4月初旬、サプライチェーンを使用したマルウェアキャンペーンの例として、Asusラップトップに対する ShadowHammer 攻撃について説明しました。 サプライチェーンへの攻撃は、信頼できる通信チャネルを侵害するため、研究者にとって特に関心があり、ビジネスにとって特に危険です。 すでに何らかの形で感染しているコンピューターを購入し、クライアントの企業リソースにアクセスできる下請業者をハッキングし、公式開発者のWebサイトから感染バージョンのソフトウェアを配布することは、サプライヤーチェーンに対する攻撃の典型的な例です。
問題は、被害者がリモートITインフラストラクチャメンテナンスサービスを提供する会社、またはソフトウェア開発とITシステム実装サービスを提供する会社である場合、さらに深刻になる可能性があります。 このようなタスクをサードパーティにアウトソーシングすることは一般的な慣行です。 先週、ITサービスの主要プロバイダーであるインドの企業Wiproに対する攻撃について知られるようになりました。 まず、独立ジャーナリストのブライアン・クレブスがウィプロの企業ネットワークの侵害について書いた後、会社自体で情報が確認されました( ニュース 、ブライアンによる記事 )。
Wiproは、年間80億ドルの売上高と、評判の良い企業や政府機関を含む世界中の何万人もの顧客を持つ、ITサービスの非常に大きなプロバイダーです。 従業員数は17万人を超えています。 メディアで言及されているプロジェクトの例:ERPシステムの実装、医療保険契約を処理するためのインフラストラクチャの更新、顧客サポートシステムの実装。 このレベルの複雑なプロジェクトでは、企業の代表者が顧客の企業ネットワークに幅広くアクセスする必要があります。
2019年3月に会社で確実に起こったことは不明です。ジャーナリストのブライアン・クレブスはウィプロの顧客側の匿名の情報源に基づいており、会社自体は声明で詳細を開示していません。 1つを除き、フィッシングは会社の企業ネットワークに侵入する最初の方法になりました。 伝えられるところによると、攻撃者は会社の従業員の1人のコンピューターにアクセスし、他の従業員を攻撃するために使用されました。 正当なソフトウェアScreenConnectはエンドデバイスのリモート制御に使用されました。調査に参加した情報筋によると、Wipro内部ネットワークと会社の顧客のインフラストラクチャの両方にアクセスできる数百台のコンピューターで見つかりました。 Windowsを実行しているコンピューターでパスワードを抽出するためのフリーウェアプログラムであるMimikatzユーティリティも使用されました。
しかし、これは「匿名」の情報源によるものです。 公式には、India Timesの解説で 、Wiproの代表者はフィッシング攻撃の成功のみを認め、調査を実施するための独立した専門家の雇用を発表しました。 後に、投資家との交渉中(クレブスによる)、会社の代表者はこの事件を「ゼロデイ攻撃」と説明しました。
クレブスの情報源は、この攻撃に複雑なものはなかったことを示唆しています。 攻撃者が、小売チェーンのギフトカードを使用した不正行為のために、企業のインフラストラクチャへの新たに取得したアクセスを使用し始めたという事実により、すぐに(数週間で)追跡されました。 そのような些細なことと交換しない、深刻な意図を持つ人々は、ずっと長く検出されないままでいる可能性があります。
少なくとも公共の場では、事件に対するウィプロの反応は、控えめに言っても理想的ではありませんでした。彼らは長い間問題を認識せず、攻撃の詳細を提供せず、反対の声明を出しました(フィッシング、そしてジロデイ)。 サイバー事件に関する情報の開示における最大限の透明性は、ビジネスの倫理規範になるだけでなく、多くの国で徐々に法的要件になります。 何らかの方法で、会社の少なくとも1人のクライアントが、調査が完了するまで、すべてのWipro従業員への自分のITシステムへのアクセスをブロックすることを選択しました。 インドの組織自体は、より安全な企業メールの導入に取り組んでいます。
サプライチェーン攻撃では、攻撃の詳細な説明と被害の冷静な評価が特に重要です。 メディアがそれについて書くのではなく、影響を受けた企業のクライアントが、何が起こったのか、自分自身を守るためにどのような措置をとるべきかを理解することが重要です。 最近の調査では 、攻撃者の約半数で、ある会社のハッキングされたインフラストラクチャを使用して他の組織を攻撃しようとしていることが示されています。
このような攻撃から保護するには、サードパーティのサービス会社に対する信頼度を再評価する価値があります。 その一例が、先週のMicrosoftの電子メールサービスに関する事件です( ニュース )。 会社は、Outloook、Hotmail、およびMSNメールサービスの一部のユーザーのパスワードを変更するための推奨事項を積極的に送信しました。 結局のところ、攻撃者は、ユーザーに技術サポートサービスを提供する取引先の1つのアカウントをハッキングしました。 そのような相手はメールボックスのパスワードにアクセスできませんが、メッセージトピック、回答者のアドレス、メールフォルダのリストなど、コンテンツの一部を表示できます。 マザーボードのWebサイトによると、場合によっては、攻撃者が手紙の内容にアクセスする可能性があります。 攻撃者のアクセスはブロックされましたが、手元にあるデータの量と、将来どのように使用されるかを評価することは不可能です。
免責事項:このダイジェストに記載されている意見は、カスペルスキーの公式見解と必ずしも一致しない場合があります。 親愛なる編集者は一般に、意見を健全な懐疑心を持って扱うことを推奨しています。