オンプレミスの時代は端末管理と言えばエクセルでの台帳管理が多かったと思いますが、昨今のインターネットやクラウド利用によりOS/アプリケーションの脆弱性対策は欠かせない要素の一つです。
そのため、IT資産管理ツールなどを用いている企業が多いのではないかと思いますがが、今回はそんなIT管理ソフトウェアがランサムウェアを拡散したというお話をトレンドマイクロ セキュリティブログより紹介します。

オランダのDIVD CSIRT（Dutch Institute for Vulnerability Disclosure）は、今回のランサムウェア攻撃で使用されるKASEYA VSAのゼロデイ脆弱性の1つとして「CVE-2021-30116」を公表しました。 Kaseyaの脆弱性は、システム管理ツールの調査の一環として発見されました。 KaseyaとDIVD-CSIRTは、この事件の前に調整された開示リリースに取り組んでいました。

さらに、REvil/Sodinokibiの暴露サイト上で今回の事件についての表明が公開されると共に、ユニバーサル復号ツールの取引を推進しているという報告もありました。

図1：REvil/Sodinokibiの暴露サイト上の書き込み例（2021年7月5日取得）

マネージドサービスプロバイダ（MSP）やIT企業へIT管理ソフトウェアを提供しているKaseya社は、現地時間2021年7月2日、同社のオンプレミス型製品を狙った「高度なサイバー攻撃」に見舞われたことを発表。その後のアップデートにより、攻撃はランサムウェアを利用したものであると説明が加えられました。
これを受けて同社は、すべての顧客に対し、さらなる発表があるまでオンプレミス型VSAサーバを停止するよう勧告しています。Kaseya社は、この攻撃に関する調査中、保守的なセキュリティ対策として提供している同社のSaaS（Software-as-a-Service）サーバも直ちにシャットダウンすることを決定しました。これらのKaseya社の公表内容、およびこのインシデントに関する報道の内容を総合して考えると、同社のIT管理製品である「VSA」を悪用したいわゆる「サプライチェーン攻撃」が発生したものと推測されます。

ランサムウェアREvil/Sodinokibiによる攻撃か？

この攻撃に関する技術的な情報については、日本時間7月4日夜時点ではまだKaseya社から発表されていません。
一方、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（Cybersecurity and Infrastructure Security Agency、CISA）からは、Kaseya社のソフトウェア「VSA」が不正なスクリプトをプッシュするために使用されたとする情報が提供されています。

MSPでは通常、顧客にソフトウェアアップデートを配布するためにVSAを使用しますが、今回の攻撃では、不正なPowerShellスクリプトをプッシュするために武器化されており、これにより、ランサムウェアのペイロードを顧客の端末へ読み込んでいたようです。つまり、直接Kaseya社製品を使用していない利用者であっても、MSP経由で同様の被害を受ける可能性がある点も注意が必要です。

Kaseya社のVSAソフトウェアへ影響を与えたランサムウェアREvil（別名：Sodinokibi、トレンドマイクロでは「Ransom.Win32.SODINOKIBI.YABGC」として検出対応）は、特定のサービスを無効にして、ブラウザや業務効率化関連の各種アプリケーションなどで使用される正規のソフトウェアのプロセスを終了させます。
具体的には、以下のようなプロセスを終了させます。

• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon

他方、標的となる端末のオペレーティングシステム（OS）の言語が以下のいずれかであることを検出すると、自身を終了させます。

• アラビア語 – シリア
• アルメニア語東部
• アゼリ語キリル文字
• アゼリ語ラテン語
• ベラルーシ語
• グルジア語
• カザフ語
• キルギス語キリル文字
• ルーマニア語 – モルドバ
• ロシア語
• ロシア語 – モルドバ語
• シリア語
• タジク語
• タタール語
• トルクメン語
• ウクライナ語
• ウズベク語キリル文字
• ウズベク語

図2：ランサムウェアREvil/Sodinokibi感染時に表示される壁紙画像の例

図3：ランサムウェアREvil/Sodinokibiのランサムノート（脅迫状）の例

ランサムウェアREvil/Sodinokibiは、GandCrabの後継と考えられているランサムウェアであり、知名度の高い対象をターゲットにして身代金の支払いを要求し、情報暴露型の二重脅迫の手口を用いることで知られています。REvil/Sodinokibi は、食肉業のJBS社を標的とした大規模なランサムウェア攻撃にも関与しています。

被害に遭わないためには

当該攻撃に関する調査はまだ進行中ですが、影響を受けたユーザは、さらなる侵害からシステムを保護するためにも、Kaseya社が発表したガイダンスに従うことが重要です。
2021年7月3日米国東部夏時間午後9時（日本時間：7月4日午前10時）の時点では、同社は、すべてのオンプレミスのVSAサーバをシャットダウンし、修正パッチが展開された後にのみ再起動すべきだとアドバイスしています。

ランサムウェアは、複数の侵入経路を駆使し、暗号化の機能を備えているため、企業が自社のネットワークを守り、業務に重要な機密情報を保護するためには、適切なバックアップポリシーおよびセキュリティ対策での多層的なアプローチの双方が不可欠です。

• EメールおよびWebでのセキュリティ対策：スパムメールや不正なリンクへのアクセスをブロックすることでランサムウェアによるネットワークへの侵入を阻止します。
• サーバでのセキュリティ対策：脆弱性の悪用する攻撃からサーバを保護することが重要となります。
• ネットワークでのセキュリティ対策：ランサムウェアがサーバからエンドポイントへ、もしくはエンドポイントからエンドポイントへと拡散するのを防ぐことで、ネットワークを保護します。
• エンドポイントでのセキュリティ対策：ランサムウェアの実行自体を阻止することで、エンドポイントを保護します。

トレンドマイクロでは、今回の攻撃で被害を受けた顧客に対して、パターンベースの検知機能と防御フィルタを提供しています。詳細については、トレンドマイクロのセキュリティアラートを確認してください。

まだまだ速報だけで詳細は不明ですが、IT資産管理ツールのセキュリティ、情シスの製品チェック項目の一つになりますね。

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/28219