MSPも利用するIT管理ツールがゼロデイ攻撃の標的に - 日本でも検知

DIVD（Dutch Institute for Vulnerability Disclosure） CSIRTは、今回悪用された脆弱性「CVE-2021-30116」について、同社へ報告し、調整段階にあった脆弱性のひとつであったことを明らかにした。報告に対してKaseyaは協力的で、真摯に対応していたが、パッチのリリースを前に攻撃者に先を越され、攻撃発生後も対応にあたり協力してきたという。

Sophosは、ランサムウェア「REvil（Sodinokibi）」の亜種が関与するサプライチェーン攻撃であり、「ゼロデイ脆弱性」を通じてリモートアクセスが行われたと指摘。同製品はMSPにより採用されており、管理ツールのKaseya VSAには、顧客デバイスに対して高い権限が与えられていることから狙われたと分析した。

またCrowdStrikeも、今回のランサムウェアを用いた攻撃について、同社のテレメトリから「REvil」の開発や運用を手がける攻撃グループ「PINCHY SPIDER」の特徴とすべて重なると指摘。

企業において対応が手薄となりがちな週末にあわせて攻撃が開始されており、確認されている被害は氷山の一角に過ぎず、さらに被害が拡大する可能性もあるとの懸念を示した。同週末は、米国における独立記念日のタイミングとも重なっている。

7月2日に「REvil」の同亜種を定義ファイルに追加したESETでは、イギリス、カナダを中心に同マルウェアを検出。南アフリカ、コロンビア、米国、ドイツのほか、インドネシア、ニュージーランドなどアジア太平洋地域でも確認されており、件数は少ないものの、日本においても検知されているという。

ESETが示した検出地域のヒートマップ。日本は薄い表示だが検出が確認されているという（画像：ESET）

（Security NEXT - 2021/07/05 ） ツイート

PR

関連記事

まもなくGW - 長期休暇に備えてセキュリティ対策の再確認を
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
初期侵入から平均62分で横展開を開始 - わずか2分のケースも
サイバー攻撃で狙われ、悪用される「正規アカウント」
JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
警察庁が開発した「Lockbit」復旧ツール、複数被害で回復に成功
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
先週注目された記事（2024年3月3日〜2024年3月9日）
先週の注目記事（2024年2月25日〜2024年3月2日）
ランサムウェア「ALPHV」、医療分野中心に被害拡大