原題: DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers
DragonForceがSimpleHelpの脆弱性を悪用しMSPと顧客を攻撃
近年、マネージドサービスプロバイダー(MSP)を狙ったサイバー攻撃が増加しています。Sophos MDRは、MSPが利用するリモート監視・管理ツール「SimpleHelp」の脆弱性を悪用し、DragonForceランサムウェアによる大規模な攻撃が発生したことを明らかにしました。
主要なポイント
- SimpleHelpの脆弱性悪用:攻撃者は2025年1月に公表された複数の脆弱性(CVE-2024-57726、CVE-2024-57727、CVE-2024-57728)を利用し、MSPのRMMツールに不正アクセスしました。
- DragonForceランサムウェアの展開:侵入後、複数のエンドポイントにDragonForceランサムウェアを展開し、機密データの窃取と二重恐喝(二重身代金要求)を行いました。
- Sophosの防御成功例:Sophos MDRとXDRエンドポイント保護を導入していた顧客は、ランサムウェア感染と恐喝を阻止できましたが、未導入の顧客は被害を受けました。
- DragonForceの背景:DragonForceは2023年に登場したランサムウェア・アズ・ア・サービス(RaaS)で、2024年からは分散型アフィリエイトモデルへ移行し、複数の大手企業を標的にしています。
- インシデント対応:被害を受けたMSPはSophos Rapid Responseによるデジタルフォレンジックとインシデント対応を実施中で、関連する侵害の指標(IoC)はGitHubで公開予定です。
技術的な詳細と背景情報
SimpleHelpはMSPが顧客のIT環境を遠隔で監視・管理するためのツールです。今回悪用された脆弱性は以下の通りです:
- CVE-2024-57727(パストラバーサル脆弱性):攻撃者がファイルシステムの本来アクセスできない場所に不正にアクセス可能になる脆弱性。
- CVE-2024-57728(任意ファイルアップロード脆弱性):悪意あるファイルをサーバーにアップロードし、悪用される恐れがある。
- CVE-2024-57726(権限昇格脆弱性):通常のユーザー権限から管理者権限へ不正に昇格できる脆弱性。
これらの脆弱性を組み合わせることで、攻撃者はMSPのRMMインスタンスに侵入し、管理下にある複数の顧客環境にアクセス・攻撃を仕掛けました。DragonForceは高度なランサムウェアで、被害者のデータを暗号化するだけでなく、盗み出したデータを公開すると脅す「二重恐喝」戦術を用います。
影響と重要性
MSPは多くの企業のIT環境を一括管理しているため、MSPが攻撃されるとその顧客企業も連鎖的に被害を受けるリスクが高まります。今回の攻撃は、MSPのセキュリティが企業全体の安全に直結することを示す典型例です。また、DragonForceのようなRaaS(ランサムウェア・アズ・ア・サービス)モデルは、攻撃者の裾野を広げ、攻撃の多様化と高度化を加速させています。
Sophosのような高度な検知・防御ソリューションの導入が被害軽減に有効であることも明確になりました。MSPおよびその顧客は、脆弱性管理と多層防御の強化が急務です。
まとめ
今回のDragonForceによるSimpleHelpの脆弱性悪用事件は、MSPを狙ったサイバー攻撃の深刻さを浮き彫りにしました。MSPは自社のセキュリティ対策を見直し、脆弱性の早期修正と高度な検知防御体制の構築が必要です。顧客企業もMSPのセキュリティ状況を把握し、連携してリスク管理を行うことが重要です。Sophosは今後も関連する侵害の指標(IoC)を公開し、コミュニティと連携して対策を支援していきます。
