MSPのセキュリティーアドバイザリー
先週、弊社主催のオンラインイベント OpsSummit 2022を開催いたしました。
いろいろと至らない点もございましたが、ご参加いただきました方には改めて御礼申し上げます。
「メタバース」やWeb3関連で製品、プロジェクトを進められている方々にご登壇いただき、知見や製品紹介などをしていただきました。我々自身も2D/3D VRを用いたミニ講演会を開催いたしましたが、いわゆるウェビナーとは違ったイベント運用の知見が得られて興味深いものでした。
さて、今回話題にしたいのはセキュリティーです。5月の話になりますが、Five Eyesの5カ国7組織より、MSP(マネージド・サービス・プロバイダ)とその顧客に対して、アドバイザリーを公開しました。
Protecting Against Cyber Threats to Managed Service Providers and their Customers(英文)
https://www.cisa.gov/uscert/ncas/alerts/aa22-131a
具体的な攻撃例としては昨年のITシステム管理サービスを提供するKaseyaのインシデントです。同社のリモート監視・管理の”VSA”ソフトウェアの脆弱性が利用され、ランサムウェア攻撃が実行されました。これによりMSPとその顧客の1500社近い影響を受けたと推定されています。攻撃者はまずMSP側のプラットフォームに侵入し、さらにクライアントの情報が不正に取得されたとみられています。攻撃者にとっては、個別に企業ネットワークを狙うより、MSPを狙う方が効率的というわけです。
各セキュリティ当局は過去数年にもMSPとその顧客に対して指針を示してきましたが、上記のアドバイザリーに関しては、契約上の取り決めの再評価を含め、具体的な推奨事項をまとめたものになっています。
例えば、ただちに行うべき戦術的な措置としては
・使用していないアカウントを特定して無効化
・顧客環境にアクセス出来るMSPアカウントにMFAを適用。原因不明の認証失敗を監視
・セキュリティ上の役割と責任の切り分けについて、MSPと顧客間で取り交わされている契約上の取り決めの確認
が挙げられています。
本文中の推奨事項では、認証・認可、監視、バックアップ、復旧計画など、IT関係者にとっては一般的で目新しいものはありません。ただ、依然として深刻な脅威を引きずっていることに違いはないでしょう。