リモート監視ツールへの攻撃がサイバー犯罪者に「大人気」 その理由は？

2023年のサイバー防衛のキーワードは3つあり、そのうちの一つが「リモート監視・管理ツール」だ。なぜこのツールが注目を集めているのだろうか。

[Matt Kapko，Cybersecurity Dive]

　米国では、リモート監視ツール（RMM）を狙う脅威への対策が進行中だ（注1）。これは、日本にとっても対岸の火事ではない。

なぜリモート監視・管理ツールが危ないのか

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年のテーマとしてRMMを取り上げた。なぜだろうか。

　CISAによると、この取り組みはJoint Cyber Defense Collaborative（JCDC）計画の一部であり、「RMMソフトウェアに対するトップダウンの悪用の問題」に対処するためのものだ。

　同計画のアジェンダによれば（注2）、2023年は中小企業のサプライチェーンにおけるリスクを軽減するためにCISAの取り組みが確立された段階だ。対象となるのは（電力やガス、鉄道、空港などの）重要インフラに関連する事業を営む企業だ。

　2023年の重点分野は3つあり、RMMとマネージドサービスプロバイダー、マネージドセキュリティサービスプロバイダーだ。

　「攻撃者はRMMを悪用してマネージドサービスプロバイダーのサーバに侵入し、何千もの顧客のネットワークへアクセスしている」とCISAは警告した。

　マネージドサービスプロバイダーは多数の企業からネットワークやサーバ、クラウドなどのシステム運用を請け負っているため、ここを攻撃されると多大な被害につながるだろう。

　CISAが2022年1月に公開したサイバーセキュリティ勧告によると、2022年の後半に起きた「AnyDesk」と「ScreenConnect」（現在のConnectWise Control）を標的とした広範な攻撃では、正規のRMMが悪用されていた（注3）。

なぜ攻撃者はRMMを狙うのか

　攻撃者はRMMを悪用して、複数のネットワークへアクセスするための足場を築き、セキュリティ防御を回避する。

　サイバーセキュリティ事業を営むTaniumのメリッサ・ビショーピング氏（エンドポイントセキュリティ・リサーチディレクター）は次のように述べた。

　「システム管理者はRMMを利用すると、リモートアクセスやエンドポイントの設定や制御が容易になる。そのため、RMMソフトウェアは攻撃者にとっても魅力的なターゲットになった。RMMソフトウェアは一般のEDR（Endpoint Detection and Response）やアンチウイルスソフトウェアの検出対象ではない。さらにRMMは多くの場合、制御下のデバイスに対する高い権限を持っている。攻撃に使用するためのデフォルトで存在するツールとして攻撃者に人気があるのはこのためだ」

　RMMを防衛する計画では、この分野のベンダーに対して、サイバー脅威や脆弱性に関する情報共有を強化し、可視性を高めるよう求めている。RMMに関連するインフラストラクチャのリスクを軽減するためのセキュリティプラクティスについて、企業や組織を教育することにも重点を置いている。

出典：Cyber authorities have a plan to defend remote monitoring tools（Cybersecurity Dive）

注1：JCDC Remote Monitoring and Management Cyber Defense Plan（CISA）

注2：JCDC Focused on Persistent Collaboration and Staying Ahead of Cyber Risk in 2023（CISA）

注3：Protecting Against Malicious Use of Remote Monitoring and Management Software（CISA）