独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

米国時間7月2日に、世界数百社の企業をランサムウェアの洪水が襲った。食料品チェーンや放送局、国営鉄道などがファイルを暗号化するマルウェアに襲われ、数百社が業務続行不能による閉鎖に追い込まれた。

被害者には共通点があった。ネットワークの管理とリモートコントロールに、米国のテクノロジー企業Kaseyaのソフトウェアを使っていた。マイアミに本社のある同社は、企業のITネットワークとデバイスをリモートで管理するために使うソフトウェアを開発している。そのソフトウェアはマネージドサービスのプロバイダーに販売されており、実質的にIT部門をアウトソーシングし、プロバイダーはそのソフトウェアを使って顧客のネットワークを管理している。顧客は小規模の企業が多い。

しかし、ロシアと結びついているランサムウェア・アズ・ア・サービスのグループであるREvilと関係のあるハッカーたちは、そのソフトウェアのアップデートの仕組みに存在する、誰にも見つかっていなかったセキュリティの脆弱性を利用してランサムウェアをKaseyaの顧客企業にプッシュし、さらに、下流に位置する彼らの顧客へとそれは拡散したと信じられている。最終的にこの犯行の被害者になった企業の多くが、自分のネットワークをKaseyaのソフトウェアがモニターしていることすら、知らなかっただろう。

Kaseyaは7月2日に顧客(サービスプロバイダー)たちに、彼らのオンプレミスのサーバーを「IMMEDIATELY(ただちに)」シャットダウンするよう警告し、同社のクラウドサービスは(無事と信じつつ)用心のためオフラインにされた。

今回の攻撃をいち早く明らかにした脅威検知会社Huntress LabsのシニアセキュリティリサーチャーであるJohn Hammond(ジョン・ハモンド)氏は、約30社のマネージドサービスプロバイダーが攻撃を受け、ランサムウェアが「1000社をはるかに超える」企業に拡散したと述べる。セキュリティ企業のESETは、英国、南アフリカ、カナダ、ニュージーランド、ケニア、インドネシアなど17カ国の被害者を把握しているという。

7月5日の夜、Kaseyaはアップデートで、約60社のKaseyaの顧客が影響を受け、被害者の数は1500社未満であると発表した。

また現在、史上最大規模のランサムウェア攻撃をハッカーがどのように成功させたかが明らかになりつつある。

オランダの研究者は、ウェブベースの管理ツールのセキュリティに関する調査の一環として、Kaseyaのソフトウェアにいくつかのゼロデイ脆弱性を発見したと述べている(ゼロデイとは、企業が問題を修正するのに0日しか与えられないことから、そのように名付けられている)。これらのバグはKaseyaに報告され、ハッカーが攻撃してきたときには修正されている最中だったと、研究者グループを率いるVictor Gevers(ビクター・ゲバーズ)氏はブログ投稿で述べている。

Kaseyaの最高経営責任者であるFred Voccola(フレッド・ヴォコラ)氏は、The Wall Street Journalに対し、同社の企業システムは侵害されていないと述べた。これにより、セキュリティ研究者たちが、Kaseyaの顧客が運営するサーバーが、共通の脆弱性を利用して個別に侵害されたという定説をより確かなものにした。

同社によると、被害に遭ったソフトウェアが動いているすべてのサーバーが、パッチができるまでオフラインにされる。ヴォコラ氏はWSJに、パッチは7月5日中にリリースされるだろうと述べている。

犯行は7月2日の午後遅くに始まり、その頃は何百万人もの米国人が週末の7月4日に始まる連休に備えてログオフしていた。つまりCrowdStrikeの上級副社長Adam Meyers(アダム・マイヤーズ)氏が指摘するように、慎重に時間を選んで行われた犯行だった。

マイヤーズ氏は「今回の攻撃のタイミングと標的は、決して偶然ではありません。この攻撃は、我々が定義する『ビッグゲーム・ハンティング(大物狩り)』というもので、企業がガードを下げている週末に、サプライチェーンを通じて影響と利益を最大化するためにターゲットに対して仕かけられたものです」という。

週末にREvilが運営していると思われるダークウェブサイトにポストには、この犯行の声明と7000万ドル分(約77億6000万円)のBitcoin(ビットコイン)を支払えば、ランサムウェアグループが暗号解除ツールを公開リリースするとある。

同グループは投稿で「100万台以上のシステムが感染した」と主張している。

関連記事:ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

カテゴリー:セキュリティ
タグ:Kaseyaランサムウェアゼロデイ攻撃マルウェア

画像クレジット:Ali Lorestani/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。