少し前のことになりますが、ファイブ・アイズと呼ばれる機密情報を共有するアメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの5カ国のサイバーセキュリティ機関がマネージド・サービス・プロバイダ(MSP)に対するアドバイザリを共同で発出しました。どのような意味があるのでしょうか?
マネージド・サービス・プロバイダとは
共同アドバイザリによると、MSPとは「契約上の取り決めを通じて顧客にICTサービスおよびその機能を提供、運用、または管理するエンティティ」だということです。そして、MSPのサービスには他のプロバイダーと連携してサービスを提供する場合があり、そのサービスにはプラットフォームやソフトウェア、ITインフラにかかるサービスが含まれる場合があるということです。またMSPは顧客のネットワーク環境でサービスを提供している、ということです。
企業などから委託を受けてネットワークの管理や運用を行っている専門業者ということになるかと思いますが、今回、ファイブ・アイズの5カ国が共同で発出したアドバイザリは、それらMSP事業者と、その顧客に対して出されました。その内容はというと基本的には、すでに発行済みのセキュリティガイダンスに沿った対策の履行を求めたものですが、今回は特に顧客がMSPに対して契約上取り決めているセキュリティ上の対策を実装しているのか確認することを求めています。セキュリティ対策をMSP任せにするのではなく顧客側もしっかりMSPがセキュリティ対策を行っているのか確認すべしというニュアンスが感じられます。
1000社が影響を受けたKaseyaへの攻撃
MSPをめぐるサイバー攻撃として記憶に新しいのは昨年7月に発覚したアメリカのIT企業、KaseyaへのREvilランサムウェアグループによる攻撃です。Kaseyaはネットワークのリモート監視や管理を行うVSAと呼ばれるソリューションをMSP向けに提供していますが、REvilランサムウェアグループはVSAサーバーの脆弱性を悪用してマルウェアのインストーラを含む不正なソフトウェア更新プログラムを埋め込むことに成功、その結果、約1000社の企業に影響が広がり、Kaseyaは顧客であるMSPに対してVSAサーバーの停止を求める事態へと追い込まれました。REvilランサムウェアグループはKaseyaの製品を侵害することでMSP、そしてMSPの顧客である企業等に対してサプライチェーン攻撃を仕掛けることに成功したのです。
MSPは複数の企業のネットワークの管理・運用を行っているわけですから、攻撃者から見れば特定の1社を攻撃するよりもMSPを攻撃した方が効率がいいと言えます。実際、MSPへの攻撃は増加傾向にあるようで、チェック・ポイント・ソフトウェア・テクノロジーズの調査レポートによると、MSPに対するサイバー攻撃は2020年から2021年にかけて67%増加したということです。サイバー空間においてMSPが狙われる傾向がより顕著になっていることが今回のアドバイザリ発出になったものと思われますが、そうだとしてもなぜファイブ・アイズの5カ国共同なのでしょうか?
国家支援を受けたAPTグループがMSPを標的に
共同アラートをよく読むと、MSPが標的になっていることを指摘しているにとどまらず、これら攻撃に国家の支援を受けたAPTグループが含まれていることを指摘しています。つまり国家の支援を受けたサイバー攻撃者がMSPを攻撃する可能性がより高まっているのでMSPとその顧客はセキュリティ対策をしっかりするようにと求めたのが今回の共同アドバイザリの趣旨と考えられます。
この共同アドバイザリは5月11日に発出されたものですが、4月20日にもファイブ・アイズは共同でアドバイザリを発出していて、この時は重要インフラに対してロシアが支援するサイバー脅威、サイバー犯罪からの保護を目的としたものでした。機密情報を共有するファイブ・アイズ5カ国による共同でのアドバイザリの発出は、ファイブ・アイズがサイバー空間における機密情報についても共有を進めていることを示唆するとともに、サイバーセキュリティが国家や国際情勢と深く結びつき、安全保障の分野へと変貌しつつあることを伺わせます。G7の一員として欧米との結束をさらに強固にしている日本のMSPとその顧客にとってもこのアドバイザリは決して無関係なものではありません。
■出典
https://www.cisa.gov/uscert/ncas/alerts/aa22-131a
https://www.cybertalk.org/2022/01/11/msp-hacks-are-growing-and-heres-what-to-do-about-them/
https://www.n-able.com/resources/state-of-the-market-the-new-threat-landscape