FBI/CISA/NSA などが共同勧告:MSP を狙う脅威アクターが増え続けている

FBI, CISA, and NSA warn of hackers increasingly targeting MSPs

2022/05/11 BleepingComputer — 今日、Five Eyes (FVEY) のインテリジェンス同盟のメンバーは、MSP (Managed Service Provider) とその顧客に対して、サプライチェーン攻撃の標的となるケースが、ますます増えていることを警告した。FVEY 諸国におけるサイバー・セキュリティ機関および法執行機関 (NCSC-UK/ACSC/CCCS/NCSC-NZ/CISA/NSA/FBI) は、これらの増大が予測されるサイバー脅威から。MSP がネットワークと機密データを保護するための、ガイダンス Protecting Against Cyber Threats to Managed Service Providers and their Customers を共有した。

これらの組織による共同声明では、「英国/オーストラリア/カナダ/ニュージーランド/米国のサイバー・セキュリティ当局は、国家に支援された高度持続的脅威 (APT:Advanced Persistent Threat) を含む悪質な脅威アクターが、MSP と顧客を結ぶネットワークの信頼関係を悪用するために、プロバイダ側を標的にしようとしている。
たとえば、脅威アクターが MSP への侵入に成功した場合、ランサムウェア/サイバー・スパイといった後続の活動を、MSP と顧客が許してしまう可能性がある」と述べている。

FVEY における各サイバー・セキュリティ当局は、これまでの数年にわたり、MSP と顧客に対する一般的な指針を示す、いくつかの勧告 [1234] を発表してきた。しかし、本日の勧告では、顧客のリスク許容度に対応するために、セキュリティ・プロセスや契約上の約束事の再評価を中心とした透明性の高い議論を通じて、機密性の高い情報やデータを保護するための、具体的な対策が提示されている。

Rob Joyce MSP guidance tweet

MSP と顧客が取るべき、最も重要な戦術的措置の概要は以下のとおりである。

  • 使用しなくなったアカウントを特定し、無効化する。
  • 顧客環境にアクセスする MSP アカウントに MFA を適用し、原因不明の認証失敗を監視する。
  • 情報通信技術 (ICT) セキュリティの役割と責任に関する切り分けを、MSP と顧客の間で透明性を持って契約する。

CISA のディレクターである Jen Easterly は、「MSP における脆弱性が、MSP がサポートしている企業や組織の下流リスクを、著しく増大させることが分かっている。CISA と省庁および国際的なパートナーは、MSP のセキュリティを強化し、グローバル・サプライチェーンの回復力を向上させることに尽力している」と述べている。

いまから1年前に英国政府は、ソフトウェア・サプライチェーン攻撃に対する防御と、国内 MSP におけるサイバー・セキュリティ防御を強化する方法についての、助言を募集すると発表した。そのときは、SolarWinds のサプライチェーン攻撃や、米国最大の燃料パイプライン Colonial Pipeline に対する、DarkSide ランサムウェア攻撃がキッカケとなっていた。また、Biden 大統領が、サイバー攻撃に対する米国の防御を近代化する、大統領令を出した直後の動きでもあった。

このところ、記事のタイトルに MSP という言葉が入ることが少なくなっていますが、依然として深刻な脅威を引きずっていることに違いはありません。昨年は、SolarWindsColonial PipelineKaseya などにおけるインシデントが注目を浴び、2022年1月には「2021年はサプライチェーン攻撃の年:3倍増の件数と3つの大きな課題」という記事がポストされたほどです。その一方で、5月4日の記事「NIST の サプライチェーン・リスク対策:Cybersecurity Supply Chain Risk Management がリリース」にあるように、対策も進んでいるようです。よろしければ、カテゴリ SupplyChainAttack も、ご参照ください。

%d bloggers like this: