MSP インフラストラクチャを標的とし、ランサムウェアをインストールする攻撃につい
2019 年 7 月 8 日 Corey Nachreiner 著
高度な技術を持つ攻撃者が 2 週間前から、MSP(マネージドサービスプロバイダ)や CSP(クラウドサービスプロバイダ)を標的にした攻撃で、インフラストラクチャやユーザにランサムウェアをインストールしようとしていることがわかりました。これらの攻撃の多くは、ConnectWise/Kaseya ソフトウェア、Webroot 管理コンソール、RDP サービスなどの MSP が使用する製品やサービスを主な標的としています。MSP に対する攻撃が今年初めから増加していることが確認されていましたが、この新しい動きでは、大小さまざまな規模の MSP へと攻撃が拡大しています。これらの攻撃はウォッチガードの製品、サービス、あるいはテクノロジに関係するものではありませんが、我々にとって、パートナーのセキュリティは非常に大きな問題です。そのため、これらの高度な攻撃の詳細をこの注意喚起でお知らせすることで、パートナーの皆様が会社とお客様を保護するために必要な措置を講じていただけるようにしたいと考えました。これらの標的型攻撃の極めて深刻なリスクを十分に認識するきっかけとなれば幸いです。
Sodinokibi ランサムウェアを拡散する最近の MSP 攻撃
この数週間で、MSP に対する高度な攻撃によって、MSP のすべての顧客のネットワークとそのコンピュータにもランサムウェアをインストールしようとする例が新たに報告されるようになりました。そして、この攻撃を受けた、あるパートナーからの直接の報告を受けて、我々は、そのインシデントのいくつかのスクリプトのサンプルとマルウェアを分析しました。概要としては、この MSP に対する攻撃者は、MSP の認証の弱点、MSP 管理ツールへの不正アクセス、さらには、一般的に見られるいくつかのセキュリティ制御の欠如を組み合わせて利用することで、Sodinokibi ランサムウェアを可能な限り多くのコンピュータにインストールすることがわかりました。複数の報告によると、これらの攻撃者は、RMM(Remote Management and Monitoring)プラットフォームまでをも悪用して MSP 企業を攻撃し、顧客のエンドポイントに直接、ランサムウェアを送り込もうとします。
これらの最近の攻撃については、後ほどもう少し詳しく説明しますが、これが今年の MSP を標的とした最初の攻撃ではないことを知っておくことが重要です。これらの攻撃が本格的に始まったのは、2019 年 2 月のことであり、米国政府も早い段階で警告を発表しています。これらの MSP 攻撃をよりよく理解するには、以前の類似するすべての攻撃に注目する必要があります。以上の事実を理解した上で、これまでの経緯を簡単に振り返ることにしましょう。
2019 年の MSP 攻撃の時期と詳細
- 2018 年 10 月 3 日:NCCIC が MSP の標的型攻撃について警告
– NCCIC(National Cybersecurity and Communications Integration Center)が 2018 年第 4 四半期に、APT(Advanced Persistent Threat)攻撃が世界中の MSP のネットワークに不正侵入しようとしていると警告する勧告(TA18-276B)を発表しました。この警告には、一般的なネットワーク攻撃に関する注意喚起以外に具体的な影響の説明はなく、顧客のネットワークに対する MSP の特権的な信頼関係を悪用しようとする攻撃であると説明されていました。そして、攻撃者がこの IT サプライチェーンの関係を悪用し、IT、エネルギー、医療、通信、製造を始めとする米国の重要インフラストラクチャの分野の企業を標的にするものである可能性があると警告しました。また、この勧告には、攻撃者の TTP(Tactics, Techniques, Procedures:戦術、手法、手順)に関する詳しい情報も含まれていました。たとえば、攻撃者が正規の認証情報と信頼されたアプリケーションが攻撃に使われており、PowerShell や Visual Basic の不正スクリプトに加えて、netsh などのシステムコマンドも利用されていると警告しています。NCCIC が同じ日に発表した、関連する勧告(TA2018-276A)には、これらの MSP を標的とする、これらの信頼されたネットワークのエクスプロイトを緩和する方法として、認証セキュリティと特権アクセスの管理に関するいくつかのベストプラクティスが詳しく説明されています。 - 2019 年 2 月 5 日:ConnectWise Plug-n の脆弱性を悪用して MSP が攻撃される
– 4 か月後に、MSP に対する、ある特定の RMM(Remote Management and Monitoring)ツールを使った攻撃に関する複数のレポートが発表されました。これらの新しいレポートには、MSP 攻撃とその影響に関する技術的な詳細が含まれていました。具体的には、これらの攻撃では、Kaseya VSA RMM の ConnectWise ManagedITSync プラグインに存在する SQL インジェクションの古い脆弱性(CVE-2017-18362)が標的にされました。簡単に言えば、この重大な脆弱性によって、認証されていない攻撃者が Kaseya VSA データベースに対し、任意の SQL コマンドをリモートで実行でき、基本的には、RMM で実行できる、管理ユーザの作成から管理対象エンドポイントへのソフトウェアの導入までのすべての操作が可能になります。攻撃者はこの方法を使って、広く確認されているランサムウェア亜種である GandCrab を MSP とその顧客のネットワークに拡散させようとし、HuntressLabs のレポートによると、少なくとも 4 つの MSP が、この攻撃によってすべてのクライアントのエンドポイントを暗号化されてしまう被害を受けました。攻撃された最初の MSP の場合、2,000 台を超える管理対象コンピュータが暗号化され、244 万ドルの身代金が要求され、その一部を支払うことで、システムを復旧することを選択しました。この段階で、ConnectWise プラグインのパッチがすでに公開されていましたが、Kaseya は、パッチが適用されておらず、脆弱性が解決されていない MSP を少なくとも 126 件発見しました。 - 2019 年 4 月 30 日:新しい GandCrab 関連のランサムウェアがゼロデイのエクスプロイト
– 数か月後であるこの日に、Talos Intelligence Group の研究者が、Sodinokibi と呼ばれる新しいランサムウェア亜種に関する詳細を発表しました。この段階で、サイバー攻撃者がすでに Oracle の WebLogic アプリケーションサーバのゼロデイ脆弱性を悪用して、この新しい亜種を感染させていました。Talos の記事は、その MSP 攻撃については何も言及しませんでしたが、その Sodinokibi の亜種と Gandcrab ランサムウェアやその作成者との関連性の可能性を示唆しており、他の調査機関もその意見に同意しているようです。Sodinokibi とこれらの MSP 攻撃との関連性については、間もなく明らかになるはずであり、これら 2 つのランサムウェアファミリの関係性を考えると、同じ攻撃者が WebLogic の攻撃にも関与していた可能性があります。 - 2019 年 6 月 20 日:正規の MSP ツールを使って Sodinokibi をインストールする、MSP を標的にする攻撃が開始
この攻撃は今日に至るまで続いています。ここ数週間で、不正取得された特権付き認証情報と正規の MSP ツールを使った、MSP ネットワークに対する最近の攻撃の詳細が明らかになりました。具体的には、攻撃者は少なくとも 3 つの MSP ネットワークを乗っ取り、Webroot 管理コンソールなどの正規の RMM ツールを使って、Sodinokibi ランサムウェアを MSP の顧客のエンドポイントや MSP に強制的にインストールしました。前述のように、ウォッチガードのパートナーの少なくとも 1 社がこの最近の攻撃の被害を受けたことがわかっており、 我々は、そのパートナーから提供されたいくつかのサンプルを分析しました。以上の点を前提に、これらの MSP 攻撃に関する技術的な詳細と共通点を以下に解説します。
MSP を標的にする Sodinokibi 攻撃の技術的な詳細
この記事の執筆日現在、これらの MSP 攻撃に共通する根本原因や初期段階の侵入ベクトルは特定されていません。多くの標的型攻撃と同様、その背後にいる高度な攻撃者は、多くの場合に、さまざまなカスタマイズされた戦術を使って、さまざまな被害者を攻撃します。高度な戦術の具体例としては、スピアフィッシングメール、ネットワークサービスのエクスプロイト、認証情報の不正取得などがあります。
初期段階の侵入ベクトルは明らかになっていませんが、侵入ベクトルを示唆する可能性があるものも含む、これらの MSP 攻撃に共通する多くの技術的詳細が明らかになっています。さらに、技術的な詳細を理解することが、攻撃を特定し、自らを防御するのに役立ちます。これらの攻撃の技術的な共通点を以下に解説します。
- 攻撃者は RDP を標的にする。RDP(Remote Desktop Protocol)は、Windows でリモートデスクトップ管理機能を提供する Microsoft のネットワーク標準規格です。多くの MSP は通常、RDP を利用して自らのクライアントやデスクトップを管理し、多くの場合に、RDP サービスは外部に公開されます。いくつかのレポートが、これらの攻撃者が RDP サービスを通じて MSP への最初のアクセスを手に入れたことを示唆しています。これには、次の 2 つのシナリオが考えられます。1 つ目の一般的な戦術である RDP 総当たり方式攻撃では、攻撃者がよくある認証情報を使って多数のログオン試行を自動化し、有効な 1 件を見つけようとします。2 つ目は、ソフトウェアの脆弱性を悪用して、RDP サーバを制御する方法です。たとえば、攻撃者はパッチが公開されたばかりの BlueKeep と呼ばれる RDP の脆弱性(CVE-2019-0708)のエクスプロイトによって、MSP のパッチが適用されていない RDP サーバを完全に制御できるようになる可能性があります。いずれの場合も、攻撃者が RDP サーバを手に入れてしまえば、他の特権付き認証情報を手に入れるのは、容易いことでしょう。
- 攻撃者が、MSP の特権付き認証情報を手に入れる。前述の RDP ベクトル、あるいはその他の初期段階の攻撃のいずれの場合であっても、これらの攻撃者が最初に実行するのは、できるだけ多くの特権付き認証情報を手に入れることです。正規の MSP ユーザアカウントにアクセスできるようになれば、そのユーザであるかのようにツールを利用できるようになります。ウォッチガードが四半期ごとに発表しているインターネットセキュリティレポートでは、Mimikatz というマルウェアツールが 1 年以上にわたって最大の脅威となっています。Mimikatz は、攻撃者が標的のシステムの 1 つに侵入した後に、認証情報を不正取得する目的で使用されるツールです。これらの攻撃では報告されていませんが、攻撃者が MSP システムを乗っ取った後に特権付き認証情報を取得する可能性があることを示す 1 つの例が見つかっています。
- 攻撃者が、一般的なツールを利用して Sodinokibi をインストールする。これらの高度な攻撃者は、MSP を研究し、どのようなツールが使用されているかをよく知っています。事実、それらのツールを MSP に対して使って、不正ペイロードをインストールしています。前述のとおり、初期の MSP 攻撃では、多くの MSP で使われている一般的な ConnectWise/Kaseya プラグインのソフトウェア脆弱性が悪用されました。その攻撃の場合は、ユーザによる操作や不正取得した認証情報を使用することなく成功しましたが、最近の攻撃はそうではありません。攻撃者が特権付き MSP アカウントのいずれかを取得すると、脆弱性を悪用することなく、自らの RMM や他の MSP ツールを正当な方法で利用する可能性があります。これらのツールのほとんどに、管理対象のすべてのエンドポイントにソフトウェアをインストールしたりコマンドを実行したりできる機能があり、これらの脅威の攻撃者がこのような方法で ConnectWise Control や Kaseya VSA RMM を利用していることが、研究者によって確認されています。これは、RMM そのものに何らかの不備があるためではなく、単純に、特権付き認証情報へのアクセスを攻撃者が手に入れたためです。
- Webroot の管理コンソールを使って Sodinokibi を拡散する。これも、詳細については上記の説明に直結しますが、比較的新しい発見事項として強調しておく価値があるでしょう。最近の MSP 攻撃では、攻撃者が Webroot 管理コンソールを使って不正スクリプトやランサムウェアを管理対象のエンドポイントにインストールしていたことがわかっています。前述のとおり、これは、Webroot システムの不備によるものではなく、単に特権付き認証情報へのアクセスを攻撃者が手に入れたためです。以下のスクリーンショットに示すように、攻撃者はこの特権アクセスを使って、MSP のすべての管理対象エンドポイントで不正 PowerShell コマンドを起動します。
- セキュリティ制御を無効にする。攻撃者はさらに、RMM やセキュリティ管理コンソールに対する昇格したアクセス権を悪用することで、綿密に計画されて実装されたセキュリティ制御であっても無効にできます。たとえば、ランサムウェアをインストールする前に、Webroot 管理コンソールを使用して一部のエンドポイントセキュリティ機能を無効にすることもあります。複数のレポートによると、攻撃者はウイルス対策クライアントを無効にし、場合によっては Veeam エンドポイントバックアップエージェントも無効にして、データがリカバリされないようにしています。つまり、いずれかの管理者認証情報を手に入れた攻撃者は、正規の RMM ソリューションを使って、十分に考慮して追加されたセキュリティ対策であっても無効にできるということです。
- PowerShell と PowerSploit フレームワークを多用する。過去の MSP 攻撃と同様、最近の攻撃でも、PowerShell を使って何段階かにわけてペイロードをダウンロードしており、このことが、従来型のセキュリティ制御をマルウェアが回避するのに役立っている可能性があります。具体的には、この攻撃では、PowerSploit と呼ばれる、多くのサイバー犯罪者に利用されている有名な PowerShell 侵入テストフレームワークの機能が使われています。さらに具体的に言えば、PowerSploit スクリプトを使って、DLL や EXE を別のプロセスや Powershell プロセスそのものにインジェクションしています。これは、ファイルレスマルウェアと呼ばれる、実行可能ファイルをメモリだけにロードする有効な方法です。余談ですが、この攻撃から取得されたサンプルを我々が分析した結果、ウォッチガードのマルウェア対策サービス(Gateway AntiVirus や APT Blocker など)がこの攻撃に関連する PowerShell の不正スクリプトのサンプルを検知できることが確認されました。
- Sodinokibi ランサムウェアをできるだけ多くのエンドポイントにインストールする。この攻撃者の目的は、つまりは、MSP から多額の金銭を手に入れることを狙って、Sodinokibi ランサムウェアをできるだけ多くの MSP とその顧客のエンドポイントにロードすることです。これらの攻撃の 1 つから取得したサンプルは、Sodinokibi のかなり一般的な亜種のようであり、ウォッチガードの 3 つのマルウェア対策サービスはすべて、ネットワーク接続経由で送信された段階でこの亜種を捕捉します。しかしながら、攻撃者が段階的にペイロードを拡散する目的で PowerShell を使用することで、マルウェアがセキュリティ制御を回避できる場合があることを覚えておくべきでしょう。Sodinokibi はかなり一般的なランサムウェアであり、強力な暗号化方式で MSP のファイルを暗号化します。そして、被害者が身代金の支払いに応じると、そのファイルを復号化する方法が書かれたダークウェブ(Tor オニオン)サイトに誘導されます。このランサムウェアには、マルウェア対策サンドボックスの回避に役立ついくつかの機能が組み込まれていますが、これらの動作についても、ウォッチガードの APT Blocker で捕捉されます。Sodinokibi の詳細を知りたい方は、この記事を参照してください。
図 1:不正 PowerShell コマンドを起動するために使用された Webroot 管理コンソールのログ
ここまでの説明で、これらの攻撃の一般的な技術的詳細の一部を理解できたので、この攻撃の仕組みを詳しく見ていくことにしましょう。
Sodinokibi による MSP 攻撃の仕組み
- MSP の特権付き認証情報へのアクセスを手に入れる。初期段階の感染ベクトルに共通する根本原因が特定されていないため、この段階は唯一、この攻撃において今も明らかになっていない部分です。ほとんどの標的型攻撃と同様、この攻撃でも、それぞれの標的の弱点に応じて、さまざまな異なる手段が使われます。ただし、オープン RDP サービスがどの手段にも共通する弱点であるようであり、攻撃者は、オープン RDP サーバから総当り方式で認証情報を手に入れたり、潜在的な RDP の脆弱性(BlueKeep 脆弱性を標的にする場合など)のエクスプロイトによって RDP サーバを制御し、他のツールを使用して認証情報を不正取得したりします。ほとんどの MSP が 2 月にはパッチをすでに適用していたものと推測されますが、攻撃者が ConnectWise/Kaseya プラグインの古い脆弱性を利用してアクセスする可能性は残されています。単純なスピアフィッシングメールを使って、MSP のユーザを騙し、認証情報を手に入れる可能性もあります。いずれの場合も、攻撃者が MSP のインフラストラクチャへの十分なアクセス権を手に入れ、特権付き認証情報を取得することがわかっています。
- MSP 管理ツールを利用する。上記のように、これらの攻撃者が MSP の特権付き認証情報を手に入れようとするのは、RMM システムでその情報を悪用するためです。認証情報を手に入れた攻撃者は、ConnectWise Control、Kaseya VSA、Webroot の管理コンソールなどの RMM にログインし、管理対象エンドポイントを直接操作します。このような操作にあたっては、先ず初めに、前述の Webroot AV、ESET AV、Veeam バックアップエージェントなどのセキュリティ機能やソフトウェアを無効にすることが多いようです。
- RMM または管理コンソールからバッチスクリプトまたは PowerShell を起動する。RMM または管理コンソールへのアクセスが可能になると、コマンドやソフトウェアをすべての管理対象エンドポイントに直接展開できるようになります。これらの攻撃の一部で Webroot 管理コンソールが使用されていたことが報告されています。攻撃者は、MSP が使用しているツールをそのまま利用して、最初の PowerShell コマンドをバッチスクリプト(1488.bat)またはコマンド(上記の図 1 を参照)として直接起動できます。攻撃で使用されるコマンドの例を以下に示します。
基本的には、このコマンドは Windows のコマンドラインユーティリティ(cmd.exe)を使用して、ローカルの制限がほとんどない状態で、PowerShell を非表示モードで起動します。PowerShell の実際の内容は base64 でエンコードされています。デコードしたスクリプトを以下に示します。
このスクリプトは、エンドポイントが 64 ビットシステムかどうかをチェックし、それに合わせて環境属性を設定した後に、Pastebin ページのコンテンツを文字列としてダウンロードし、これが攻撃の第 2 段階として PowerShell で実行されます。この記事の執筆日現在、この不正スクリプトは Pastebin から削除されていますが、我々は、この攻撃の被害者からサンプルを入手しました。かなり長いそのスクリプトのほんの一部を抜粋し、以下に紹介します。
スクリプト全文を分析したところ、Invoke-ReflectivePEInjection という PowerSploit コレクションの少しだけ変更されたバージョンのスクリプトであり、DLL または EXE を実行中のプロセスまたは PowerShell プロセスそのものに直接インジェクションするよう設計されていることがわかりました。これは、ファイルレスマルウェアと呼ばれる形式の、実行可能ファイルをメモリだけにロードする方法です。今回のスクリプトの場合は、Sodinokibi マルウェアの埋め込み PE(ポータブル実行可能ファイル)が含まれており、予想通り、これによって、被害者のコンピュータが暗号化されます。余談ですが、ウォッチガードの GAV(Gateway AntiVirus)サービスであれば、最初の PowerShell スクリプトと第 2 弾の PowerShell スクリプトの両方が不正コンテンツとして認識されます。
以上のように、これらの標的型攻撃では、さまざまな戦術を利用することで、特権付き MSP アカウントの認証情報を不正に取得し、それらの認証情報を使うことで、攻撃者が RMM やエンドポイント管理システムを直接利用し、PowerShell の不正スクリプトを管理対象のすべてのエンドポイントに送り込むことができます。この段階型の PowerShell スクリプトは、Sodinokibi ランサムウェアをファイルレスマルウェアとして直接メモリにロードします。攻撃者が MSP の環境にあるツールを利用し、MSP が管理しているすべてのコンピュータを一斉に感染させることができます。
MSP が自らを保護するには、どうすれば良いのでしょうか?
先ず初めに、特に高度な攻撃者が関与している場合には、特効薬と呼べる対策はありません。これらの高度な攻撃者は、さまざまな方法を使って従来型の防御を回避するため、異なる複数のセキュリティレイヤで異なる攻撃方法に対抗する必要があります。しかしながら、今回の攻撃に関して言えば、いくつかの有効な防御策が存在します。
- 全社で多要素認証(MFA)を使用する。今回の MSP ネットワーク攻撃の単独の根本原因が特定されたわけではありませんが、最終的には、攻撃者が MSP の特権付き認証情報へのアクセスを手に入れてそれを利用し、管理ツールを悪用することがわかっています。MFA は、この種の認証情報の盗難や攻撃からの確実な保護を可能にする唯一の手段です。いずれか 1 つの RMM 管理パスワードを攻撃者に知られてしまったとしても、MFA ソリューションによって、攻撃者がそのパスワードでログインするのを防ぐことができる可能性があります。会社のログイン、RDP セッション、VPN、社内の管理システム、SaaS アプリケーションを含む組織全体に MFA を実装するよう強くお勧めします。ウォッチガードの AuthPoint などのソリューションは、これらすべてのユースケースに MFA を提供しており、したがって、AuthPoint あるいは少なくともそれに類似する他の MFA 製品を使用するようお勧めします。何らかの理由で全社的に MFA をすぐに実装するのが難しい場合は、少なくとも MFA をサポートするすべての重要なアプリケーションで(最低でも、RMM ソリューションで)MFA をセットアップすることをお勧めします。Webroot 管理コンソールや Kaseya VSA などの製品は MFA をサポートしているため、MFA を忘れずに使用してください。MFA だけだったとしても、この攻撃の被害を大幅に軽減できた可能性があります。
- 外部とやり取りするソフトウェアに積極的にパッチを適用する。2 月からの時期的に前の MSP 攻撃では、Kaseya VSA の ConnectWise プラグインの古い深刻な脆弱性が悪用されました。ConnectWise は 2017 年にこの脆弱性を修正しましたが、昨年 2 月の段階でも、一部の MSP でこの脆弱性が修正されていませんでした。重要なソフトウェア、特にクライアントのエンドポイントやネットワークアプライアンスへのアクセスに使用する強力な管理ツールについては、常に最新の状態にしておくことが重要です。ConnectWise プラグインの脆弱性がこれらの時期的に新しい方の攻撃に関連しているとは考えられず、RMM やエンドポイント管理ツールの何らかの新しい脆弱性が悪用されたとも考えられません。したがって、不正取得した認証情報を使って MSP のツールにアクセスしたというのが事実でしょう。しかしながら、MSP ソフトウェアが常にパッチを適用して安全な状態にしておくことが重要です。また、自社のサイトと顧客のサイトの Windows と RDP のパッチレベルをチェックすることをお勧めします。Microsoft は最近、これらのインシデントで使用された攻撃ベクトルの 1 つである可能性のある、非常に深刻度の高い RDP の脆弱性を修正しました。BlueKeep にパッチが適用されていることを確認するようお勧めします。
- リモート管理の ACL を強力にし、VPN を使用する。MSP がリモート管理サービスを提供するには、顧客あるいは自社のいずれのネットワークにおいても、外部に公開しなければならないネットワークサービスが数多く存在することになるでしょう。たとえば、いくつものサイトから RDP にアクセスできるようにすることで、技術担当者がデスクトップを管理できるようにしている場合があるでしょう。また、RMM 管理ツールの場合も、担当者が必要なときにどこからでもログインできるようにするために、おそらく外部からアクセスできるようになっているでしょう。さらには、エンドポイント管理ソリューションやその他の製品を利用できるようにする目的で、外部に公開されているネットワークサービスも存在するでしょう。これらの管理機能を許可する場合は、そのセキュリティについても十分に考慮する必要があります。特権を最小限にするという原則に従って、これらのネットワークサービスにアクセスできる IP やユーザをできるだけ少なくします。たとえば、アクセスを少数の IP に制限できるのであれば、RDP アクセスを外部に公開しないようにします。可能であれば、すべてのリモート管理サービスに VPN を必須にします。WatchGuard Firebox では、ユーザに基づくきめ細かいポリシーを作成し、複数のリモート VPN ソリューションを提供することができます。
- ネットワークとエンドポイントで高度ウイルス対策サービスを使用する。平均的なマルウェアであっても、最近は、回避能力が極めて高く、高度化しています。今回の攻撃では、PowerShell を使用してマルウェアを拡散しているため、ネットワークやエンドポイントの古い対策を回避できる場合もあります。PowerSploit 関数を使用してランサムウェアを直接メモリにロードするため、ファイルレスであり、ファイルベースの保護を回避できます。このランサムウェアの実行ファイルには、一部のマルウェアサンドボックスの回避能力もあります。シグネチャベースの従来型マルウェア対策ソリューションだけにほとんど頼って会社や顧客を保護している場合、今回の攻撃だけでなく、他の攻撃であっても、多くの側面が見逃されてしまう可能性があります。したがって、ネットワークとエンドポイントの両方に、異なる複数の種類のマルウェア対策を実装する必要があります。行動分析と機械学習が活用されている、より新しいマルウェア対策ソリューションを採用することで、シグネチャでは見逃されてしまう可能性のある新しいマルウェア亜種も検知できるようにしておくことをお勧めします。さらには、わずか 1 台であっても、エンドポイントに到達してしまう可能性を排除するために、エンドポイントでのマルウェアの検知とレスポンスを可能にする何らかのソリューションを実装する必要があるでしょう。ウォッチガードのお客様の場合、Total Security サービスには、GAV(Gateway AntiVirus)、IAV(IntelligentAV)、APT Blocker、TDR(Threat Detection and Response)という 4 つのマルウェア対策サービスが含まれています。GAV と APT Blocker のどちらのサービスも、ネットワークゲートウェイに侵入しようとする段階で、Sodinokibi ランサムウェアや今回の攻撃で使用された PowerShell スクリプトを検知します。ただし、攻撃者がネットワーク検知を回避する可能性のある他の拡散方法を使用する場合もあることを考慮し、これらのサービスに TDR サービスや他のエンドポイント保護製品などのエンドポイント保護も組み合わせて、使用する必要があります。
- 顧客と自らのデータを定期的にバックアップする。MSP が自らと顧客のデータのバックアップを定期的に取得し、厳格な手順に従って保存しておくことで、これらの種類の攻撃からのリカバリがはるかに容易になるはずです。しかしながら、これらの高度な攻撃者は、バックアップも標的にすることがあり、Veeam バックアップエージェントを削除することがあるようです。そこで、バックアップを何世代か残しておくこと、さらには、オフラインのコピーも保存するようにすることをお勧めします。
この MSP 攻撃の一部は技術的に複雑でありますが、基本的には、認証情報の不正取得です。認証はすべてのセキュリティの基本であり、攻撃者が MSP のふりをすることができれば、MSP ができるすべてのことを攻撃者ができるようになります。認証を保護する最善の方法は MFA であり、MSP の内部はもちろん、顧客のサイトでも採用するようにすることが重要です。