ITシステム管理サービスを提供するKaseyaがランサムウェアの標的となった。Kaseyaはマイアミを拠点とし、世界の顧客にサービスを提供している。米国では最近、ランサムウェア攻撃が相次いでおり、5月には大手石油パイプライン企業や大手食肉加工業者が一時的に操業停止に追い込まれた。
提供:James Martin/CNET
鉄道、薬局チェーン、スウェーデンの食料品店チェーンを含む多くの企業が、Kaseyaに対する攻撃で直接的な被害を受けたとみられている。Kaseyaは米国時間7月2日以降、このインシデントに関する最新情報を同社のサイトで継続的に掲載している。2日には、オンプレミスの全顧客に各社のVSAサーバーをオフラインにするよう通知した。現在もオフラインの状態を継続するよう促している。当初、非常に少数のオンプレミスの顧客のみが影響を受けた可能性があるとしていたが、慎重な対応を取り、SaaSサーバーもシャットダウンした。間接的に影響を受けた企業は、少なくとも3万6000社に上るという。
Kaseyaは3日、侵害検出ツールを提供すると発表し、同日夜、要望のあった900弱の顧客にロールアウトしたことを4日明らかにした。Kaseyaは、米連邦捜査局(FBI)、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と協力し、この攻撃について調査している。
同社は4日午前、「機能を制限し、セキュリティ体制を強化した状態で、SaaSサーバーファームのサービスを地域単位で段階的に復旧する計画を立てている(24~48時間以内を想定しているが、変更される可能性がある)」とした。4日午後には、同社の取り組みが根本的な原因の分析から脆弱性の緩和に移行しており、サービス復旧の計画を実行し始めているとして、段階的な計画を示した。
攻撃の標的となったのは、Kaseyaのリモート監視、管理サービス「VSA」だ。
Kaseyaの最高経営責任者(CEO)Fred Voccola氏は4日、Good Morning Americaに対し、「われわれは、いかにして発生したかを把握していると100%確信している。そして、この修正を行っている」と述べた。
The Wall Street Journal(WSJ)は、ハッキング集団REvilがKaseyaに対する今回の攻撃に関与していると報じた。REvilは、食肉加工大手JBSへの攻撃にも関与したとみられている。セキュリティ企業Huntressは、ロシアと関わりのあるREvilの関与を指摘している。