概要
- 攻撃者は、2021年7月2日、インターネットに接続されたオンプレミスの KASEYA VSA サーバーを悪用し、認証をバイパスして、正規のリモート管理機能を使用して REvil ランサムウェアを配布した。公開記録は、KASEYA のソフトウェアビルドやコードリポジトリが改変されたことを示していない。
- KASEYA は、7件の VSA 脆弱性に対応する調整された開示プロセスにすでに取り組んでいた。同社はいくつかの問題を修正し、SaaS 環境に関連する修正を展開していたが、攻撃開始時には脆弱なオンプレミスシステムが依然として露出していた。未解決の説明責任の問題は、KASEYA が研究者を無視したかどうかではない(研究者は無視されなかったと述べている)。問題は、修正の速度、暫定的な制御、顧客への非公開警告、および露出の低減が、製品の持つ並外れた権限に見合っていたかどうかである。
- 同社の後の説明によると、直接の被害者数は約50〜60の KASEYA 顧客に過ぎないが、これは運用上の事象を過小評価している。その多くがマネージドサービスプロバイダーであり、KASEYA の推定によると、ランサムウェアは800〜1,500の下流企業に到達した。リモート管理プラットフォームが、侵害された1つのコントロールプレーンを、多数のローカルな事業継続の失敗に変換したのである。
- 責任は層状に存在する。KASEYA は製品セキュリティ、開示対応、パッチ配信、危機コミュニケーションを管理していた。MSP はインターネット露出、セグメンテーション、バックアップ設計、監視、顧客の復旧を管理していた。中小企業の顧客は事業継続と調達責任を保持していたが、多くの場合、基盤となるツールに関する十分な知識を欠いていた。政府機関は警告、対応調整、調査、訴追に貢献したが、より強力な民間の管理の必要性をなくしたわけではない。
このインシデントは信頼パス攻撃であった
「サプライチェーン攻撃」という言葉はここでは有用だが、それは想定されたビルドシステムの侵害ではなく、権限の経路を説明する場合に限る。KASEYA のインシデント概要によると、攻撃者はオンプレミス VSA 製品のゼロデイ脆弱性を悪用し、認証をバイパスし、任意のコマンド実行を達成し、その後、標準的な VSA 機能を使用して管理対象エンドポイントにランサムウェアを展開した。また、VSA のコードベース自体が悪意を持って改ざんされた証拠はないとしている。
この区別は説明責任の中心である。攻撃者は、個々の歯科医院、会計事務所、レストラン、小売店、地元のサービス企業を説得して未知のプログラムを実行させる必要はなかった。また、KASEYA の開発パイプラインに毒入りパッケージを配置し、署名付きのベンダーリリースを待つ必要もなかった。彼らは、すでに顧客マシンを管理するために信頼されている選択された VSA サーバーを侵害した。悪意のある行動は、通常の IT 管理の実質的な権限とともに到着した。
VSA はリモート監視・管理ソフトウェアである。MSP はこれを使用して、デバイスのインベントリ作成、ソフトウェアの展開、スクリプトの実行、メンテナンスの自動化、多数の顧客環境にわたる障害の解決を行うことができる。これらの機能は IT サポートの単価を下げる。1つの技術チームが、同等の専門家を自前で雇用することが経済的に難しい企業のシステムを維持することを可能にする。同じ設計が特権的な配信チャネルも生み出す。脅威アクターが VSA サーバーの制御を獲得すると、スケールの利点は逆転する。
Huntress は、影響を受けた MSP パートナーから初期報告を受け、観測された攻撃チェーンを認証バイパス、任意ファイルアップロード、コード実行に還元した。その調査員は、攻撃者がエンコードされたペイロードと、ログと管理アカウントの削除を支援する2つ目のファイルをアップロードし、その後、データベースプロシージャを使用してエンドポイントへの配信をスケジュールしたと報告した。KASEYA 自身のインジケーターには、agent.crt、そのデコードされた実行ファイル、REvil ペイロード、および侵害された VSA サーバーに対する一連のウェブリクエストが含まれていた。
Sophos は、エンドポイント側からその結果を独自に観測した。その同時期の技術的説明は、インターネットに接続された VSA サーバーを最初の標的とし、製品の通常のソフトウェア展開権限を顧客環境への経路として説明している。初期の対応者の数は、異なるセキュリティ企業が異なる母集団を見ており、侵害された VSA 顧客、MSP、MSP クライアント、暗号化されたマシンの区別が一貫して維持されなかったためにばらつきがあった。技術的な収束は、早期の総数よりも重要である。特権的なリモート管理がファンアウトメカニズムに変えられたのだ。
これが、この事象を単に「失敗したアップデート」と片付けてはならない理由である。一部のエンドポイントテレメトリと報道は、変更をプッシュするために使用されたソフトウェアを介して到着したため、ランサムウェアを悪意のあるアップデートと表現した。運用上、その説明は被害者にとっては理解できるものだった。しかし、制御分析においては、経路の方がより明らかだった。KASEYA は REvil を含む通常のベンダーアップデートを承認したわけではない。攻撃者は顧客が運用する VSA インスタンスの制御を獲得し、それらのインスタンスに一見正当な管理タスクを実行させた。侵害された対象は、委譲された信頼関係だったのである。
調整された開示が犯罪者の期限に直面した
インシデント前の経緯は、単純な過失の物語に抵抗する。Dutch Institute for Vulnerability Disclosure(DIVD)は2021年4月1日に VSA の調査を開始し、4月2日からインターネットに接続されたインストールをスキャンし、4月6日に KASEYA に通知した。その限定開示によると、KASEYA の対応はタイムリーで協力的だった。KASEYA は耳を傾け、パッチを発行し、研究者が開発中の修正を検証することを許可した。DIVD は、この対応を他のいくつかのベンダーの経験と比較して明示的に好意的に評価している。
開示は1つの未分化な欠陥ではなく、7つの脆弱性を対象としていた。DIVD は、4月に修正された未認証ファイルアップロード問題、5月に修正されたさらに3つの問題、そして資格情報漏洩とビジネスロジックの欠陥、クロスサイトスクリプティング、二要素認証バイパスに関する継続的な作業を記録した。その維持されているケース記録によると、バージョン9.5.7は6月26日に KASEYA の SaaS 環境に到達し、CVE-2021-30116 と CVE-2021-30119 の修正が含まれていた。また、すべてのオンプレミス VSA バージョンが当該勧告の対象であり、攻撃後に KASEYA がパッチと再起動手順を提供するまで、これらのシステムをオフラインに保つべきであると記録している。
DIVD は後に完全な脆弱性の説明を公開した。最も重要なインシデント関連エントリである CVE-2021-30116 は、VSA クライアントダウンロードプロセスに関連する資格情報への未認証アクセスと、それらの資格情報をセッションに変える能力に関するものだった。National Vulnerability Database エントリは現在、この問題が実際に悪用され、バージョン9.5.7より前に修正され、後に CISA の既知の悪用脆弱性カタログに登録されたことを記録している。
したがって、公開記録は4つの所見を支持するが、それによく付随するすべての結論を支持するわけではない。
第一に、KASEYA は7月2日より前に深刻な VSA の弱点を認識していた。第二に、同社は報告された弱点のいくつかを修正しており、研究者と積極的に協力していた。第三に、攻撃に使用された少なくとも1つの脆弱性は、非公開で開示されたものの中にあった。第四に、同等のオンプレミス修正は、犯罪による悪用が開始される前に、一般的に顧客の手に渡っていなかった。
記録が示していないことも同様に重要である。残りの欠陥を KASEYA がどのようにランク付けしたかを説明する、公開された問題ごとの内部リスクレジスター、エンジニアリング見積もり、エグゼクティブエスカレーション記録、決定ログは存在しない。パッチが利用可能になる前に、オンプレミス顧客に非公開で要求された暫定対策の公開リストも存在しない。DIVD は6月4日に特定された VSA ホストのリストを KASEYA に渡したが、公開記録は、どのオペレーターが連絡を受けたか、何を伝えられたか、いつ応答したか、KASEYA がリスクのあるインターフェースが制限されたことを検証できたかどうかを確立していない。また、KASEYA が脆弱性の詳細を攻撃者に漏洩した証拠も存在しない。並行した発見は完全に妥当であり、エクスプロイトのソースは公開の場で証明されていない。
これは困難だが必要な説明責任の基準を生み出す。ベンダーは、誠実な調整された開示中に犯罪者が欠陥を悪用したからといって、単に非難されるべきではない。ソフトウェアの欠陥と敵対的な再発見を排除することはできない。しかし、製品の特権と下流への影響は、修正の緊急性に影響を与えるべきである。多数の顧客ネットワークにわたってコマンドを実行できるインターネットに接続されたリモート管理サーバーにとって、重要な認証バイパスはまた、集中リスクの緊急事態でもある。通常のアプリケーションの重大度に合わせて設計されたパッチキューは、この爆発半径を持つコントロールプレーンには遅すぎる可能性がある。
開示のジレンマは現実のものだった。未パッチの認証経路を公に特定することは、悪用を加速させる可能性があった。十分な詳細なしに広範な顧客警告を行うことは、依然として攻撃者を狭いターゲットクラスに向かわせる可能性があり、オペレーターは何を変更すべきか不確かなままになる。DIVD はまさにこの理由で限定開示を擁護した。しかし、秘密は活動停止を意味しない。ベンダーは、特定可能な露出した顧客に非公開で連絡し、VPN の背後での管理アクセスを要求し、一時的なフィルタリングルールを提供し、テレメトリを増やし、サーバー機能を絞り込み、緊急移行またはシャットダウンしきい値を設定することができる。未回答の質問は、7月2日より前にそのような活動がどれだけ行われたかであり、公開の概念実証がリリースされるべきだったかどうかではない。
7月2日:検知、停止、不完全な封じ込め
KASEYA の7月5日の企業声明は、内部および外部ソースが7月2日午後2時(東部時間)頃に潜在的な攻撃を警告し、1時間以内に対応したと述べている。同社は VSA SaaS インフラを停止し、オンプレミス顧客に自社サーバーを停止するよう通知し始めた。Sophos は、同じ大まかな時間帯である18:00 UTC にキャンペーンの認識を記録した。Huntress は、共通の VSA リンクが明らかになる前に、3件の MSP 報告が互いに30分以内に到着したと説明した。
停止の決定は称賛に値する。KASEYA は SaaS 顧客が侵害された証拠はなかったが、予防措置としてホスト型サービスを運用から外した。また、Mandiant を招き入れ、FBI と CISA に連絡し、インジケーターを配布し、7月3日に侵害検出ツールをリリースした。FBI の公開声明は、VSA サーバーを停止し、侵害を報告するよう指示を強化した。CISA-FBI の共同インシデントガイダンスは、即時対策を追加した:検出ツールの使用、多要素認証の強制、RMM 通信を既知の IP ペアに制限、管理インターフェースを VPN または専用ファイアウォールネットワークの背後に配置、取得可能なエアギャップバックアップの保持、最小権限の適用。
これらの措置はさらなる被害を抑制したが、「1時間以内」を完全な封じ込めと誤解すべきではない。KASEYA は自社の SaaS サービスを停止できた。すべての顧客運用サーバーを直接シャットダウンすることはできなかった。オンプレミス VSA インスタンスは、MSP がメッセージを受け取り、それを信頼し、休暇週末の金曜日に適切な担当者に連絡し、停止を完了するまで危険なままであった。実行のためにすでにステージングされた悪意のある手順も、再起動前に特定してクリアする必要があった。集中化された機能は迅速な展開を可能にしたが、封じ込めは分散した人間のリレーに依存した。
公開された時系列はまた、警告から始まっており、最初の悪用からではない。KASEYA は、影響を受けたサーバーセット全体での最初の悪意のあるリクエスト時刻、最初の内部テレメトリ異常、最初の顧客暗号化イベント、またはそれらの信号間の間隔を公開していない。また、自社の監視が、盗まれたまたは偽造されたセッションを通じて作成されたものと、承認された大量手順を区別できたかどうかも開示していない。これらのタイムスタンプがなければ、確認後の報告されたエグゼクティブ対応を判断することはできるが、予防的検出の感度については判断できない。
KASEYA の「ソフトウェアへのアクセスを停止した」という表現も、運用上の現実よりも広範だった。ホスト型 VSA は KASEYA のアクションによって利用不能になった。オンプレミス VSA は顧客環境に属し、顧客のアクションを必要とした。この違いは単なる言葉遣い以上のものだ。セルフホスト型エンタープライズソフトウェアの分割された説明責任を明らかにする:ベンダーはコードと修正知識を管理し、オペレーターは動作しているインスタンスを管理する。下流のクライアントは、いずれかの当事者の製品が自社のマシンを管理していることさえ知らないかもしれない。
その乗数効果はベンダーと中小企業の間に位置していた
KASEYA は当初、直接の顧客基盤のごく一部のみが侵害されたことを強調した。7月5日の声明では、35,000人以上の顧客のうち約50人を引用した。後のインシデントページでは、直接の顧客は60人未満、下流企業は1,500社未満とした。その後のSOC 3レポートは、57のオンプレミス顧客を特定した。Reuters は別に、影響を受けた企業は800〜1,500社との CEO の推定を報じ、KASEYA が正確な合計を見つけるのは困難だと指摘した。なぜなら、影響を受けた企業はその顧客の顧客だったからである。
これらの数字はすべて、その定義の中では真実であり得る。それらは依存関係ツリーの異なるレベルを説明している。直接の KASEYA 顧客は、1つの VSA サーバーを MSP として運用しているかもしれない。その MSP は数十の独立した企業を管理しているかもしれない。各企業には多くのエンドポイントがあるかもしれない。侵害された57の顧客インスタンスを数えても、コンピューター、POS 能力、ファイル、スタッフの時間を失った組織の数についてはほとんどわからない。逆に、影響を受けた MSP に関連する下流企業が、すべてのデバイスで必ずしも暗号化されたわけではない。責任ある報告は分母を明示しなければならない。
より重要な経済的事実は、VSA が専門労働力をプールするのに役立ったことだ。中小企業が管理サービスを購入するのは、内部 IT スタッフが高価で、断続的で、採用が難しいからである。MSP は、エンジニア、監視ツール、自動化、購買力をポートフォリオ全体に分散させる。このアレンジメントはセキュリティを向上させることができる。有能なプロバイダーは、5人のビジネスだけの場合よりも速くパッチを適用し、より長く監視し、より確実に復旧できるかもしれない。
プールはまた、運用リスクを相関させる。セクターと地理的に多様に見える100の小さな企業がいたとしても、1つの MSP が1つの管理プラットフォームを通じてそれらすべてを管理している場合、その技術的障害モードは重なる。ポートフォリオには隠れた共通の露出がある。プラットフォームレイヤーの脆弱性は、地元企業が独立して失敗するという仮定を無効にする。
その相関は、通常のサービス契約ではめったに見えない。小さなクライアントは自社の MSP の名前を知っているかもしれないが、リモート管理製品、ホスティングモデル、管理インターフェースの露出、下請け業者、バックアップアーキテクチャ、特権アクセス設計は知らないかもしれない。製品が名前で挙げられていても、クライアントがそれを監査する専門知識や交渉力を持っている可能性は低い。中断を被る当事者は、ソフトウェアセキュリティの決定を行う当事者から2ステップ離れている可能性がある。
これが、管理サービス内部の説明責任のギャップである。委譲は技術的作業を専門家に移すが、すべての損失、法的義務、顧客の苦情、給与支払義務、または在庫の損失を自動的に移すわけではない。SME は、システムが停止したときに、依然として従業員と顧客に直面する。MSP は復旧作業と契約上のサービス義務に直面する。ソフトウェアベンダーは製品の修正と評判に直面する。契約と復旧設計がこれらの結果を意図的に配分しない限り、最も運用上露出している当事者は、最も情報が少ない当事者でもあるかもしれない。
スウェーデンが依存関係を可視化した
最も明確な公開事例は、KASEYA のオフィスや MSP ネットワークオペレーションセンターではなかった。それはスーパーマーケットのレジだった。Reuters は、スウェーデンの食料品チェーン Coop が7月3日に全800店舗を閉鎖したと報じた。影響を受けた決済システムが動作しなかったためである。同チェーンは、リモート更新されたレジツールが攻撃を受けたと述べた。後の報告では、階層化されたサプライヤーパスが説明された:Coop は Visma Esscom が管理する決済システムに依存しており、同社はさらに KASEYA を使用していた。
これは物理的な意味での食料供給の失敗ではなかった。棚、建物、スタッフ、製品は依然として存在していた。決済処理ができなかったことが、IT 管理の侵害を小売りの継続性事象に変換した。一部の店舗では後に代替のスキャン&ペイアプリケーションを使用したが、技術者は店舗を訪問し、バックアップから決済マシンを復旧する必要もあった。Reuters の復旧レポートは、運用の非対称性を捉えていた:リモート管理はインシデント前に効率的にスケールしたが、復旧には多くのサイトでの物理的な作業が必要になる可能性がある。
Coop は大規模で可視性の高い下流組織だった。同じメカニズムは、選択肢の少ない小規模企業にとってはより厳しい。会計事務所は一部の作業を延期できるが、給与や提出期限に間に合わないかもしれない。歯科医院は臨床医と機器を保持できるが、スケジューリング、画像アクセス、請求ワークフローを失うかもしれない。レストランには食品とスタッフがいるが、通常の支払いを受け付けられないかもしれない。地元の製造業者は、出荷、ラベル、機械サポートシステムを失うかもしれない。これらの例は、このインシデントでそれぞれが発生したことを証明するものではない。それらは、エンドポイント暗号化が単なるデバイス数とは異なる経済的意味を持つ理由を示している。
収益への影響は即座に始まり、技術的な復旧コストが上乗せされる。スタッフは遊んでいる間に給与が支払われる可能性がある。オーナーは信頼できる連絡先データなしで顧客とコミュニケーションを取らなければならないかもしれない。MSP の技術者は長時間勤務し、多くの場合、安全性、収益、バックアップの状況に基づいてクライアントをトリアージする。保険通知、フォレンジック保存、法的助言、交換ハードウェアは費用を追加する。復号ツールはファイルを復元できるが、すでに失われた売上、すでに消費されたスタッフ時間、すでに損なわれた信頼を元に戻すことはできない。
したがって、このインシデントはサービス継続性の外部性を露呈した。KASEYA の製品価格と MSP のサービス料金は上流で交渉された。ダウンサイドの一部は、VSA アーキテクチャを選択しておらず、KASEYA の名前を見たこともないかもしれない下流企業に現れた。究極のリスクベアラーが関連する管理を観察できず、それを価格に織り込む実用的な方法がない場合、市場の規律は弱い。
安全のための停止がそれ自体のサービス停止となった
予防的な SaaS 停止は、拡散の可能性のある経路を1つ防いだが、同時に、KASEYA が侵害されていないとした顧客から管理サービスを奪うことになった。急性の不確実性の下では、それは正しいトレードだった。それは依然としてサービス停止であり、初期対応の1時間よりもはるかに長く続いた。
KASEYA の保存されたインシデント更新時系列は、復旧目標の変更を記録している。計画された SaaS 展開は、7月6日にブロッキングインフラ問題に遭遇した。タイムラインは7月7日にリセットされた。同社は最終的に SaaS の復旧を開始し、7月11日にオンプレミスパッチをリリースした。7月12日初めまでに全 SaaS 顧客がオンラインに戻ったと報告した。これは、影響を受けていないホスト型顧客が、サービスがまだ安全であると宣言できなかったために、VSA の可用性を約9日間失ったことを意味する。
この一連の流れを単なる遅延として嘲笑すべきではない。積極的な悪用の後に特権コントロールプレーンを再起動するには、1行のコードを変更する以上のことが必要である。KASEYA は、アクセス経路を調査し、セキュリティリリースを作成して検証し、侵害をスキャンし、政府およびインシデント対応の専門家と調整し、インフラを強化し、オペレーターを準備し、悪意のある手順の再活性化を回避しなければならなかった。その更新は、初期の復帰から一部の低使用機能を削除し、チェックを追加し、顧客からのフィードバックが実際的な問題を明らかにするにつれてランブックを修正したことを示している。
同時に、長期の停止は回復可能性に関する証拠である。プラットフォームは、利用不能になることで脆弱性を迅速に封じ込めることができるが、顧客は依然として不可欠な管理機能なしで放置される。高可用性と安全な復旧は別の特性である。緊急時の強化、クリーン状態の検証、段階的な再起動を迅速に実行できない場合、顧客はコントロールプレーンに依存しない実行可能なモードを必要とする。
オンプレミスの再起動負担は相当なものだった。KASEYA の時系列は、オペレーターにサーバーを隔離し、検出ツールを実行し、オペレーティングシステムにパッチを適用し、IIS 設定をレビューし、エンドポイントセキュリティエージェントを展開し、保留中の手順をクリアし、VSA セキュリティリリースをインストールし、最終チェックリストに従うよう要求した。そのインシデント後強化ガイドは、インバウンドアクセスの制限、より強力な認証、その他の環境変更を要求した。これらは賢明な管理策だった。それらが緊急に導入されたということは、安全な製品運用がアプリケーション外部の設定と、プレッシャーの中で複雑なランブックを実行する MSP の能力に依存していたことを示している。
成熟した MSP にとって、通常の RMM プラットフォームなしの9日間は、他のリモートツールへの切り替え、手動パッチ、電話調整、スクリプト、サイト訪問を意味するかもしれない。あまり成熟していないプロバイダーにとって、プラットフォームは運用モデルそのものになっていたかもしれない。資産目録、資格情報、手順、顧客連絡先、復旧指示がすべて利用不能なシステムを通じて最もアクセスしやすい場合、ツールの喪失は、その喪失への対応も損なう。
復号は支援であり、復旧ではなかった
KASEYA は7月22日、第三者からユニバーサル復号ツールを入手し、被害者を支援するために Emsisoft と協力していると発表した。後に、このツールは完全に暗号化されたファイルに有効であり、それを入手するために身代金を支払ったり交渉したりしていないと述べた。これらの声明は同じインシデント時系列に表示されており、公開記録は鍵の元のソースを確立していない。
復号ツールは貴重だった。まだ暗号化されたシステムを持ち、他の復旧ルートを完了していない組織の永久的なデータ損失を減らすことができた。また、攻撃からほぼ3週間後に利用可能になった。その時までに、一部の企業はバックアップから復旧し、デバイスを再構築し、システムを変更し、または復旧の困難な部分を他の方法で吸収していた。Huntress の回顧は、複雑な反応を指摘した:一部の被害者にとって鍵は画期的なものだったが、他の被害者にとっては、手動復旧や他の決定がすでに行われた後に到着した。
復号は、信頼できるサービスへの復帰と同等ではない。復旧されたファイルは無傷かもしれないが、侵害を生み出した環境は依然としてクリーンアップとパッチ適用が必要である。資格情報と管理関係はリセットされる必要があるかもしれない。ログは、攻撃者がそれらを削除しようとしたために不完全かもしれない。復旧されたエンドポイントは、再接続する前にチェックされる必要がある。バックログ、顧客からの電話、財務調整、遅延した作業は、暗号化事象を生き延びる。
この区別は、ベンダーが修正をどのように説明するかについて重要である。ユニバーサルキーはインシデント対応資産であり、事業中断の払い戻しではない。バックアップはデータ可用性管理策であり、データを使用するプロセスがそのビジネス期限内に再開できるという証明ではない。インストールされたパッチは既知の技術的経路を閉じるが、1つの特権サービスが共通の障害点になることを許したガバナンスのギャップを閉じるわけではない。
説明責任はスローガンではなく、管理に属する
攻撃者は犯罪に対して責任がある。公的機関は後にその帰属をより具体的にした。米国司法省の2021年11月の起訴発表は、Yaroslav Vasinskyi が KASEYA 製品の機能を通じて顧客エンドポイントに REvil コードを展開させたと主張した。Europol のOperation GoldDust の説明も同様に、容疑者を KASEYA 攻撃と最大1,500の下流企業という数字に結びつけた。2024年、11件の罪状に対する有罪答弁の後、連邦裁判所は Vasinskyi に、彼の広範な REvil 活動に対して13年7ヶ月の刑を言い渡した、と司法省は述べている。
刑事責任は運用上の説明責任を解決しない。セキュリティガバナンスは異なる質問をする:どの当事者が、被害を合理的に防止、検出、制約、または短縮できたであろう保護手段を管理していたか?その基準に基づくと、説明責任は分散しているが、曖昧ではない。
| 主体 | その主体の影響下にある管理 | インシデントが提起する説明責任の問い |
|---|---|---|
| KASEYA | 安全な設計、脆弱性の取り込み、修正の優先順位付け、パッチ配信、テレメトリ、製品のデフォルト設定、顧客警告、SaaS 運用、復旧ツール | 公開された VSA サーバーのダウンストリーム権限に修正の緊急性と暫定管理策が対応していたか、そして後の管理が同じクラスのリスクを低減することを同社が証明できるか? |
| MSP またはオンプレミス運用者 | インターネット露出、ファイアウォールと VPN ポリシー、サーバーパッチ、VSA 設定、権限分離、エンドポイント監視、バックアップ、顧客復旧 | 管理プレーンは、独立した監視、制約されたリーチ、クリーンなバックアップ、テスト済みの手動フォールバックを備えた高価値の本番システムとして扱われていたか? |
| 中小企業(SME)顧客 | プロバイダー選択、ビジネス影響分析、オフライン手順、バックアップ要件、保険、支払いとコミュニケーションの代替 | ビジネスは、MSP とともに停止する可能性のある機能を理解しており、その契約は依存関係に基づいて行動するのに十分な情報と復旧のコミットメントを提供していたか? |
| セキュリティ研究者 | 調整された開示、証拠品質、悪用の抑制、被害者通知 | 影響を受けたオペレーターとベンダーが露出を減らすのに十分な情報を与えられている間、詳細は保護されていたか?DIVD の記録は積極的な調整と攻撃後の通知を示している。 |
| 政府および法執行機関 | 警告、インシデント調整、被害者支援、インテリジェンス、妨害、訴追、ベースラインガイダンス | 公的介入は封じ込めを加速し、民間の製品と継続性の義務を国家に移すことなく、持続的な期待を課したか? |
KASEYA は製品レベルの説明責任の最大の割合を負う。同社はソフトウェアを設計・保守し、残存する脆弱性を知っており、SaaS 環境を管理し、修正を作成し、小規模クライアントよりも製品のダウンストリームリーチをよりよく理解していた。DIVD の同社の協力に対する肯定的な説明は重要であり、完全な不作為の風刺画を防ぐべきである。それでも、KASEYA の修正目標と一時的な保護がリスクに対して適切だったかどうかは答えていない。
MSP は、展開と継続性に関する実質的な説明責任を負う。オンプレミス運用は、ネットワーク露出とタイミングの管理を与えたが、コード修正については KASEYA に依存したままだった。インターネットに広く開かれた管理コンソールは、専用の管理ネットワークまたは VPN に制限されたものとは異なるリスクプロファイルを持つ。多要素認証は重要だが、この攻撃は製品の脆弱性が MFA が依存するログインの前提をバイパスできることを示した。独立したエンドポイント検出、アプリケーション制御、ネットワークセグメンテーション、RMM 権限を無効化または封じ込める方法は依然として必要である。
SME の責任はより狭いが、ゼロではない。IT のアウトソーシングは、ビジネスの顧客へのサービス提供、スタッフへの支払い、記録の保護、中断中のコミュニケーションの継続という義務をアウトソーシングすることと同じではない。しかし、小さなクライアントが自社の MSP のツールチェーンをリバースエンジニアリングすることを要求するのは非現実的である。現実的な義務は、重要なビジネス機能を特定し、重要な下請け業者と特権ツールの開示を要求し、復旧目標を尋ね、可能な限り非デジタルの回避策を維持し、MSP の停止が事業運営のルートを残すかどうかをテストすることである。
政府の責任は、運用的ではなく、支援的かつ強制的なものである。CISA と FBI は緩和策を配布し、KASEYA と調整し、報告を奨励した。国際調査は最終的に逮捕と起訴をもたらした。これらの行動は攻撃者の自由を減らし、被害者を支援できるが、どの公的機関もすべてのベンダーのパッチキューを監視したり、すべてのローカルレジを復旧したりすることはできない。国家の永続的な役割は、報告チャネルを確立し、インテリジェンス交換を改善し、調達期待を設定し、犯罪者を追跡し、市場インセンティブが失敗する場合に最低限の義務を定義することである。
契約は隠れたアーキテクチャを明らかにすべき
このインシデントは共有責任の概念を生み出したわけではないが、そのフレーズが、基盤となるアーキテクチャが見えない場合にいかに空虚になり得るかを示した。有用な MSP 契約は、技術的依存を情報、権限、測定可能な復旧義務に変換すべきである。
最低限、顧客は、どのリモート管理およびセキュリティツールが特権アクセスを持っているか、それらがベンダーホスト型か MSP 運用型か、どの管理インターフェースがインターネットから到達可能か、監査ログがどこに保持されているか、プロバイダーが1つのクライアントを他のクライアントから隔離できるか、メインの RMM プラットフォームが利用できない場合にプロバイダーがどのように必須のサポートを継続するかを知るべきである。これは、すべての顧客に悪用可能な詳細の開示を要求するものではない。顧客が相関リスクを理解するのに十分なアーキテクチャを必要とする。
通知条件は3つのイベントを区別すべきである:プロバイダーまたはツールの侵害の疑い、顧客環境へのアクセスの確認、予防措置として取られた運用停止。KASEYA の SaaS 顧客は侵害されたとは報告されなかったが、サービスは停止された。顧客データ侵害が確認された後にのみ通知をトリガーする契約は、主要な継続性事象を見逃す。
復旧コミットメントも複数のクロックを必要とする。インシデントを認識するまでの時間は、それを封じ込める時間ではない。パッチをリリースする時間は、MSP がそれをインストールする時間ではない。データを復号する時間は、ビジネスプロセスを再開する時間ではない。意味のあるサービス契約は、プロバイダー通知、管理プレーンの分離、重要なリモートサポートの復旧、エンドポイントトリアージ、クリーンな再構築、バックログの解消の目標を定義すべきである。リモート復旧が失敗した場合に、どちらの当事者が技術者を提供するかを述べるべきである。
MSP とその顧客を保護するための2022年の多国籍アドバイザリー(MSP とその顧客の保護)は、この割り当てを明示している。これは、顧客が契約上の取り決めで、安全なリモートアクセス、監視とロギング、インシデント対応と復旧計画、認証、サプライチェーンリスク管理などの管理を確実にカバーすることを推奨している。このガイダンスは KASEYA 事象より後であり、拘束力のある2021年の義務の証拠ではない。それは、成熟した共有責任が今どのように見えるべきかについての有用な声明である。
調達はまた、集中について尋ねる必要がある。プロバイダーはすべてのクライアントに同じ RMM、バックアッププラットフォーム、アイデンティティプロバイダー、セキュリティエージェントを使用する可能性がある。その標準化は購入されている効率の一部である。顧客は、1つのコントロールプレーン障害が管理とバックアップの両方を無効にする可能性があるかどうか、緊急アクセスが同じアイデンティティシステムを使用するかどうか、代替ツールが真に独立しているのか、それとも単に同じスタック内の別のモジュールなのかを知るべきである。
価格圧力は答えを複雑にする。中小企業が管理サービスを選択するのは、部分的には冗長性が高価だからである。すべての MSP に重複プラットフォームと24時間体制のスタッフを維持することを要求すると、一部のクライアントが負担できないほどコストが上昇する可能性がある。説明責任はしたがって、芝居がかったものではなく、比例的であるべきである。プロバイダーは、回復力を証明するためにすべてのツールの2つ目のコピーを必要としない。重要な機能のための文書化されたフォールバック、RMM 信頼境界の外側でのテスト済みバックアップ、最新の顧客連絡先、急増する労働力のための信頼できる計画を必要とする。
約束だけでなく、テスト可能な管理策
最高のインシデント後の質問は、ベンダーや MSP がセキュリティが重要だと言っているかどうかではない。評価者が変更された管理を観察し、それに異議を唱えることができるかどうかである。KASEYA インシデントは実用的なテストのセットを示唆している。
管理プレーンの露出を低減する。すべての RMM サーバーと管理インターフェースを列挙する。どのアドレスがそれに到達できるか、各ルートが存在する理由、ルールが最後にレビューされた時期を示す。インターネット全体のアクセスは、明示的な所有権を持つ例外であるべきである。VPN 配置だけでは、VPN ID が広範な常駐特権を持っている場合には不十分だが、認証されていないパブリックな到達可能性のクラス全体を除去する。
大量操作を目立たせる。リモート管理プラットフォームは、通常の作業と、数百の顧客またはエンドポイントに触れるコマンドを区別すべきである。高いファンアウトアクションには、強力な認可、明確な起点、運用上可能な場合はレート制限、プラットフォームとは独立したチャネルを通じて配信されるアラートが必要である。盗まれたセッションが、サーバーの完全なリーチを黙って継承すべきではない。
管理プレーンをその証拠から分離する。認証、手順作成、ソフトウェア展開、アカウント削除、設定変更ログを、VSA を制御する攻撃者が消去できないストレージにエクスポートする。Huntress は、ローカル証拠を削除しようとする行動を観察した。唯一の監査証跡が特権アプリケーションの隣に座っている場合、侵害はシステムと説明の両方を破壊する可能性がある。
権限と露出に従ってパッチを適用する。重大度スコアは入力であり、スケジュールではない。数千台のマシンを制御するプラットフォームにおけるリモートで悪用可能な認証欠陥は、隔離されたツールでの同じスコアよりも短い決定サイクルを必要とする。テストは、ベンダーが文書化されたエスカレーション、一時的な制御、所有者、目標日、顧客露出マップ、および遅延のエグゼクティブな受け入れを示すことができるかどうかである。
非公開警告を検証する。調整された開示中、ベンダーは、どの特定可能な露出した顧客が緩和策を受け取ったか、いつ配信が成功したか、管理が実装されたかどうかを証明できるべきである。内容は機密のままであり得る。キャンペーンの存在と完了は、パッチが公開された後に監査可能であるべきである。
顧客間の伝播を制限する。MSP は、その RMM の侵害が自動的にすべてのクライアント内での制限のないネットワーク移動を許可しないことを実証すべきである。エージェント権限、ネットワークセグメンテーション、アプリケーション制御、資格情報の分離、クライアントごとの管理境界は、正当なツールを有用に保ちつつ、全能にさせないようにすべきである。
プラットフォームなしで復旧する。VSA または同等の RMM が1週間利用できない演習を実行する。MSP は、管理対象のすべての資産を見つけ、各クライアントに連絡し、資格情報を無効化し、重要なパッチを配布し、クリーンなバックアップを取得し、サイト訪問を優先順位付けできるか?SME は、支払いを受け付け、顧客とコミュニケーションし、作業をスケジュールし、緊急の注文を処理できるか?失敗したコンソールを開くことを必要とする計画は、独立した計画ではない。
ビジネス機能での復旧を測定する。正常に復号されたエンドポイントは中間結果である。完了基準は、使用可能なレジ、アクセス可能なスケジューリングワークフロー、調整された台帳、または別の定義されたサービスであるべきである。測定のその変更は、クライアントが運用上閉じられたままでいる間に、技術チームが勝利を宣言するのを防ぐ。
これらの管理策は、NIST SP 800-161 Rev. 1のより広範なサプライチェーン規律に沿っており、これはサプライヤーリスクを1回限りのセキュリティアンケートとして扱うのではなく、エンタープライズガバナンス、調達、評価、継続的監視の中に置くものである。最終改訂版はインシデントより後であるが、基礎となる NIST サプライチェーンプログラムと以前のエディションはすでに存在していた。これは、遡及的な評決としてではなく、将来の管理フレームワークとして使用されるべきである。
後の保証が証明するものと、しないもの
KASEYA の2022年5月31日終了期間の SOC 3レポートは、7月のインシデントを開示として含めていた。それは、57のオンプレミス顧客が影響を受け、対応プロセスが発動され、第三者の調査員が関与し、SaaS が予防措置として停止され、オンプレミス顧客に警告が発せられ、7月11日のリリースが復旧を開始したと述べた。このレポートはまた、変更管理、インシデント対応、バックアップ、セキュリティ管理、および監視に関するポリシーを説明した。
それは保証プロセスと後の管理環境の有用な証拠である。それは、すべてのインシデント前の決定を完全に公開したフォレンジック監査ではない。レポート自体は、内部統制に固有の限界があることを述べており、汎用システムの記述が特定のユーザーにとって重要な側面を省略する可能性があることを説明している。ソースコードレビューの結果、脆弱性修正のサービスレベル、7月2日以前に存在した正確なテレメトリ、認証バイパスがもはや大量実行を引き起こさないことを示すテスト証拠は開示されていない。
この区別は、認証がしばしば困難な調達質問の代用として使用されるために重要である。クリーンな保証意見は、定義された期間にわたる定義された基準セットへの信頼をサポートすることができる。重大な脆弱性が存在しないこと、すべての製品デフォルトが安全であること、または顧客の復旧アーキテクチャが適切であることを証明することはできない。MSP と SME は、レポートをセキュリティ保証として扱うのではなく、スコープ、期間、除外事項、補完的なユーザー管理策、およびサブサービス処理を読むべきである。
公開説明責任は、各障害モードをテストされた修正に結びつける専用の事後報告書があれば、より強力になるだろう。KASEYA は技術的指標、時系列、強化ガイド、後の保証資料を公開したが、主要なクラウドまたはソフトウェア障害後に現在発行されている最も詳細なインシデント後報告書に匹敵する、完全に独立した因果関係レビューは公開しなかった。欠けている成果物は謝罪ではない。再発経路が特定され、割り当てられ、修正され、異議が唱えられたという証拠である。
限定されるべき主張
いくつかの一般的な解釈は証拠を超えている。
KASEYA が簡単に修正可能な欠陥を故意に放置していたことは証明されていない。DIVD は関与について反対のことを言っており、開示期間中に複数の修正が出荷されたことを確認している。公正な批判は優先順位付け、暫定保護策、およびオンプレミス露出に関するものであり、これについては内部記録は公開されていない。
すべての KASEYA 顧客または100万台のマシンが侵害されたことは証明されていない。KASEYA の成熟した推定では、直接の顧客は60社未満、下流企業は1,500社未満だった。他の対応者の数は、自身の可視性と測定時間を反映している。マシンの総数、身代金支払い、完全な経済的損失は依然として不明である。
SaaS VSA が侵害されたことは証明されていない。KASEYA は一貫して、SaaS 顧客侵害の証拠は発見されなかったと述べている。SaaS は予防的に停止され、DIVD の時系列は、関連する修正が7月2日より前にその環境に到達していたことを示している。SaaS 顧客が経験したサービス停止は、エンドポイント暗号化と誤表示されるべきではない。
通常の KASEYA ソフトウェアアップデートがソースで毒入りされたことは証明されていない。最良の公開説明は、顧客運用の VSA サーバーの悪用と、それに続く標準展開機能の悪用である。この事象をサプライチェーン攻撃と呼ぶことは、侵害がサプライヤー関係を通じて移動したために擁護可能であるが、異なる事実のビルド侵害を意味するべきではない。
ユニバーサル復号ツールが被害者の損失を消去したことは証明されていない。KASEYA は、完全に暗号化されたファイルに有効であり、それを入手するために身代金は支払われなかったと述べた。鍵のソースは KASEYA によって公開的に確立されておらず、復旧作業はその到着前後に行われた。
最後に、刑事的帰属はベンダー、MSP、顧客間の民事責任を割り当てるものではない。連邦訴追は、REvil アフィリエイトの行為に対する結果を確立した。それは、KASEYA のソフトウェア開発、MSP の設定、または顧客の継続性計画の妥当性を裁定しなかった。契約条件、準拠法、事実的因果関係、保険、および損害賠償が、特定の紛争で問題となるだろう。
依然として欠落している情報
完全な説明責任の記録には、最初の悪用と検出のタイムスタンプ、各侵害された VSA で連鎖された正確な脆弱性、探索され、侵入され、展開に使用されたサーバーの数、4月6日以降に割り当てられた内部の重大度と修正目標、7月2日より前に提供された一時的な制御が含まれる。また、DIVD の6月のリストにある露出したホストのうち、何台が非公開で通知され、何台が露出を低減したかも示されるだろう。
影響については、暗号化されたエンドポイントの総数、国とセクター別の被害者分布、復旧時間の中央値と裾、下流被害者による身代金支払い、バックアップの成功率、事業中断、MSP の労働力、保険回収、顧客補償が欠落している。公開された組織の数は有用だが、被害の強度や期間を測定するものではない。
永続的な修正については、読者は安全な開発の変更、認証とセッション境界、大量展開の認可、改ざん耐性のあるログ、異常検出、緊急パッチの目標、段階的復旧、およびオンプレミス製品の継続的なテストに関する独立した証拠を必要とする。KASEYA の強化ガイダンスと保証レポートはシグナルだが、その完全な連鎖を提供するものではない。
MSP 市場にとって、欠落している分母は構造的である。どの SME がどの RMM プラットフォームに依存しているか、各コントロールプレーンを共有するクライアントの数、プロバイダーがそれらなしで運用をテストする頻度の完全な公開目録は存在しない。その不透明性は、システム的な集中をインシデント前に価格設定するのを困難にする。
ランサムウェアと中小企業に関する2022年の米国議会公聴会(ランサムウェアと中小企業)は、KASEYA 事象をより広範な政策問題の中に位置づけた:中小企業は深刻なサイバー露出に直面しているが、それを防止し吸収するためのリソースが少ない。公聴会記録はエクスプロイトのフォレンジックソースではなく、それが再現するいくつかのインシデント資料は報道からのものである。その政策的関連性は、中小企業への社会的依存と、複雑なサプライヤーを監査するそれらの限られた能力とのミスマッチである。
永続的な教訓は委譲された権限に関するものである
KASEYA の7月2日の対応は、より悪い結果を防いだ。同社は、ホスト型顧客が侵害された証拠がないにもかかわらず SaaS を停止し、オンプレミスオペレーターに警告し、調査員と政府を関与させ、検出と復旧ツールを構築し、最終的にパッチと復号ツールのサポートを提供した。DIVD の記録は、KASEYA が基礎となる脆弱性研究を無視していなかったことを示している。これらの事実は、公正な説明に属する。
同じ記録は、公正さが対応への称賛で終わることができない理由を示している。4月に非公開で知られていた脆弱性は、オンプレミス顧客が関連リリースを持つ前の悪用と結びついた。少数の侵害された VSA インスタンスが、はるかに多くの下流企業に到達した。最も安全な対応は、影響を受けていないユーザーにとって不可欠な管理サービスを無効にした。復旧は集中化されたツールから手作業、代替プロセス、バックアップ、訪問へと移行した。最も深い予防的管理が変わったかどうかをテストするには、公開証拠が依然として薄すぎる。
このインシデントの永続的な重要性は、アウトソーシングが失敗したことではない。管理サービスは多くの SME にとって経済的に依然として必要であり、セキュリティベースラインを引き上げることができる。教訓は、委譲された技術的権限が、結果として生じる依存関係を公開し、統治する義務を生み出すということである。ベンダーはツールの到達範囲に従って設計・修正しなければならない。MSP はリモート管理を高影響度の本番システムとして扱い、それなしで運用する準備をしなければならない。顧客は、重要な下請け業者を明らかにし、ビジネス用語で復旧を定義する契約と継続性計画を必要とする。政府は、すべての中小企業が単独でソフトウェアサプライチェーンを監査できるという虚構に抵抗しつつ、報告、ベースラインガイダンス、調査、国境を越えた執行をより効果的にすべきである。
リモート管理は、遠くの管理者をローカルに強力にすることによって機能する。2021年7月、その権限は間違った方向に信頼境界を越えた。説明責任とは、次の侵害されたコンソールが、すべての顧客に遭遇する前に、制限、独立した証拠、迅速な無効化、および復旧経路に遭遇することを確実にすることを意味する。

