MSP(マネージドサービスプロバイダ）にとってランサムウェア攻撃の危機意識が対岸の火事レベルであったのかも知れません。なぜならランサムウェア攻撃に対しては、MSPは常に自分たちのインフラセキュリティに対して過剰な自負を持っているのと、まさか自分自身が攻撃に会うはずはないと甘い意識を持っていたからです。それにもかかわらず、MSPをターゲットに攻撃者は慈悲もなく襲い掛かりました。彼らのメインシステムへ侵入し、認証情報などを盗み取り最終的にクライアントサイドのネットワークへ脅威の手が伸びてしまったのです。そのケースがまさに今年の初めに起きたKaseyaインシデントでした。まずMSP側のソフトウェアプラットフォームへ侵入、さらに支障なくクライアントの特権アクセス情報まで不正に取得されてしまったのです。

当然、攻撃者にとっては、まさに宝の山を探し当てたことに等しく、今後もMSPへの攻撃はエスカレーションするでしょう。ランサムウェア攻撃に対してもっと真摯にそして現実的な対策をする必要があるようです。

なぜMSPが格好の標的に絞られるか想像してみてください。MSPはインフラにおいてサイバー攻撃対策を行い各企業組織（クライアントサイド）へSaaSサービスを展開しています。つまりサービス開始後も保守サービスを提供しセキュリティーも担保しています。このシステム設計に対し、攻撃者は侵入の努力を重ねてきました。MSP側のネットワークへ侵入に成功すれば、さらにクライアントの情報も不正取得可能になるからです。個別単体の企業組織ネットワークを狙うよりMSPを狙った方が一石二鳥となります。

さらにグローバル規模のコロナ蔓延により、多くの企業組織がリモートワーク展開へ急激にシフトし、MSPのニーズが比例する傾向にあると思います。

このような状況の中でMSPサービスのセキュリティレーンについて再対策の必然性が起こり、いくつものハードルを打破しないとならない状況になりました。つまりMSPシステム側の脆弱性イコールクライアントへのリスクに晒しだされる縮図が浮上したのです。新たなセキュリティー構想で防御策を考える必要性が出てきました。

以下の項目が今後MSP業者が最優先に見直す課題になると思います。

MSPはセキュリティーに脆弱性のあるツールについては注意を払う必要があります。

MSP運営者にとってKaseya社のサプライチェーン攻撃のようなインシデントについて知らない人は少しセキュリティー意識が低いといえます。一方、特定のIT技術者が特定のツール(リモートソフトウェア又は監視ツール)を使用することで、マルウェア感染になる可能性は低いですが、セキュリティーに脆弱性のあるITツールを使用するケースでセキュリティーホールになる場合もあるので注意が必要です。

MSPが提供するサービスでは個人アカウントが作成された後、ユーザーが退社しているケースもあり、結果として使用されていない個人アカウントが多く存在するケースが絶えません。この状態はセキュリティーを考慮する上で良好な状態ではなく、不使用なアカウントを削除又は無効にするなどして整理するようにしましょう。

ゼロトラストネットワークと厳格なアクセス権限は管理する観点からは少し不便さを感じますが、これはセキュリティーリスクを抑える上でとても重要です。MSP業者は、企業組織にクライアントサービスを提供しているので、全ネットワークが一つにつながります。MSPが各クライアントのネットワークへアクセスする場合などを想定すると特にアクセス制限においては注意を払うべきです。また新規エンドポイントが新規アカウントでアクセスするためには、確実に安全かどうかを実証し、いくつかのセキュリティプロトコルがクリアにならない場合はアクセスを拒否すべきです。

バックアップ、それはMSPとしては重要事項です。例えばランサムウェア攻撃があった場合は、ファイルが暗号化されてしまいますからバックアップは必須になってきます。しかしそのバックアップデータが他のシステム又はデバイス上に保管されていたとしたらどうでしょう？これらの管理方法はとてもリスクな状況です。なぜなら攻撃者はあなたのメインネットワーク上から侵入したマルウェアは必ず横展開し、バックアップデータの場所を突き止めるからです。

このリスクを抑える方法としてエアーギャップでバックアップすることです。エアーギャップとはオフライン上でデータを保管するということです。オフライン上ですと、インターネット経由でアクセスできない状態であるため、セキュリティーリスクが低くなります。もしエアーギャップでデータをバックアップすることが困難な場合、クライアントサイドのネットワークから切り離して保管することが賢明です。

MSPにとってランサムウェア攻撃を検知することは難しくはないでしょう。例えばブルートフォース攻撃でパスワードなどを盗み取る行動は、未知のホーストによるポートスキャンニングを簡単に検知しアラートを出すことができます。

しかし最近のマルウェアはEPPやEDR製品の検知を回避するランサムウェアが数多く登場しています。このような状況を打破するために、MSPはMinerva Labs社のMinerva Armor (製品名)を導入することを推奨します。このソリューションは、検知を回避する行動ロジックをカウンター攻撃で先制防御を行います。よってマルウェアが攻撃を実行する前にシャットアウトしますので、感染を完全に防ぐことが可能です。

昨今、コロナ蔓延により多くの企業組織は在宅ワークによりMSPのサービスへ依存する機会が増えてきたことで、MSPを狙うランサムウェアが急増しております。MSPはランサムウェア対策で現在採用しているITツールやセキュリティポリシーなどを改めて見つめ直し、サプライチェーン攻撃を防がなくてはならないでしょう。

Minerva製品（Minerva Armor）についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。