トピック
ゼロトラスト・アーキテクチャ採用が急がれる理由とは。
相次ぐランサムウェア攻撃から、その理由を紐解く。
- 提供:
- 株式会社インターナショナルシステムリサーチ(ISR)
代表取締役社長 メンデス・ラウル
2021年7月30日 09:00
2021年7月2日、Kaseya社がマネージドサービスプロバイダー(MSP)向けに提供するVSA(Virtual System Administrator)のサーバーが狙われ、『史上最大のランサムウェア攻撃』と呼ばれるまでに拡大したサイバー攻撃が起こりました。
このランサムウェア攻撃は、TRUESECによるとVSAサーバーのゼロデイ脆弱性も起因となっており、VSAオンプレミス製品に基づいて提供しているMSP60社が直接危険に晒されただけでなく、そのMSPサービス先の顧客が、少なくとも1,500社影響を受けたとされています。AFP通信によれば、スウェーデンの大手スーパー「Coop」の800店舗が営業停止に追い込まれているとのことです。そして、今回の攻撃に関与されたとされるロシアを拠点とするランサムウェアグループ『REvil』は身代金7,000万ドルを要求した、と報じられています。
7月9日にはバイデン大統領がプーチン大統領と1時間ほどの電話会談をし、その中で大規模サイバー攻撃を巡る問題で圧力をかけた結果、7月12日には、REvilが攻撃先と身代金の交渉のために運用したWEBサイトが閉鎖されており、事実上この事件は終わったとされていますが、7月20日現在に至るまで、データが暗号化されたままの顧客のパソコンがまだ多くあると思われます。(参考:ZDNet記事)
2020年末からアメリカではSolarWinds社の製品を悪用したサイバー攻撃、Microsoft Exchange Serverのゼロデイ脆弱性を悪用したランサムウェア攻撃、そして今回のKaseya社の製品を悪用したランサムウェア攻撃とサイバー攻撃が相次ぎ、そのどれもが史上最悪、もしくは史上最大の事件だと言われています。
このようなサイバー攻撃に対処するための重要な対策ポイントは企業がゼロトラスト・アーキテクチャを採用することです。特にソフトウェアやITサービスなどを提供するベンダー企業は、自社製品へ適用することが急務だと言えます。
ここ最近アメリカで起きたこの3つのサイバー攻撃事件で共通点となっている攻撃手法の進化を振り返りながら、これらの事件を拡大させてしまったMSPが無条件で信用するという「ブラインドトラスト」から「ゼロトラスト」に基づいたサービスモデルへシフトするべき理由をお伝えします。
攻撃者の進化と攻撃の共通点
今回Kaseya社を攻撃したREvilは攻撃手段を進化させながら、より高度な攻撃を仕掛けるようになってきています。サイバー攻撃者の最近の動向を見ると、市場で大きなシェアを誇るIT企業の製品を悪用して被害を拡大させていること、またオンプレミスサーバーや認証バイパスの脆弱性を突く攻撃を仕掛けていることが共通点として挙げられます。
Kaseya社への攻撃は、2020年12月に起きたSolarWinds社製品を悪用したサイバー攻撃と似ています。市場で大きなシェアを誇るネットワーク管理ソフト会社のSolarWinds社が提供するネットワーク管理ソフト『Orion』のアップグレードファイル内にSunburstと呼ばれるマルウェアが仕込まれていたため、アップデートの配布を受けた17,000社に影響が及んだとされています。Kaseya社から直接顧客に配布されたものではなかったものの、同社サービスVSAを利用している60社のMSPを経由して1,500社もの顧客に被害が及んでいます。
さらに、今回の事件は2021年3月に起きたMicrosoft Exchange Serverの脆弱性によって引き起こされたランサムウェア攻撃とも似ています。どちらも攻撃者は、ゼロデイ脆弱性を悪用してサーバーを乗っ取り、データを暗号化、ランサムウェア攻撃を仕掛けています。そしてこの2つの攻撃はともに、認証バイパスから始まったとされています。TRUESECによると、Kaseya社の攻撃で認証バイパスなどゼロデイ脆弱性が連鎖しているとしています。
何よりも3つの事件において、SolarWinds社はADFS、Microsoft社のExchange Server 、Kaseya社はVSAと、その全てがオンプレミスサーバー上で攻撃された点をみれば、それがいかに攻撃者にとって標的にしやすい環境であるかがわかるでしょう。
認証バイパス(Authentication Bypass)の脆弱性
攻撃者は、ブラウザからVSAのウェブインターフェースでPOSTなどのコマンドを使い、セッションIDの取得までできたとされています。
分析を行ったTRUESECの類似コード(*1)のシーケンスを見ると、ロジックのミスで生まれたこのプログラミングのバグにより、攻撃者がユーザーIDとパスワードを入力しなくてもログインセッションキーを取得し得たことになっています。
if password == hash(row[nextAgentPassword] + row[agentGuidStr])
login ok
elseif password == hash(row[curAgentPassword] + row[agentGuidStr])
login ok
elseif password == hash(row[nextAgentPassword] + row[displayName])
login ok
elseif password == hash(row[curAgentPassword] + row[displayName])
login ok
elseif password == row[password]
login failed
else
login ok
(*1)引用:TRUESEC How the Kaseya VSA Zero Day Exploit Worked
さらにTRUESECは、攻撃者がVSAサーバーにPOSTコマンドを投げる際、すでにagentGuidを取得しており、数万台あるVSAサーバーの中で、このIDを持つ60台にとどまったとされています。攻撃者がどのようにしてagentGuidを取得したかは把握できていません。
DarkReadingでは、攻撃者はこの攻撃を2時間以内に展開していると指摘しています。
また、専門家が2時間以内で攻撃者にランサムウェアを展開させられた理由として、MSPが監視するためのリソースや人材不足なども挙げています。
ITサービス提供業者の責任は大きい
Kaseya社はMSP向けにVSAサーバーを提供し、MSPはそのVSAサーバーを使って中小企業向けにパソコンやネットワーク管理、監視システムサービスなどを提供しています。一般的にはエンドユーザーである中小企業は専門的なIT知識を持っている訳ではないため、MSP業者に依存する傾向があり、今回の事件から各MSPも最終的にはベンダーであるKaseya社のセキュリティ運営に依存してしまっていたのではないでしょうか。
さらに、MSPが管理するVSAサーバーはパッチ管理などパソコンのメンテナンスを行うため、攻撃者は管理者権限を持つことで、リモートで自由にパソコンにアクセスでき、ソフトウェアのインストールまでもが可能になります。つまり、中小企業のパソコンはVSAサーバーがインターネットに直面しているにも関わらず、無条件に信用する、「ブラインドトラスト」になってしまっていたのです。攻撃者にインターネットからVSAサーバーに侵入されてしまえば、もはやパソコンを守る方法はないと言えます。
しかし、Kaseya社もそしてその製品を利用するMSPも、顧客をサイバー攻撃から守ることに責任があると考えます。その責任は我々ITサービス業者が「全力でお客様の情報資産を守る」※ことです。
ゼロトラスト・アーキテクチャとは
PwCコンサルティング合同会社が翻訳をしたNIST Special Publication 800-207 ゼロトラスト・アーキテクチャによると、「ゼロトラスト・アーキテクチャ(ZTA)は、ゼロトラストの概念を利用し、コンポーネントの関係、ワークフロー計画、アクセスポリシーなどを含むサイバーセキュリティ計画のことである。従って、ゼロトラスト企業とは、ゼロトラスト・アーキテクチャ計画の産物として、組織のネットワークインフラストラクチャ(物理的および仮想的)と運用ポリシーを指す」としています。
Kaseya社の事件、そしてこれまでの大きなサイバー攻撃をみても、常に進化する攻撃者からお客様を守るためには、サービスベンダーもMSPも、ブラインドトラストからゼロトラスト・アーキテクチャにシフトし進化する必要があると考えています。無条件の信用、ブラインドトラストからゼロトラストへのシフトは簡単なことではありませんが、現在インターネットに直面しているMSPなどサービス提供事業者は、この業界で生き残るために他の選択肢はないと考えています。
ゼロトラストとは、全てのアクセスを信用しないというセキュリティの考え方です。攻撃者が突くであろう脆弱性なども含め「危険なものはない」と見えないものを信用するブランインドトラストでは、もはや攻撃の拡大を抑えられないことは明らかです。アクセスされている全てのものを疑い、不確実性を最小限に抑えた運用が重要なのです。
ゼロトラスト・アーキテクチャに基づいたサービス提供で認証維新を起こす
2020年からの新型コロナウイルスの感染拡大によって世の中が大きく変わり、リモートワークを導入する企業が増える一方で、攻撃者も日々進化を遂げ、アメリカだけでなく日本企業にも身代金を要求するランサムウェアによるサイバー攻撃が増加しています。
ISRは激化するサイバー攻撃から企業を守るため、ゼロトラスト・アーキテクチャに基づいて再設計・再開発したCloudGate UNOを提供しています。
ゼロトラストの考えのもと、すべてのアクセスを疑い、すべての安全性を確認するため、パスワードのみの認証から、デバイス上で生体情報などを利用した本人検証で、突破されにくい強固な認証を実現するゼロトラストMFA(多要素認証)の提供を強化。また、これまでのSSOの利点であり課題でもあった「一度の認証で複数のサービスが利用可能」の考えから、各サービスにアクセスするごとに認証が要求される仕組みのほか、認証強度もサービスごとに設定が必要になるゼロトラストSSOを適用しました。あわせて認証保持状態機能を新たに適用することで、それぞれの認証要素に対して、認証を保持する有効時間の設定を可能とし、わざわざパスワードを何度も入力する手間をなくし、SSOの利便性も確保しました。
そして、このCloudGate UNOの仕組み自体の提供にとどまらず、企業のサイバーセキュリティ対策を支援する部隊として幅広いサポートを行う「CloudGate Premium Support」も提供しています。
このサポートサービスを新たに提供する背景には、ISRが掲げる「安全かつ便利な認証を( Secure yet easy to use authentication )」のビジョンがあります。
社会風潮としては「便利であり、なおかつ安全な認証」というように便利である点が優先される傾向が見られます。確かに認証において利便性はもちろん必要ですが、様々なサイバー攻撃が増えている今、何よりも優先すべきは「安全性」だと考えています。ISRはその考えに基づき、CloudGate Premium SupportとCloudGate UNOを併せてご利用いただくことで、より高いセキュリティを実現します。そして、2014年から安全なMFAの提供を開始して以来、パスワード認証に代わる安全な認証とパスワードレス認証の普及に努めてきましたが、今回の2つのサービスの提供を皮切りに、パスワード認証に頼る企業文化を変革し、ISRが掲げる「認証維新」を加速させていきます。
※ISRは「全力でお客様の情報資産を守る」ことを経営理念として掲げています。