詳細は、SolarWinds対応センターをご覧ください。
包括的なZero Trust Exchangeプラットフォームの機能については、こちらをご覧ください。
SolarWindsサイバー攻撃とは、SolarWindsのOrion Platformに行われたサプライ チェーン攻撃で、ロシアの国家的攻撃者が同社のシステムにアクセスしてOrionソフトウェアのアップデートをトロイの木馬化し、顧客が使用するネットワークにステルス マルウェアを拡散させた事件です。SolarWindsに対するハッキングについては、2020年12月に複数のサイバーセキュリティ企業が米国サイバーセキュリティ インフラストラクチャー セキュリティ庁(CISA)と共同声明を発表しました。
テキサス州に本社を構えるSolarWindsは、組織がIT環境のパフォーマンスを監視、管理できるようにする情報技術(IT)インフラ管理ソフトウェア ソリューションを提供しています。
SolarWinds Orionは、ネットワーク インフラの監視および管理プラットフォームとして広く使用されており、さまざまなベンダーのネットワークを可視化し、問題を特定してトラブルシューティングできるように設計されています。Orionが抱える顧客には大手民間企業や政府機関が含まれ、その数は33,000人以上にものぼります。今回問題となった攻撃は、顧客数の半分ほどにあたる約18,000人に影響を与えたと考えられています。
SolarWindsへの攻撃が明らかになった翌日、Forbesはこの攻撃が米国の治安機関の中枢に及ぶ可能性があることについて、「公的記録を調べた結果、幅広い範囲に及ぶ米国政府関連組織がこれまでにSolarWinds Orionを購入したことが確認されており、中でも国防総省は最大規模の顧客で、陸軍と海軍も主要ユーザーとなっている。この他にも、退役軍人省をはじめ、国立衛生研究所、エネルギー省、DHS、FBIも、以前にこのツールを購入した米国の政府機関として名前が挙がっている」と報道しました。
Steven J. Vaughan-Nichols氏, ZD-Net, 2021年1月4日
SolarWindsの通信に対する攻撃はSUNBURSTとして知られ、2020年3月から6月までにリリースされたOrionのバージョン2019.4~2020.2.1に影響を与えました。
ハッカーはOrion Platformのアップデートの一部として配布されたOrion Platformプラグインに修正を加えることで、攻撃を実行しました。SolarWindsの正規のデジタル署名を持つこのアップデートには、攻撃者が管理するサードパーティーのサーバーと通信するためのバックドアが含まれていました。攻撃対象の組織に足場を築いた攻撃者は、データを盗み、悪意のあるコードを展開して、ビジネスを混乱に陥れたのです。
この攻撃は、運用上のセキュリティを熟知しているレベルの高い攻撃者によって実行されました。攻撃者は公開されているデータを基に、ステガノグラフィーなどのコードの難読化やクリーンアップ技術、攻撃対象のシステムや分析システムを識別するためのフィンガープリント技術、地理的位置の近接性に焦点を当てたインフラのローテーション、そして可能な限りメモリー内のコードを実行するなど、検出から逃れるために多大な労力を費やしたとみられます。
こういった技術を駆使すると同時に、信頼できるソフトウェア プラットフォームのデジタル署名済みコンポーネントを最初の感染ベクトルとして使用している点からも、確実に成功させるための努力は惜しまない、高度なスキルを備えた攻撃者によって行われた攻撃であることがわかります。
この攻撃によって、司法省(DOJ)、国土安全保障省(DHS)、財務省などの重要な米国連邦政府機関が影響を受け、連邦政府各機関のMicrosoft 365のメール環境が露見する事態となったため、防衛的対応が必要な「重大インシデント」として扱われることになりました。
2021年4月にホワイト ハウスから出された声明で、バイデン政権は「米国の主権および利害に影響を与えるロシア政府ならびに諜報機関による行為に対して制裁措置を取る」ことを発表し、その対象はロシアの政府、商業取引関係者、諜報機関に及び、ロシア諜報機関の外交関係者も米国から追放される結果となりました。
また、この声明の中では、攻撃元がロシア対外情報局(SVR)であることが正式に特定されており、これに関する詳細を含めたセキュリティ アドバイザリーをCISA、連邦捜査局(FBI)、国家安全保障局(NSA)が共同で発表しています。
Lucian Constantin氏, CSO Online, 2020年12月15日
攻撃者は検出を回避するために、攻撃対象の環境に特に興味を持った場合にのみSolarWinds Orionのバックドアを使用したと考えられます。つまり、攻撃者がアクセスを求めたのか、実際に取得したのかを知るには、ネットワーク アクティビティーを分析するしか方法がないのです。
攻撃キャンペーンは2020年3月以前に開始された疑いがあり(2019年10月にはテストが行われた可能性もある)、侵害に関する既知の兆候は確認されていませんでした。関連するデータの量が多すぎるため、多くの組織は侵害が発生したかどうかを判断するのに十分な期間のアクセス ログを保持していないというのが実情でした。
攻撃者が侵害されたOrionシステムを介して環境にマルウェアを展開した場合、昇格された特権を使用して、どのようなアクションを実行できるかを調査し始める可能性があります。影響を受けるOrionシステム(またはそれと通信している他のシステム)に、次のような動作がないか監視する必要があります。
攻撃を受けた可能性の有無を知る最も簡単な方法は、環境内で侵害されたOrion製品を使用しているかどうかを確認することです。影響を受けたOrion Platformのバージョンは次のとおりです。
侵害されたバージョンのOrion Platformを使用している場合は、次のアクションを実行してください。
Lucian Constantin氏, CSO Online, 2020年12月15日
サプライ チェーン攻撃は絶えず進化しており、同時に攻撃者は公的機関や民間企業のオペレーションと機密データを侵害する新たな手段を模索しています。リスクを可能な限り軽減するために、次のような推奨事項について検討することが重要です。
これらを実行しない場合でも、以下の2点は非常に重要です。これにより、攻撃者が環境に侵入することがはるかに困難になる一方で、予期しないアクティビティーの検出が容易になります。
現代のサイバー脅威の中でもとくに巧妙で、検出が難しいのがサプライ チェーン攻撃です。こうした脅威から確実に身を守るためには、環境内のすべてのトラフィックを完全に可視化し、複数のセキュリティ レイヤーを確保すると同時に、すべてのパートナー組織のセキュリティ態勢を明確に把握する必要があります。
Zscaler Zero Trust Exchange™は、ネイティブに統合されたサービスと業界をリードする強力な機能で高度なサプライ チェーン攻撃から組織を保護します。Zero Trust Exchangeの主な特長は次のとおりです。
詳細は、SolarWinds対応センターをご覧ください。
包括的なZero Trust Exchangeプラットフォームの機能については、こちらをご覧ください。
Zscaler ThreatLabz: SolarWinds対応センター
リソースを検索サプライチェーン攻撃の概要と仕組み、対策について
ブログを読む(英語)SolarWindsインシデントへの対応に関するガイド
ブログを読む(英語)SolarWindsへのサイバー攻撃とFireEye Red Teamのツール窃取に対するZscalerのカバレッジ
ブログを読む(英語)ロシアのサイバー戦争攻撃への備えは万全ですか?
ブログを読む