ブログ(製品・サービス関連)

Mandiantがランサムウェアを回避し、マルチブランドの外食企業を数百万ドル規模の被害から救済

ITセキュリティの専門家なら誰でも、すでにサイバー攻撃に用いられているという深刻な脆弱性のニュースを受け取ったときの気持ちがわかると思います。決して良いとは言えないタイミングで、神経をすり減らすような確認作業が始まります。自社のシステムは安全なのか、それとも脆弱なのか。既に守られているのか、あるいは今後数週間から数ヶ月に渡って混乱、錯乱、苦痛を強いられることになるのか、といった内容です。

2021年7月2日の午後、Kaseyaは、遠隔監視・管理ツールであるVSA製品のゼロデイ脆弱性がランサムウェアの展開に悪用されていることを発表しました。幸いなことに、米国の複合外食企業1社を含むMandiant Managed Defenseの顧客数社はすでに攻撃から守られていました。その日の朝、MandiantのManaged Defense および レスポンス・サービス・チームは、お客様の環境の調査して脆弱な Kaseya VSA ソフトウェアを実行しているホストを特定する作業を開始しました。この脆弱性の影響を受けうるManaged Defenseの顧客はすぐに特定され、特定のオンプレミス・システムを自社ネットワークから隔離するように助言されました。

脆弱性はあった-しかし安心だった

その金曜日の深夜、この複合外食企業の最高情報セキュリティ責任者(CISO)は、来たる3連休でのセキュリティ対応に目を向けていました。

大規模な新種のランサムウェアの攻撃が行われているという情報が入ってきたのです。

その攻撃に関する情報を確認したCISOは、まず、自分の会社には影響はないと考えました。攻撃者はネットワーク管理ソフトウェアの脆弱性を利用していましたが、CISOとそのセキュリティ・チームは、このネットワーク管理ソフトウェアは自社のインフラのどこにも配備されていないと考えていました。

その後、Managed Defenseからの通知がありました。「私はMandiantからアラートを受け取りました。彼らはすでに当社に対するランサムウェアの攻撃を阻止しており、さらに少数ではあるが、それなりの数の当社のサーバーをネットワークから隔離するよう指示してきました」とCISOは語りました。「サードパーティが管轄する設備に格納されていたサーバーに、Kaseya VSA が何年も前にインストールされていたことが判明しました。」

Mandiantの専門家が確実に迅速な監視と対応を行ったことにより、同社は深刻な被害から免れることができました。

Mandiantの最前線

この脆弱性および攻撃に関する調査はMandiantによって週末の休暇中にも続けられました。Microsoft Windows Defenderを無効にする初期攻撃のためのPowerShellスクリプトを発見すると、Managed Defense はご契約頂いているすべてのお客様環境において攻撃者による活動の有無を特定するために、脅威ハンティングキャンペーンを開始しました。Managed Defenseは、攻撃の影響を受けてしまっていたお客様と協力して脅威を抑制するとともに、Mandiantのインシデント・レスポンス・チームと緊密に連携し、攻撃者の活動に関する情報を迅速に提供しました。

Managed Defenseが実施した各調査にはAdvanced Practices(AP)チームの脅威アナリストが参加し、観測された活動を調査し、モデル化し、過去の侵入行為と相関させ、今回の攻撃の原因を探る作業を行いました。APチームのアナリストは、この攻撃者についての理解を深めるために関連するデータを獲得し、この攻撃を検出するための侵害インジケーター(IOC)を用意することができました。このような取り組みの結果は、インシデント・レスポンス、脅威インテリジェンスセキュリティ検証ファイア・アイ製品などを含む、Mandiantのすべての製品・サービスに反映されています。

Kaseyaの余波

Mandiant Managed Defenseが外食企業のインフラを保護する最前線にいたため、同社の脆弱なサーバーは暗号化される前にネットワークから隔離されました。しかし、CISOとそのチームはすぐには休むことはできませんでした。彼らは夜通しMandiantと協力して、インフラの隅々まで影響を受けないように対策しました。

CISOは次のように述べています。「私たちは、Kaseyaのインストールを見落としていないかどうか、すべてを二重三重にチェックしました。次の朝10時に私たちは再度集合し、ようやくリラックスできました。」

もし、Managed Defenseが導入されていなかったらどうでしょうか。「もしManaged Defenseが導入されていなかったら、非常に大きな被害が発生していたことでしょう。独立記念日の週末は、私たちのビジネスにとって年間売上上位5日のうちの1日です。Mandiantとの契約がなければ店舗を閉鎖しなければならなかったはずで、その影響は計り知れないものになっていたでしょう。」

Mandiant Managed Defense: “良いサービス” とは何か

この外食企業は、大規模IT統合プロジェクトの一環として、検知・対応サービスを提供するMandiant Managed Defenseを採用しました。「私たちは、すべての子会社ブランドに標準化されたセキュリティ戦略を適用しました。Mandiantとの契約は、その戦略の重要な要素でした」とCISOは説明しています。

Managed Defenseと契約したことにより、社内のITセキュリティ・リソースを探して管理することに伴うリスクを排除することができました。「これまで私は、脅威の監視と対応を社内で行いたいと考えているITセキュリティ・チームと仕事をしてきました」とCISOは説明します。「私は過去に、脅威の監視と対応を社内で行うITセキュリティ・チームと仕事をしたことがあります。しかし、インシデント発生時に心配したのは、調査・対応が必要な時に適切なセキュリティ・リソース(ヒト・モノ) が確保できるかかどうかということです。 Managed Defenseと契約していれば専門家が24時間365日体制でインフラを監視し、問題があればすぐに対処してくれます。」

CISOがMandiantと契約した後、同社は別の持ち株会社を買収しましたが、この子会社は既に別のITセキュリティ企業と契約していました。CISOは、「その子会社が契約していた他のセキュリティ・ベンダーとの面談は、私のチームにとって啓発的なものでした。私たちがMandiantのサービス内容を説明すると、他のベンダーは 『いいえ、それには対応していません 』 と言い続けました」と説明しました。

「最終的には、他のベンダーからMandiantへ契約しなおしました。難しい決断ではありませんでした。私のチームはすでに、"良いサービス"とはどういうものかを知っていたからです」。

攻撃初期での対応は日常的に

新聞の見出しを飾る前にお客様を守ることは、Managed Defenseにとっては日常的なことです。インシデントを特定し、トリアージするための調査員の専門知識と、顧客環境から脅威を根絶するためのManaged Defenseのコンサルタントとの連携は、多くのお客様をさまざまな攻撃の被害から守ってきました。昨年だけでも、SolarWindsSonicWallMicrosoft Exchangeなどの重要な事件で、攻撃者が侵害に成功している期間を短くすることに貢献しました。当社は最前線での独自の先見性と脅威に対する調査により、ほとんどのサービス・プロバイダよりも早く対応することができます。大規模かつ迅速に対応を開始し、顧客の環境全体に最先端の脅威ハンティング・キャンペーンや検出を展開することができるため、Mandiantと手を組まなければ重大な脅威は検出できなかった、というような話がなされているのです。

次回のウェビナー(英語)「Tales from Trenches: How Managed Defense Customers Avoid the Biggest Threats」では、今回のサイバー攻撃をはじめとする最新のサイバー攻撃について、当社の専門家チームから直接話を聞くことができます。ぜひご登録ください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:July 26, 2021 「Mandiant Saves Multi-Brand Restaurant Company Millions of Dollars by Avoiding Ransomware