検索
連載

またもや狙われたMicrosoft 勝手にクライアント管理ツールが悪用される

サイバーセキュリティが弱いという批判を浴びているMicrosoftがまたもや攻撃を受けている。Windowsに勝手にリモート接続された後、ランサムウェア攻撃につながる。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 Microsoftの研究者は2024年5月15日(注1)、「経済的な動機に基づくサイバー攻撃者(Storm-1811)が2024年4月中旬以降、当社のクライアント管理ツール『Quick Assist』をソーシャルエンジニアリングによる攻撃で悪用している」と発表した。

Microsoftがやられたサイバー攻撃の手口とは?

 クライアント管理ツールのQuick Assistは「Windows 11」の標準機能の一つだ。インターネットを経由してリモートでWindows PCの画面を表示したり、制御したりできる。もともとはPCのそばに行かなくてもリモートでアシストできるツールとして使うものだ。

 Microsoftによると、この攻撃はQuick Assistの悪用とともに「ビッシング」(vishing)とも呼ばれる音声フィッシングから始まる。その後、「ScreenConnect」や「NetSupport Manager」などのリモートモニタリングツールや「Cobalt Strike」や「Qakbot」などのマルウェアの展開が始まり、最終的には「Black Basta」ランサムウェアの配信に至るという。

 連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、世界中の(電力やガス、鉄道、空港などの)重要インフラやヘルスケアに対する何百もの攻撃でBlack Bastaが展開されていると警告した。それから1週間もたたないうちに(注2)、今回の攻撃が明らかになった。

 攻撃グループはビッシングを利用して、ユーザーをだましてコンピュータシステムへのアクセスを許可させるソーシャルエンジニアリングの手法を使用した。Quick Assistを悪用してITやヘルプデスクのスタッフになりすます場合もあれば、スパムメールで電子メールアドレスを飽和させる「メール爆撃攻撃」を使用する場合もある。その後、攻撃者は問題を修正するという口実で、そのユーザーのシステムへのアクセスを要求する。

 システムへのアクセス許可を得た後、ZIPファイルやバッチファイルをそのPCへダウンロードして、リモート管理ツールやマルウェアなどの悪意のあるコードを配信する。

 サイバーセキュリティ事業を営むAt-Bayの研究者によると、2023年のランサムウェア攻撃の主要な侵入ポイントはリモートアクセスツールだった(注3)。

この攻撃はどの程度危険なのか

 Microsoftの研究者によると、ConnectWiseのリモートアクセスとサポートのためのツールScreenConnectにより、攻撃者は持続的なアクセスを獲得し、横展開できるようになる。また、NetSupport Managerにより、攻撃者は侵害したシステムの制御を維持できるようになる。

 サイバーセキュリティ事業を営むTrend Microの研究者は(注4)、Black Bastaの関係者が、Cobalt Strikeを展開する前に、認証回避の脆弱(ぜいじゃく)性「CVE-2024-1709」を含むScreenConnectの重大な欠陥を悪用していることを確認した(注5)。

 サイバーセキュリティ企業であるRapid7のロバート・ナップ氏(インシデントレスポンスサービスを担当するシニアマネジャー)によると、Microsoftの報告書はRapid7の研究者が観察したものと同様の活動を指摘している(注6)。違いはさらに一歩踏み込んで、その活動を特定の攻撃者に結び付けたことだ。しかし、Rapid7はこれらの特定のケースでQakbotの展開を確認していない。

 Microsoftによると、Black Bastaの関係者は、ランサムウェアを展開する前にQakbotを使ってアクセスすることが多いという。

 サイバーセキュリティ企業Halcyonのジョン・ミラー氏(共同設立者兼CEO)によると、Black Bastaは、企業のサーバーで稼働している「VMware ESXi」の脆弱性も悪用しているという。

 なお、MicrosoftによればQuick Assistをブロックしたり、アンインストールしたりすることで攻撃のリスクを減らせるという。

© Industry Dive. All rights reserved.

ページトップに戻る