Hacker typing

2023 年に入っても、世界中の組織のランサムウェアの物語は展開し続けています。2022 年 12 月 2 日、プライベート クラウドとパブリック クラウドの展開を管理する主要なクラウド コンピューティング企業である Rackspace は、マネージド メール サービスに対するランサムウェア攻撃に見舞われました。

Rackspace に対するランサムウェア攻撃は、適切なサイバーセキュリティの習慣の重要性を教えてくれました。この攻撃から何を学ぶことができるか、組織がどのように身を守ることができるかを見てみましょう。

Rackspace ランサムウェア攻撃

Rackspace ユーザーは、Rackspace Hosted Exchange サービスの停止に悩まされました。 4 日後、これが通常の停止ではないことが明らかになりました。

Rackspace は 2022 年 12 月 6 日にソーシャル メディアを利用し、停止はランサムウェア攻撃が原因であると Twitter に投稿しました。

グラフィカル ユーザー インターフェイス、テキスト、アプリケーションの説明が自動的に生成されます
Hosted Exchange の停止後、Rackspace は停止の原因がランサムウェアであると投稿しました。

ランサムウェア攻撃は当初、Microsoft Exchange の ProxyNotShell 脆弱性を悪用したと考えられていました。 Rackspace は CrowdStrike と協力して調査を支援しています。

その結果、Crowdstrike は、攻撃者が ProxyNotShell Rackspace の緩和策を回避することを可能にする、これまで知られていなかったゼロデイ脆弱性を利用した攻撃であることを発見しました。

Rackspace は組織に Crowdstrike の情報を読むよう促しています

Rackspace のフォレンジック調査により、攻撃者は PLAY として知られる比較的新しいランサムウェア グループであることが判明しました。さらに、PLAY グループは金銭的な動機で攻撃を実行したと考えられており、比較的少数の顧客の電子メール データにアクセスした可能性があります。

攻撃範囲

攻撃者はどこまで行きましたか?彼らは顧客データを読み取ることができましたか? Rackspace の Hosted Exchange 環境には約 30,000 の顧客がいます (顧客ベースの約 1%)。

フォレンジック調査では、攻撃時に Hosted Exchange 電子メール環境を使用していた 30,000 の顧客のうち、攻撃者が 27 の Hosted Exchange 顧客の Personal Storage Table (「PST」) にアクセスしたことが判明しました。

CrowdStrike の調査では、攻撃者が 27 の Hosted Exchange の顧客のいずれについても、PST 内の電子メールまたはデータを表示、取得、悪用、または拡散したという証拠は見つかりませんでした。

Exchange の脆弱性 ゼロデイおよび盗まれた資格情報のリスク

Rackspace 環境のエクスプロイトは、2022 年 11 月に最初にパッチが適用された Exchange Server の新しい重大なリモート コード実行 (RCE) 脆弱性を浮き彫りにしました。

Play のハッカー グループは、ProxyNotShell の軽減策をバイパスし、Rackspace Hosted Exchange 環境でランサムウェア攻撃を開始する新しいエクスプロイトを開発しました。 Crowdstrike は、 CVE-2022-41080CVE- 2022-41082 を組み合わせた新しいエクスプロイト チェーンを OWASSRF と名付けました。

この脆弱性は元の ProxyNotShell の軽減策を回避できましたが、パッチの修正は回避していないため、脆弱性に対する最初の軽減策に頼るのではなく、環境に適切なパッチを適用する必要性が強調されています。

多くの場合、攻撃者は、ProxyNotShell などの脆弱性と、盗んだ資格情報を組み合わせて攻撃を実行します。盗まれた資格情報は必ずしも必要ではありませんが、資格情報が侵害された場合、有効なシステム アクセスで悪用がはるかに容易になります。

ランサムウェア攻撃の防止

今日の組織は、セキュリティに関する推奨事項のベスト プラクティスを実施することで、ランサムウェア攻撃を防ぐことができます。攻撃者は、侵害された資格情報、パッチが適用されていないシステム、リモート アクセス システムのセキュリティの緩さ、および保護が不十分な Web サーバーを悪用する可能性があります。

ランサムウェア攻撃のドミノ効果を防ぐための次の戦略を見てみましょう。

  • パッチ適用
  • リモート アクセス システムの保護
  • パスワードのセキュリティを強化する

パッチ適用

パッチ適用は、ランサムウェア攻撃を防ぐための重要な側面です。残念ながら、Rackspace 攻撃で示されているように、攻撃者は多くの場合、パッチが適用されていない脆弱性を利用して重要なシステムを攻撃し、ランサムウェア攻撃を開始します。 Rackspace ランサムウェア攻撃の場合、ハッカーは緩和策を回避できますが、パッチが完全に適用されたシステムを回避することはできませんでした。

リモート アクセス システムの保護

ランサムウェア グループによるもう 1 つの一般的な攻撃ベクトルは、安全でないリモート アクセス システムです。正当な従業員がリモート アクセスできるシステムも、攻撃者の標的になります。たとえば、組織は、安全でないリモート デスクトップ サーバーまたは VPN 接続を使用して、多要素認証なしで脆弱な資格情報が関係する攻撃を受けることがよくあります。したがって、リモート アクセス システムのセキュリティを強化し、これらに完全にパッチを適用することが不可欠であり、ユーザーは認証に強力なパスワードと多要素認証を使用する必要があります。

パスワードのセキュリティを強化する

多くの場合、パスワードはほとんどの組織のセキュリティで最も脆弱なリンクであるため、企業はパスワードのセキュリティを改善することを検討する必要があります。さらに、ユーザーはアカウント間でパスワードを再利用することが多く、簡単に推測できるパスワードや以前に侵害されたパスワードを選択するため、侵害の標的になりやすくなります。

多くの企業は、オンプレミスの ID およびアクセス管理ソリューションとして、リソースを保護するために Microsoft Active Directory Domain Services を使用しています。ただし、Active Directory には、効果的な最新のパスワード ポリシーを提供するネイティブ ツールが含まれていません。さらに、Active Directory のネイティブ パスワード ポリシーは、侵害されたパスワードから保護しません。

Specops Password Policyのようなツールを使用すると、組織は最新の攻撃からパスワードを保護するという課題に対応できます。組織は、既存のグループ ポリシーを使用して、Specops パスワード ポリシー セキュリティ オプションを使用してパスワード セキュリティを拡張できます。

Specops: パスワード ポリシー
Specops: パスワード ポリシー
  • カスタム辞書を使用して、組織に共通する単語をブロックする
  • 侵害されたパスワード保護により、30 億以上の侵害されたパスワードの使用を防ぎます
  • 環境内で侵害されたパスワードを見つけて削除する
  • パスワード変更時のリアルタイムの動的フィードバック
  • ユーザー名、表示名、特定の単語、連続した文字、増分パスワードをブロックし、現在のパスワードの一部を再利用します
  • 任意の GPO レベル、コンピューター、ユーザー、またはグループ人口に対する GPO 主導のきめ細かなターゲティング

ランサムウェアからの保護

ランサムウェア攻撃を受けた場合の影響と結果は通常深刻であるため、ランサムウェアは世界中の組織にとってますます懸念されています。 Rackspace Technology で見られるように、重大なサイバーセキュリティ攻撃は、訴訟、規制上の罰金、顧客の信頼の喪失、ブランドの評判の低下につながる可能性があります。

その結果、ランサムウェア攻撃とその影響から保護するには、パッチ適用、リモート アクセスの保護、パスワード セキュリティの強化など、セキュリティを強化するための多面的なアプローチが組織に必要です。

Specops Password Policyは、組織が Active Directory アカウントのパスワード セキュリティを向上させ、侵害された脆弱なパスワードからの保護を支援するソリューションです。

Specops Softwareによる後援および執筆