CDKグローバル侵害がWindows ISVに教えること

2024年6月18日、北米の約15,000の自動車ディーラーに販売、サービス、融資、保険のソフトウェアを提供するSaaSベンダーであるCDK Globalは、BlackSuitランサムウェアギャングによって実行された大規模なサイバー攻撃を受け、重要なファイルとシステムが暗号化された。BlackSuitは、暗号化された顧客データと引き換えにCDK Globalに身代金を要求しました。

6月^19日、CDK GlobalはITシステムをシャットダウンし、攻撃から回復するための努力を開始した。こうした努力の最中、BlackSuitはCDK Globalに2度目の攻撃を仕掛けた。

CDKのシャットダウンにより、自動車ディーラーの顧客は、CDKのシステムを使って販売やサービスの予約を取ったり、サービス客の出入りをチェックしたり、車の販売や融資をしたりすることができなくなった。ディーラー各社は、業務を遂行するために2週間近く紙ベースのシステムに移行せざるを得なかった。

6月^21日、CDKグローバルはBlackSuitに約2500万ドルのビットコインを支払い、暗号化されたファイルとシステムのコントロールを取り戻したが、すべてのカーディーラーが復旧するまでには7月^4日を要した。

身代金2500万ドルの支払いに加え、CDKグローバルは、攻撃による損害を主張する自動車ディーラーの顧客から少なくとも8件の訴訟に直面している。

BlackSuitがどのようにしてCDK Globalのシステムに侵入できたのか、正確には分からないかもしれないが、多くのサイバーセキュリティ企業が、最も可能性の高い攻撃シナリオをブログで紹介している。

BlackSuitが想定する攻撃シナリオ

サイバーセキュリティの専門家によると、攻撃者は企業のITシステムの脆弱性を段階的なアプローチで悪用することがほとんどだという。

1. フィッシングやソーシャル・エンジニアリングを使って従業員を騙し、マルウェアをコンピュータにインストールさせたり、ユーザー認証情報を開示させたりすることで、攻撃者が標的企業のシステムに侵入する足がかりを作る。
2. いったんシステムに侵入すると、攻撃者は足場を広げて、クレデンシャル・ダンピング（オペレーティング・システムやソフトウェアからユーザー認証情報を盗むこと）や脆弱なパーミッション（例えば、低特権ユーザーにサービス設定の変更が許可されている場合）を悪用するなどのテクニックを使って、システム内を横方向に移動し、追加のシステム／サーバーにアクセスして、機密データや身代金を支払う価値のある重要なシステムにアクセスする。
3. さらに、パッチの適用されていないソフトウェアや脆弱なインフラストラクチャなど、システムの脆弱性を悪用して貴重なデータにアクセスする横移動のテクニックもある。

BlackSuitは、攻撃中に遭遇するシステムの種類と、企業がサイバーセキュリティに集中していないときに生じるあまりにも一般的な攻撃機会に関する高度な技術的理解に助けられ、CDKの脆弱性を悪用するための努力を調整しました。BlackSuitの攻撃者は、その経験と専門知識により、CDKのシステムやインフラに潜む機会を即座に認識し、利用することができました。

{CTAEMBED_IDENTIFIER}}。

Windows ISVはCDKグローバル侵害から何を学ぶか？

CDKグローバル社にとって経済的な大惨事となっただけでなく、この情報漏洩は自動車販売・サービス業界に全国的な混乱を引き起こし、SaaSモデルを使って顧客にアプリケーションを提供するソフトウェア企業にとって注意すべき教訓となった。以下のサイバーセキュリティ・セーフガードは、標準的なベストプラクティスではあるが、繰り返す必要がある。

従業員トレーニング：ほとんどのランサムウェア攻撃の最初のステップは、従業員にフィッシングメールを送り、認証情報を漏えいさせることです。フィッシングのリスクについて従業員に教えるトレーニングを定期的に実施し、従業員のミスによって攻撃者がシステムに侵入する最初の足がかりを作る可能性を減らしましょう。

計画を立てる：事故対応計画を立て、毎年見直す。年に数回「消防訓練」を実施し、インシデントに備えてスタッフと経営陣を準備する。また、攻撃中および攻撃後の顧客の期待を管理できるよう、顧客とのコミュニケーション計画を含めることも忘れずに。

従業員アクセスの管理：社内システムへの正規ユーザーのアクセスを強力に管理する。各従業員のアクセスは、業務遂行に必要な最低限のものに限定する。社内システムへのアクセスが必要な従業員には、強力なパスワードと多要素認証を使用させる。さらに、定期的にユーザー・アカウントを監査し、使用されなくなったレガシー・アカウントを閉鎖する。アカウントが古ければ古いほど、推測しやすいパスワードが使用され、多要素認証によって保護されていない可能性が高くなる。

セキュリティ・プロトコルの強化：既知の脆弱性を解消し、悪用を防ぐために、ソフトウェア・システムを定期的に更新し、パッチを当てる。 

定期的なデータバックアップ：重要なデータやシステムを定期的にバックアップし、万が一の攻撃にも復旧できるよう、バックアップをオフサイトに安全に保管する。インシデントレスポンス計画には、顧客を長期間「死に体」にしないために、バックアップを迅速に取得するプロセスを含める必要があります。

Microsoft Remote Desktop Protocol（RDP）の使用を制限する：英国のサイバーセキュリティ企業であるSophosによると、同社が追跡した2023件の攻撃のうち77%で、Microsoft® Remote Desktop Protocol (RDP) が、漏洩した認証情報を利用して内部アクセスやシステム内の横移動に利用されていました。RDPは、ほとんどのWindows® OSにプリインストールされており、Windows 11以前はブルートフォース（総当たり）防御機能が設定されていなかったため、「最も広く悪用されているツールの1つ」であるとソフォスは考えています。

ソフォスは、RDP（Microsoft RDS を使用して顧客にアプリケーションを配信している Windows ISV を含む）を使用している組織に対して、リスクを低減するために、RDP の使用を厳しく制限するようアドバイスしています。その方法とは？第 1 に、Windows 11 を使用している顧客がアカウントロックアウト ポリシーを無効にしていないことを確認します。第 2 に、Windows 10 および 8.1 を使用している顧客のマシンでアカウントロックアウト ポリシーを有効にします。あるいは、顧客がリモートデスクトップセッション間でRDPを無効にするよう要求することもできます。

または...RDPとRDSの使用を止める。

Windowsアプリケーションを顧客に提供するためにRDSとRDPを使用しており、顧客のWindowsマシンのWindows設定を指示することなく、RDPの使用に関連する高いリスクを排除したい場合は、RDSとRDPの使用を中止してください。

RDSとRDPの使用をやめる？どうやって？

RDSとRDPを使用する必要性を排除し、Windowsアプリケーションをどこにいる顧客にも提供するための1つのソリューションがあります。

GO-Global®は、Microsoftのマルチセッション機能、リモートデスクトップサービス、およびリモートデスクトッププロトコルの完全な代替機能を提供します。GO-GlobalはRDPを独自の低帯域幅プロトコルであるRapidX Protocol（RXP）に置き換えます。RXPはクローズドソースであるため、RDPのオープンソースプロトコルと比較して、攻撃者に対する防御が強化されます。

さらなるセキュリティのために、GO-Globalは総当たりおよび辞書によるパスワード検索を無意味にする2FAを含んでおります。また、 GO-Global + SSOはOpenID Connectのサポートを提供し、組織が最新のIDプロバイダーを使用してGO-Global Windowsホストへのシングルサインオンを可能にします。

GO-Globalのデモをご希望の場合は、 ここをクリックしてください。GO-Globalの30日間無料トライアルをご希望の場合は、 ここをクリックしてください。