担当副社長
Illumio Editorial
2021年7月12日
23分読む

攻撃者のハードルを引き上げる:マイクロセグメンテーションがKaseyaのような攻撃から組織を保護する方法

ITセキュリティベンダーが決して警戒を緩められない理由の1つは、サイバー犯罪コミュニティからの絶え間ないイノベーションです。知識は、多くの組織を驚かせるようなスピードで、アンダーグラウンドフォーラム全体に広範囲に広がります。したがって、悪名高い SolarWindsキャンペーン で使用された手法のいくつかが、最近のKaseyaランサムウェア攻撃に適用されているのを見ても、驚く必要はありませんでした。

しかし、マイクロセグメンテーションを適切な場所に導入することで、組織は、最初の ゼロデイ悪用 のリスクを最小限に抑え、その後のコマンド&コントロール通信をブロックするという点で、悪者の生活をはるかに困難にすることができた可能性があります。

カセヤ攻撃で何が起こったのか?

Kaseya は、主にマネージド サービス プロバイダー (MSP) 向けにソフトウェアを提供し、中小企業のパッチ適用やリモート監視などの重要な IT タスクを効率化します。SolarWinds ソフトウェアの場合と同様に、今回の攻撃の標的となったKaseya VSA製品には、ネットワークとコンピューティング デバイスのリモート監視と管理というコア タスクを実行するための高度な特権アクセスが付与されており、マルウェアを広範囲に拡散させるのに理想的な選択肢となっています。

攻撃の背後にいる REvilランサムウェア関連会社 にとってのさらなる利点は、Kaseyaの顧客の性質です。MSPとして、それぞれが複数の顧客を持っており、攻撃者が感染して恐喝する可能性があります。これは、簡単にお金を稼ぎたいサイバー犯罪者にとってかなり良い ROI です。

カセヤは 攻撃に対する対応を詳述した。ベンダーは、米国の休日の週末の直前の7月2日に、侵害について最初に通知されました。攻撃者は、オンプレミスのKaseya VSAのWebインターフェイスで ゼロデイ認証バイパスエクスプロイト を使用したようです。これにより、認証されたセッションを取得し、ペイロードをアップロードし、SQLインジェクションを介してコマンドを実行することができました。

MSPのKaseya VSAサーバーにアクセスすることで、実際にはREvil/Sodinokibi ランサムウェアである「Kaseya VSA Agent Hot-fix」と呼ばれる偽のアップデートをこれらの組織の顧客にプッシュすることができました。

潜在的な顧客40,000人のうち、影響を受けたのは60人未満であると考えられています。しかし、その波及効果により、MSPの下流の顧客がランサムウェアに感染し、学校からスーパーマーケットまで世界中の約1,500の組織が感染しました。

悪用されたゼロデイ脆弱性のパッチがリリースされましたが、これらの侵害された企業にとっては手遅れです。

マイクロセグメンテーションがどのように役立つか:インバウンドトラフィック

MSPは、Kaseya VSA Webインターフェイスへの管理アクセスを制限することで、最初の侵害を軽減できた可能性があります。このようにして、少数の 要塞ホスト の特定の許可されたユーザーのみが、管理ポートで Kaseya ソフトウェアにアクセスできます。

事実上、マイクロセグメンテーションを使用して攻撃対象領域を縮小し、サイバー犯罪者の邪魔になる余分な障壁を設け、ゼロデイエクスプロイトを展開するためにさらに努力する必要があります。これを、限られた許可ユーザーに対する多要素認証と組み合わせると、サイバークリマルがネットワークに侵入することが指数関数的に困難になります。

ロックされていないドアを探してネットワーク内を捜索する際に、より多くの時間を費やし、より多くの「ノイズ」を出すようにすることで、脅威の検出および対応ツールが暗闇の中を忍び回るときに「聞く」のにも役立ちます。

マイクロセグメンテーションがどのように役立つか:アウトバウンドトラフィック

マイクロセグメンテーションが役立つ 2 番目の方法は、感染したエンドポイントからインターネットへのアウトバウンド通信です。

サイバー犯罪者は通常、ある時点でコマンド アンド コントロール (C&C) サーバーと通信して、指示を提供し、 悪意のあるペイロードをダウンロードする必要があります。ポリシーがKaseyaインフラストラクチャからのアウトバウンド接続を、既知で事前に承認されたIPアドレスのみに制限するようにすることで、攻撃者の追跡を阻止できます。犯罪者が自分のサーバーと通信できない場合、攻撃の次の段階に進むことはできません。

ゼロトラストはセグメンテーションから始まる

KaseyaやSolarWindsなどのランサムウェア攻撃から組織を保護するには、ITインフラストラクチャ全体にわたって堅牢で包括的な ゼロトラスト ポリシーとプラクティスを開発する必要があります。また、ゼロトラストは、侵害が発生し、犯罪者がネットワークのどこかで鍵のかかっていないドアを見つけるため、セグメンテーションから始まります。重要なのは、彼らがこれ以上進まないようにすることです。

セキュリティに特効薬はありません。しかし、このようなマイクロセグメンテーションを適用することで、攻撃者の生活を大幅に困難にし、少なくとも検出の可能性を高め、理想的にはあきらめて先に進むことを余儀なくされる可能性が非常に高まります。

関連トピック

アイテムが見つかりませんでした。

関連記事

Medusa ランサムウェアが重要インフラに対する脅威が増大している理由
ランサムウェアの拡散阻止

Medusa ランサムウェアが重要インフラに対する脅威が増大している理由

Medusaランサムウェアがどのように機能し、世界中の重要なインフラストラクチャにとって非常に危険な理由をご覧ください。

詳細はこちら
2025 年のランサムウェア: コスト、傾向、リスクを軽減する方法
ランサムウェアの拡散阻止

2025 年のランサムウェア: コスト、傾向、リスクを軽減する方法

攻撃者がセキュリティギャップをどのように悪用するか、ランサムウェアがビジネスモデルになった理由、マイクロセグメンテーションによって脅威をどのように阻止できるかをご覧ください。

詳細はこちら
調査の内部:「基礎4人組」によるハッカーの追跡
ランサムウェアの拡散阻止

調査の内部:「基礎4人組」によるハッカーの追跡

今日の複雑な脅威環境において、悪意のあるアクティビティを発見し、攻撃者の行動を追跡し、重要なデータを保護するための重要な質問、戦術、ツールを学びます。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る