悪用されるAction1

Action1はRMMの一つです。
RMMはRemote monitoring and managementです。
リモートでのIT環境監視や管理を行うソフトウェアを指します。
このジャンルの製品は多く提供されていて、いろいろな機能を提供します。

このソフトウェアを使用すると、管理者が通常実施する様々な管理業務を省力化することができます。
パッチ管理とセキュリティ更新プログラムの展開を自動化し、ソフトウェアをリモートでインストールし、ホストをカタログ化し、エンドポイントの問題をトラブルシューティングし、自動的に作成されたリアルタイムレポートを見ることができる、といった具合です。
この実現できる機能を見ると、通常の製品利用者である管理者に有益なものであることがわかりますが、それと同時にこれがもし悪意ある人に利用されるととんでもないことになることが直感でわかります。
上記文面の「ソフトウェア」の部分を「マルウェア」に置き換えてみてください。そういうことです。

実際に、この脅威の活動が行われていることが観測されています。
Action1 RMMプラットフォームが、偵察活動やネットワークホスト上でシステム権限を使用してコードを実行するために、複数の攻撃者によって悪用されてしまっています。
この製品には、製品評価の目的で提供された無償で利用できる範囲があります。
この無償利用範囲を悪用しているということなのかもしれません。

製品提供側はこのような想定外の利用についてすでに把握していて、AIを活用して悪意ある活動に使用されてしまうことを防ぐ機能を組み込んだようです。
疑わしい行動パターンのユーザ動作を検出するとそのアカウントを一時的に停止し、詳細調査を開始する仕組みの運用を開始したそうです。

RMMの範囲にある製品は多くあります。
Acrion1はAIで疑わしい行動を検出するという方向で進んでいますが、他の製品はどうでしょうか。

製品の性質から考えて動作に特権が必要なジャンルというものが存在します。
あらゆるものが最小権限の原則に則った状態になる、とか、強制アクセス制御の適用が完了する、とかの状態になると一定の安心は手に入るのかもしれませんが、現状はまだそこには遠いと思われます。
誰かが守ってくれる、システムに任せておけば安心、ということではなく、自分事としてセキュリティ対策を考えることが大事ということに思えます。

参考記事（外部リンク）：Threat actors have started leveraging a new RMM platform
called Action1.
https://twitter.com/Kostastsale/status/1646256901506605063