独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害
今回は「独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害」についてご紹介します。
関連ワード (Kaseya、ゼロデイ攻撃、マルウェア、ランサムウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
米国時間7月2日に、世界数百社の企業をランサムウェアの洪水が襲った。食料品チェーンや放送局、国営鉄道などがファイルを暗号化するマルウェアに襲われ、数百社が業務続行不能による閉鎖に追い込まれた。
被害者には共通点があった。ネットワークの管理とリモートコントロールに、米国のテクノロジー企業Kaseyaのソフトウェアを使っていた。マイアミに本社のある同社は、企業のITネットワークとデバイスをリモートで管理するために使うソフトウェアを開発している。そのソフトウェアはマネージドサービスのプロバイダーに販売されており、実質的にIT部門をアウトソーシングし、プロバイダーはそのソフトウェアを使って顧客のネットワークを管理している。顧客は小規模の企業が多い。
しかし、ロシアと結びついているランサムウェア・アズ・ア・サービスのグループであるREvilと関係のあるハッカーたちは、そのソフトウェアのアップデートの仕組みに存在する、誰にも見つかっていなかったセキュリティの脆弱性を利用してランサムウェアをKaseyaの顧客企業にプッシュし、さらに、下流に位置する彼らの顧客へとそれは拡散したと信じられている。最終的にこの犯行の被害者になった企業の多くが、自分のネットワークをKaseyaのソフトウェアがモニターしていることすら、知らなかっただろう。
Kaseyaは7月2日に顧客(サービスプロバイダー)たちに、彼らのオンプレミスのサーバーを「IMMEDIATELY(ただちに)」シャットダウンするよう警告し、同社のクラウドサービスは(無事と信じつつ)用心のためオフラインにされた。
今回の攻撃をいち早く明らかにした脅威検知会社Huntress LabsのシニアセキュリティリサーチャーであるJohn Hammond(ジョン・ハモンド)氏は、約30社のマネージドサービスプロバイダーが攻撃を受け、ランサムウェアが「1000社をはるかに超える」企業に拡散したと述べる。セキュリティ企業のESETは、英国、南アフリカ、カナダ、ニュージーランド、ケニア、インドネシアなど17カ国の被害者を把握しているという。
7月5日の夜、Kaseyaはアップデートで、約60社のKaseyaの顧客が影響を受け、被害者の数は1500社未満であると発表した。
また現在、史上最大規模のランサムウェア攻撃をハッカーがどのように成功させたかが明らかになりつつある。
オランダの研究者は、ウェブベースの管理ツールのセキュリティに関する調査の一環として、Kaseyaのソフトウェアにいくつかのゼロデイ脆弱性を発見したと述べている(ゼロデイとは、企業が問題を修正するのに0日しか与えられないことから、そのように名付けられている)。これらのバグはKaseyaに報告され、ハッカーが攻撃してきたときには修正されている最中だったと、研究者グループを率いるVictor Gevers(ビクター・ゲバーズ)氏はブログ投稿で述べている。
Kaseyaの最高経営責任者であるFred Voccola(フレッド・ヴォコラ)氏は、The Wall Street Journalに対し、同社の企業システムは侵害されていないと述べた。これにより、セキュリティ研究者たちが、Kaseyaの顧客が運営するサーバーが、共通の脆弱性を利用して個別に侵害されたという定説をより確かなものにした。
同社によると、被害に遭ったソフトウェアが動いているすべてのサーバーが、パッチができるまでオフラインにされる。ヴォコラ氏はWSJに、パッチは7月5日中にリリースされるだろうと述べている。
犯行は7月2日の午後遅くに始まり、その頃は何百万人もの米国人が週末の7月4日に始まる連休に備えてログオフしていた。つまりCrowdStrikeの上級副社長Adam Meyers(アダム・マイヤーズ)氏が指摘するように、慎重に時間を選んで行われた犯行だった。
マイヤーズ氏は「今回の攻撃のタイミングと標的は、決して偶然ではありません。この攻撃は、我々が定義する『ビッグゲーム・ハンティング(大物狩り)』というもので、企業がガードを下げている週末に、サプライチェーンを通じて影響と利益を最大化するためにターゲットに対して仕かけられたものです」という。
週末にREvilが運営していると思われるダークウェブサイトにポストには、この犯行の声明と7000万ドル分(約77億6000万円)のBitcoin(ビットコイン)を支払えば、ランサムウェアグループが暗号解除ツールを公開リリースするとある。
同グループは投稿で「100万台以上のシステムが感染した」と主張している。
関連記事:ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収
画像クレジット:Ali Lorestani/Getty Images
【原文】
On Friday, a flood of ransomware hit hundreds of companies around the world. A grocery store chain, a public broadcaster, schools, and a national railway system were all hit by the file-encrypting malware, causing disruption and forcing hundreds of businesses to close.
The victims had something in common: a key piece of network management and remote control software developed by U.S. technology firm Kaseya. The Miami-headquartered company makes software used to remotely manage a company’s IT networks and devices. That software is sold to managed service providers — effectively outsourced IT departments — which they then use to manage the networks of their customers, often smaller companies.
But hackers associated with the Russia-linked REvil ransomware-as-a-service group are believed to have used a never-before-seen security vulnerability in the software’s update mechanism to push ransomware to Kaseya’s customers, which in turn spread downstream to their customers. Many of the companies who were ultimately victims of the attack may not have known that their networks were monitored by Kaseya’s software.
Kaseya warned customers on Friday to “IMMEDIATELY” shut down their on-premise servers, and its cloud service — though not believed to be affected — was pulled offline as a precaution.
John Hammond, senior security researcher at Huntress Labs, a threat detection firm that was one of the first to reveal the attack, said about 30 managed service providers were hit, allowing the ransomware to spread to “well over” 1,000 businesses.” Security firm ESET said it knows of victims in 17 countries, including the U.K., South Africa, Canada, New Zealand, Kenya, and Indonesia.
On Monday night, Kaseya said in an update that about 60 Kaseya customers were affected and put the downstream number of victims at fewer than 1,500 companies.
Now it’s becoming clearer just how the hackers pulled off one of the biggest ransomware attacks in recent history.
Dutch researchers said they found several zero-day vulnerabilities in Kaseya’s software as part of an investigation into the security of web-based administrator tools. (Zero-days are named as such since it gives companies zero days to fix the problem.) The bugs were reported to Kaseya and were in the process of being fixed when the hackers struck, said Victor Gevers, who heads the group of researchers, in a blog post.
Kaseya’s chief executive Fred Voccola told The Wall Street Journal that its corporate systems were not compromised, lending greater credence to the working theory by security researchers that servers run by Kaseya’s customers were compromised individually using a common vulnerability.
The company said that all servers running the affected software should stay offline until the patch is ready. Voccola told the paper that it expects patches to be released by late Monday.
The attack began late Friday afternoon, just as millions of Americans were logging off into the long July 4 weekend. Adam Meyers, CrowdStrike’s senior vice president of intelligence, said the attack was carefully timed.
“Make no mistake, the timing and target of this attack are no coincidence. It illustrates what we define as a Big Game Hunting attack, launched against a target to maximize impact and profit through a supply chain during a holiday weekend when business defenses are down,” said Meyers.
A notice posted over the weekend on a dark web site known to be run by REvil claimed responsibility for the attack, and that the ransomware group would publicly release a decryption tool if it is paid $70 million in bitcoin.
“More than a million systems were infected,” the group claims in the post.
(文:Zack Whittaker、翻訳:Hiroshi Iwatani)
IT Management Software - for MSPs and IT Teams | Kaseya
Kaseya provides IT Management Software to MSPs and IT Teams to improve efficiency and security. Manage IT assets, service desk, and more.
Kaseya / ブルースター株式会社
kaseyaは全世界で8500社に合計1000万ライセンスを提供しているパソコン自動運用ツールの最大手です。
IT管理サービス「Kaseya」を標的にしたランサムウェアの大規 …
Acerや食肉加工大手・JBSへのランサムウェア攻撃を行ったことで知られているサイバー攻撃集団「REvil」が、IT管理サービス「Kaseya」を標的としたサプライチェーン攻撃を行いました。Kaseyaがセキュリティ企業と協力的に対応したことで、連鎖的な被害は食い止められたとみられますが、SaaSのサーバー停止による影響は多くの企業に及んでいます。
独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百 ...
米国時間7月2日に、世界数百社の企業をランサムウェアの洪水が襲った。食料品チェーンや放送局、国営鉄道などがファイルを暗号化するマルウェアに襲われ、数百社が業務続行不能による閉鎖に追い込まれた。被害者には共通点があった。ネットワークの管理とリモートコントロールに、米国のテクノロジー企業Kaseyaのソフトウェアを使っ..
Kaseya攻撃のREvil、Moneroとは別にビットコインでも78億円 ...
Kaseyaにランサムウェア攻撃を仕掛けたとみられるREvilがダークウェブブログで、影響を受けたシステムは100万以上あると宣言。ビットコインで7000万ドル(約78億円)支払えばすべてを復号するマスターキーを提供すると告知した。
和歌山県和歌山市・有田市 成人式の振袖ならかせ屋
振袖なら「かせ屋」へ。和歌山県内で一番の品揃えを誇る振袖購入・振袖レンタル店。オシャレな髪飾りや帯揚げなどの小物はもちろん、着物店ならでは特典も豊富。振袖のリメイクもお任せください。ご家族そろった前撮り写真や和歌山市・有田市での成人式当日のことについてもなんでもお聞き下さい。振袖カタログは無料でプレゼント!
ITシステム管理サービスのKaseyaにランサムウェア攻撃-- …
1 日前 · Kaseyaは米国時間7月2日以降、このインシデントに関する最新情報を同社のサイトで継続的に掲載している。2日には、オンプレミスの全顧客に各社 ...
Kaseya とは? - g-advance.co.jp
Kaseya とは? • クライアント向けシステム運用の自動化(IT オートメーシ ョン)を実現するソフトウェアを世界中に展開
RMM Software - Remote Monitoring and Management - Kaseya
Kaseya VSA remote monitoring and management (RMM) software helps MSPs achieve greater profitability and IT departments do more with less.
キヤノン:「Kaseya」を中核としたクライアント向けITサービ …
· 「Kaseya」は、クライアント向けのITサービス構築や運用を目的としたプラットホームで、世界32カ国のサービスプロバイダーや企業のIT部門に採用されています。PC遠隔操作やソフトウエア自動インストール、モバイルデバイスマネジメント
ゼロデイ攻撃とは?その特徴と対策 - NVC
サイバー攻撃の中で、予測不可能な上、即座に対応できないのがゼロデイ攻撃です。ソフトウェアベンダーやセキュリティ企業が気づいていなかった脆弱性を、サイバー犯罪者が先に発見し、それを悪用する「ゼロデイ攻撃」について解説します。
ゼロデイ攻撃 - Wikipedia
ゼロデイ ( 英: zero-day )とは、 情報セキュリティ において、 セキュリティホール が発見された日から、その 脆弱性 を解消するための対処方法が確立される日までの期間のことであり 、その期間に、当該脆弱性を利用して行われる サイバー攻撃 のことを、 ゼロデイ攻撃 (ゼロデイこうげき、 英: zero-day attack )という。.
ゼロデイ攻撃とはなにか?サイバー攻撃の特徴と対策方法 ...
· ゼロデイ攻撃の意味 「ゼロデイ攻撃」とは、新たな脆弱性(セキュリティホール)が発見されたときに、問題の公表や修正プログラムが提供される前に行われるサイバー攻撃のことです。対策を取られる日を1日目(ワンデイ)と考え、それより
ゼロデイアタック(ゼロデイ攻撃)とは - IT用語辞典 e-Words
ゼロデイアタック【ゼロデイ攻撃 / zero-day attack / 0-day attack】とは、ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用して行われる攻撃。
修正プログラム提供前の脆弱性を悪用したゼロデイ攻撃につい ...
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
増え続ける「ゼロデイ攻撃」とは? 過去事例と対策法を解説 ...
サイバー攻撃は年々巧妙になっており、日々新たな攻撃手法が誕生している。ゼロデイ攻撃と呼ばれる、まだ公にされていない脆弱性や対策が講じられていない脆弱性を狙う手法は既知の攻撃を前提とした、従来の考え方では防ぐことが難しい。ここでは、ゼロデイ攻撃の概要、メカニズム、ゼロデイ攻撃への対処方法を解説する。
ゼロデイ攻撃とは?脆弱性を悪用した攻撃の発生理由と効果的 ...
ゼロデイ攻撃はソフトウェアの脆弱性を突いた攻撃で、ベンダーの修正プログラム適用前のセキュリティ対策が出来ていない無防備な状態で行われてしまう厄介な攻撃です。何故ゼロデイ攻撃が発生するのか、攻撃事例の紹介と今すぐできる対策を考察していきます。
ゼロデイ攻撃とは?被害事例からEDR等の対策まで分かりやす …
三菱電機の事例でも話題になったゼロデイ攻撃。そのリスクと対策について詳しくまとめました。全く知らない方でも分かるように丁寧に解説しているので、是非ご覧ください。 ゼロデイ攻撃とは? アプリケーションやソフトウェアでの脆弱性が発見
脅威を知る:「ゼロデイ攻撃」 | トレンドマイクロ ...
「ゼロデイ攻撃」は、その時点ではまだ修正プログラム(パッチ)が公開されていない脆弱性を利用するサイバー攻撃です。つまり、根本的な解決方法がない状態を狙う攻撃であるため、企業組織は、ゼロデイ攻撃によって多大な影響を受ける可能性があります。本ブログ記事は、ゼロデイ脆弱性とは何か、ゼロデイ脆弱性がどのように悪用されるかについて詳述しています。ゼロデイ脆弱性について知り置くことで、ゼロデイ脆弱性が悪用されるリスクや脅威を軽減させることができます。
ゼロデイ攻撃の対策方法9選|ゼロデイ攻撃の被害事例もあわ …
ゼロデイ攻撃にはどのような対処方法が考えられるのでしょうか。この記事ではゼロデイ攻撃の仕組みやゼロデイ攻撃の対策方法9選、ゼロデイ攻撃の被害事例などをご紹介しますので、十分な対処をおこなって大切な情報を守るようにしましょう。
