ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。

詳細はこちら
Zpedia / SolarWindsサイバー攻撃とは

SolarWindsサイバー攻撃とは

SolarWindsサイバー攻撃とは、SolarWindsのOrion Platformに行われたサプライ チェーン攻撃で、ロシアの国家的攻撃者が同社のシステムにアクセスしてOrionソフトウェアのアップデートをトロイの木馬化し、顧客が使用するネットワークにステルス マルウェアを拡散させた事件です。SolarWindsに対するハッキングについては、2020年12月に複数のサイバーセキュリティ企業が米国サイバーセキュリティ インフラストラクチャー セキュリティ庁(CISA)と共同声明を発表しました。

SolarWindsへのサイバー攻撃について
見る

SolarWindsについて

テキサス州に本社を構えるSolarWindsは、組織がIT環境のパフォーマンスを監視、管理できるようにする情報技術(IT)インフラ管理ソフトウェア ソリューションを提供しています。

SolarWinds Orionは、ネットワーク インフラの監視および管理プラットフォームとして広く使用されており、さまざまなベンダーのネットワークを可視化し、問題を特定してトラブルシューティングできるように設計されています。Orionが抱える顧客には大手民間企業や政府機関が含まれ、その数は33,000人以上にものぼります。今回問題となった攻撃は、顧客数の半分ほどにあたる約18,000人に影響を与えたと考えられています。

SolarWindsへの攻撃が明らかになった翌日、Forbesはこの攻撃が米国の治安機関の中枢に及ぶ可能性があることについて、「公的記録を調べた結果、幅広い範囲に及ぶ米国政府関連組織がこれまでにSolarWinds Orionを購入したことが確認されており、中でも国防総省は最大規模の顧客で、陸軍と海軍も主要ユーザーとなっている。この他にも、退役軍人省をはじめ、国立衛生研究所、エネルギー省、DHS、FBIも、以前にこのツールを購入した米国の政府機関として名前が挙がっている」と報道しました。

米国の国家機関やFortune 500を狙ったこの攻撃は、国家の安全や経済成長にさらに大きなダメージを与えることになるかもしれません。

Steven J. Vaughan-Nichols氏, ZD-Net, 2021年1月4日

SolarWindsに仕掛けられたサイバー攻撃の概要

SolarWindsの通信に対する攻撃はSUNBURSTとして知られ、2020年3月から6月までにリリースされたOrionのバージョン2019.4~2020.2.1に影響を与えました。

ハッカーはOrion Platformのアップデートの一部として配布されたOrion Platformプラグインに修正を加えることで、攻撃を実行しました。SolarWindsの正規のデジタル署名を持つこのアップデートには、攻撃者が管理するサードパーティーのサーバーと通信するためのバックドアが含まれていました。攻撃対象の組織に足場を築いた攻撃者は、データを盗み、悪意のあるコードを展開して、ビジネスを混乱に陥れたのです。

この攻撃は、運用上のセキュリティを熟知しているレベルの高い攻撃者によって実行されました。攻撃者は公開されているデータを基に、ステガノグラフィーなどのコードの難読化やクリーンアップ技術、攻撃対象のシステムや分析システムを識別するためのフィンガープリント技術、地理的位置の近接性に焦点を当てたインフラのローテーション、そして可能な限りメモリー内のコードを実行するなど、検出から逃れるために多大な労力を費やしたとみられます。

こういった技術を駆使すると同時に、信頼できるソフトウェア プラットフォームのデジタル署名済みコンポーネントを最初の感染ベクトルとして使用している点からも、確実に成功させるための努力は惜しまない、高度なスキルを備えた攻撃者によって行われた攻撃であることがわかります。

攻撃に対する米国の対応と制裁措置

この攻撃によって、司法省(DOJ)、国土安全保障省(DHS)、財務省などの重要な米国連邦政府機関が影響を受け、連邦政府各機関のMicrosoft 365のメール環境が露見する事態となったため、防衛的対応が必要な「重大インシデント」として扱われることになりました。

2021年4月にホワイト ハウスから出された声明で、バイデン政権は「米国の主権および利害に影響を与えるロシア政府ならびに諜報機関による行為に対して制裁措置を取る」ことを発表し、その対象はロシアの政府、商業取引関係者、諜報機関に及び、ロシア諜報機関の外交関係者も米国から追放される結果となりました。

また、この声明の中では、攻撃元がロシア対外情報局(SVR)であることが正式に特定されており、これに関する詳細を含めたセキュリティ アドバイザリーをCISA、連邦捜査局(FBI)、国家安全保障局(NSA)が共同で発表しています。

「サプライ チェーン攻撃」は、ベンダーと顧客の信頼関係や、本質的に信頼できるソフトウェア アップデートのメカニズムなどのマシン間の通信チャネルを利用するため、防止が最も難しい脅威の1つです。

Lucian Constantin氏, CSO Online, 2020年12月15日

攻撃被害の確認方法

攻撃者は検出を回避するために、攻撃対象の環境に特に興味を持った場合にのみSolarWinds Orionのバックドアを使用したと考えられます。つまり、攻撃者がアクセスを求めたのか、実際に取得したのかを知るには、ネットワーク アクティビティーを分析するしか方法がないのです。

攻撃キャンペーンは2020年3月以前に開始された疑いがあり(2019年10月にはテストが行われた可能性もある)、侵害に関する既知の兆候は確認されていませんでした。関連するデータの量が多すぎるため、多くの組織は侵害が発生したかどうかを判断するのに十分な期間のアクセス ログを保持していないというのが実情でした。

攻撃者が侵害されたOrionシステムを介して環境にマルウェアを展開した場合、昇格された特権を使用して、どのようなアクションを実行できるかを調査し始める可能性があります。影響を受けるOrionシステム(またはそれと通信している他のシステム)に、次のような動作がないか監視する必要があります。

  • システム タスクの変更
  • 削除-作成-実行-削除-作成というディレクトリーのアクション パターン
  • 新しく作成された、または不明なローカル ユーザー アカウント
  • Adfind.exeの有無または使用形跡
  • solarwinds.businesslayerhost.exeからcmd.exeまたはrundll32.exeが派生している兆候
  • メール ゲートウェイ上に未知または非常に広範なメール転送や削除に関するルールが存在

侵害されたOrion製品と各バージョン

攻撃を受けた可能性の有無を知る最も簡単な方法は、環境内で侵害されたOrion製品を使用しているかどうかを確認することです。影響を受けたOrion Platformのバージョンは次のとおりです。

  • 2019.4 HF5、バージョン2019.4.5200.9083
  • 2020.2 RC1、バージョン2020.2.100.12219
  • 2020.2 RC2、バージョン2020.2.5200.12394
  • 2020.2、バージョン2020.2.5300.12432
  • 2020.2 HF1、バージョン2020.2.5300.12432

リスクにさらされている場合の対処方法

侵害されたバージョンのOrion Platformを使用している場合は、次のアクションを実行してください。

  1. 感染したシステムを直ちに隔離、切断する。または、電源を切断する
  2. ログを確認し、感染したシステムからのコマンド&コントロールのアクティビティーまたはラテラル ムーブメントを特定する
  3. SolarWinds Orionとその関連サービスで使用されるすべての資格情報をリセットする
  4. このアドバイザリーに従って、Orionを最新バージョンに更新する
  5. アドバイザリーに記載されている影響を受けたその他のSolarWinds製品を実行しているかどうかを確認する

企業はソフトウェアのユーザーとして、ゼロトラスト ネットワーキングの原則とロールベースのアクセス制御を、ユーザーだけでなくアプリケーションやサーバーへも適用することを検討し始める必要があります。

Lucian Constantin氏, CSO Online, 2020年12月15日

組織を保護するためのベスト プラクティス

サプライ チェーン攻撃は絶えず進化しており、同時に攻撃者は公的機関や民間企業のオペレーションと機密データを侵害する新たな手段を模索しています。リスクを可能な限り軽減するために、次のような推奨事項について検討することが重要です。

  • ゼロトラスト アーキテクチャーで、インターネットに面した攻撃対象領域の排除、ラテラル ムーブメントの阻止、C2のブロックを可能にする。
  • ワークロードとインターネット間のトラフィックに対して、完全なTLS/SSLインスペクションと高度な脅威対策を実施する。
  • インラインのクラウド サンドボックスを実行して、未知の脅威を特定して阻止する。
  • 新たな宛先が確認された場合は、継続的な更新で既知のC2トラフィックに対する保護機能を強化する。
  • クラウド ワークロードにアイデンティティーベースのマイクロセグメンテーションを使用して、ラテラル ムーブメントの影響を制限する。
  • 最高レベルの機密性、完全性、可用性を確保できるベンダーを選択する。

これらを実行しない場合でも、以下の2点は非常に重要です。これにより、攻撃者が環境に侵入することがはるかに困難になる一方で、予期しないアクティビティーの検出が容易になります。

  • 最小特権アクセスを施行し、攻撃側を優位な立場に立たせないようにする。
  • 価値の高い資産へのアクセスに対しては多要素認証を必須にする。

Zscalerのソリューション

現代のサイバー脅威の中でもとくに巧妙で、検出が難しいのがサプライ チェーン攻撃です。こうした脅威から確実に身を守るためには、環境内のすべてのトラフィックを完全に可視化し、複数のセキュリティ レイヤーを確保すると同時に、すべてのパートナー組織のセキュリティ態勢を明確に把握する必要があります。

Zscaler Zero Trust Exchange™は、ネイティブに統合されたサービスと業界をリードする強力な機能で高度なサプライ チェーン攻撃から組織を保護します。Zero Trust Exchangeの主な特長は次のとおりです。

  • Zscaler Internet Access™を介してすべてのサーバー トラフィックをルーティングすることで、侵害されたサーバーからの悪意のあるアクティビティーを特定して阻止する
  • 重要インフラからのトラフィックを許可リストの宛先のみに制限する
  • 信頼できる送信元からのトラフィックも含め、すべてのTLS/SSLトラフィックを無制限のスケールで検査する
  • 高度な脅威対策すべての既知のコマンド&コントロール(C2)ドメインをブロックする
  • 高度なクラウド ファイアウォール(Cloud IPSモジュール)を使用して、C2の新たな宛先を含むすべてのポートとプロトコルにC2対策を拡張する
  • 高度なクラウド サンドボックスで、ペイロードの第2段階として未知のマルウェアが配信されるのを防止する
  • ゼロトラスト アーキテクチャーZscaler Workload Segmentationによるアイデンティティーベースのマイクロセグメンテーションで、ラテラル ムーブメントを制限し、潜在的な侵害の影響を抑制する
  • Zscaler Private Accessでラテラル ムーブメントを制限し、最も重要なアプリケーションを保護する

詳細は、SolarWinds対応センターをご覧ください。

包括的なZero Trust Exchangeプラットフォームの機能については、こちらをご覧ください。

おすすめのリソース