Zpedia 

/ SolarWindsサイバー攻撃とは

SolarWindsサイバー攻撃とは

SolarWindsサイバー攻撃とは、SolarWindsのOrion Platformに行われたサプライ チェーン攻撃で、ロシアの国家的攻撃者が同社のシステムにアクセスしてOrionソフトウェアのアップデートをトロイの木馬化し、顧客が使用するネットワークにステルス マルウェアを拡散させた事件です。SolarWindsに対するハッキングについては、2020年12月に複数のサイバーセキュリティ企業が米国サイバーセキュリティ インフラストラクチャー セキュリティ庁(CISA)と共同声明を発表しました。

SolarWindsへのサイバー攻撃について
ゼロトラストサイバー脅威対策
  1. SolarWindsについて
  2. 攻撃の仕組み
  3. 攻撃被害の確認
  4. ベスト プラクティス
  5. Zscalerのソリューション
  6. おすすめのリソース
  7. 関連するトピック

SolarWindsについて

テキサス州に本社を構えるSolarWindsは、IT環境のパフォーマンスを監視、管理するための情報技術(IT)インフラ管理ソフトウェア ソリューションを提供しています。

SolarWinds Orionは、ネットワーク インフラの監視および管理プラットフォームとして広く使用されており、さまざまなベンダーのネットワークを可視化し、問題を特定してトラブルシューティングできるように設計されています。Orionが抱える顧客には大手民間企業や政府機関が含まれ、その数は33,000以上にものぼります。今回問題となった攻撃は、その半分以上の約18,000の組織に影響を与えたと考えられています。

SolarWindsへの攻撃が明らかになった翌日、Forbesはこの攻撃が米国の治安機関の中枢に及ぶ可能性があることについて、「公的記録を調べた結果、幅広い範囲に及ぶ米国政府関連組織がこれまでにSolarWinds Orionを購入したことが確認されており、中でも国防総省は最大規模の顧客で、陸軍と海軍も主要ユーザーとなっている。この他にも、退役軍人省をはじめ、国立衛生研究所、エネルギー省、DHS、FBIも、以前にこのツールを購入した米国の政府機関として名前が挙がっている」と報道しました。

Quote

米国の国家機関やFortune 500を狙ったこの攻撃は、国家の安全や経済成長にさらに大きなダメージを与えることになるかもしれません。

Steven J. Vaughan-Nichols氏, ZD-Net, 2021年1月4日

SolarWinds: The more we learn, the worse it looks

SolarWindsに仕掛けられたサイバー攻撃の概要

SolarWindsの通信に対する攻撃はSUNBURSTとして知られ、2020年3月から6月までにリリースされたOrionのバージョン2019.4~2020.2.1に影響を与えました。

ハッカーはOrion Platformのアップデートの一部として配布されたOrion Platformプラグインに修正を加えることで、攻撃を実行しました。SolarWindsの正規のデジタル署名を持つこのアップデートには、攻撃者が管理するサードパーティーのサーバーと通信するためのバックドアが含まれていました。攻撃対象の組織に足場を築いた攻撃者は、データを盗み、悪意のあるコードを展開して、ビジネスを混乱に陥れたのです。

この攻撃は、運用上のセキュリティを熟知しているレベルの高い攻撃者によって実行されました。攻撃者は公開されているデータを基に、ステガノグラフィーなどのコードの難読化やクリーンアップ技術、攻撃対象のシステムや分析システムを識別するためのフィンガープリント技術、地理的位置の近接性に焦点を当てたインフラのローテーション、そして可能な限りメモリー内のコードを実行するなど、検出から逃れるために多大な労力を費やしたとみられます。

こういった技術を駆使すると同時に、信頼できるソフトウェア プラットフォームのデジタル署名済みコンポーネントを最初の感染ベクトルとして使用している点からも、確実に成功させるための努力は惜しまない、高度なスキルを備えた攻撃者によって行われた攻撃であることがわかります。

攻撃後の米国の対応と制裁

この攻撃によって、司法省(DOJ)、国土安全保障省(DHS)、財務省などの重要な米国連邦政府機関が影響を受け、連邦政府各機関のMicrosoft 365のメール環境が露見する事態となったため、防衛的対応が必要な「重大インシデント」として扱われることになりました。

2021年4月にホワイト ハウスから出された声明で、バイデン政権は「米国の主権および利害に影響を与えるロシア政府ならびに諜報機関による行為に対して制裁措置を取る」ことを発表し、その対象はロシアの政府、商業取引関係者、諜報機関に及び、ロシア諜報機関の外交関係者も米国から追放される結果となりました。

また、この声明の中では、攻撃元がロシア対外情報局(SVR)であることが正式に特定されており、これに関する詳細を含めたセキュリティ アドバイザリーをCISA、連邦捜査局(FBI)、国家安全保障局(NSA)が共同で発表しています。

Quote

「サプライ チェーン攻撃」は、ベンダーと顧客の信頼関係や、本質的に信頼できるソフトウェア アップデートのメカニズムなどのマシン間の通信チャネルを利用するため、防止が最も難しい脅威の一つです。

Lucian Constantin氏, CSO Online, 2020年12月15日

SolarWinds attack explained: And why it was so hard to detect

攻撃被害の確認方法

攻撃者は検出を回避するために、攻撃対象の環境に特に興味を持った場合にのみSolarWinds Orionのバックドアを使用したと考えられます。つまり、攻撃者がアクセスしようとしただけなのか、実際にアクセスを取得したのかを知るには、ネットワーク アクティビティーを分析するしか方法がないのです。

攻撃キャンペーンは2020年3月以前に開始された疑いがあり(2019年10月にはテストが行われた可能性もある)、侵害に関する既知の兆候は確認されていませんでした。関連するデータの量が多すぎるため、多くの組織は侵害が発生したかどうかを判断するのに十分な期間のアクセス ログを保持していないというのが実状でした。

攻撃者が侵害されたOrionシステムを介して環境にマルウェアを展開した場合、昇格された特権を使用して、どのようなアクションを実行できるかを調査し始める可能性があります。影響を受けるOrionシステム(またはそれと通信している他のシステム)に、次のような動作がないか監視する必要があります。

  • システム タスクの変更
  • 削除-作成-実行-削除-作成というディレクトリーのアクション パターン
  • 新規作成された、または不明なローカル ユーザー アカウント
  • Adfind.exeの有無または使用形跡
  • solarwinds.businesslayerhost.exeからcmd.exeまたはrundll32.exeが生成された兆候
  • メール ゲートウェイ上の不明なまたは非常に広範なメール転送や削除に関するルール

侵害されたOrion製品とバージョン

攻撃を受けた可能性の有無を知る最も簡単な方法は、侵害されたOrion製品を自社の環境内で使用しているかどうかを確認することです。影響を受けたOrion Platformのバージョンは次のとおりです。

  • 2019.4 HF5、バージョン2019.4.5200.9083
  • 2020.2 RC1、バージョン2020.2.100.12219
  • 2020.2 RC2、バージョン2020.2.5200.12394
  • 2020.2、バージョン2020.2.5300.12432
  • 2020.2 HF1、バージョン2020.2.5300.12432

リスクにさらされている場合の対処方法

侵害されたバージョンのOrion Platformを使用している場合は、次のアクションを実行してください。

  1. 感染したシステムを直ちに隔離、切断する。または電源を切る
  2. ログを確認して、感染したシステムからのコマンド&コントロール アクティビティーまたはラテラル ムーブメントを特定する
  3. SolarWinds Orionおよび関連サービスで使用されているすべての認証情報をリセットする
  4. このアドバイザリーに従って、Orionを最新バージョンにアップデートする
  5. アドバイザリーに記載されている影響を受けたその他のSolarWinds製品を実行しているかどうかを確認する

Quote

ソフトウェアを使う以上、企業はゼロトラスト ネットワーキングの原則とロールベースのアクセス制御をユーザーだけでなく、アプリケーションやサーバーにも適用することを検討する必要があります。

Lucian Constantin氏, CSO Online, 2020年12月15日

SolarWinds attack explained: And why it was so hard to detect

組織を保護するためのベスト プラクティス

サプライ チェーン攻撃は絶えず進化しており、同時に攻撃者は公的機関や民間企業のオペレーションと機密データを侵害する新たな手段を模索しています。リスクを可能な限り軽減するために、Zscalerは次の手順の実行を推奨しています。

  • ゼロトラスト アーキテクチャーを採用してインターネットに接続された攻撃対象領域を排除すると同時に、ラテラル ムーブメントを阻止してC2をブロックする。
  • ワークロードとインターネット間のトラフィックに対して、完全なTLS/SSLインスペクションと高度な脅威対策を実施する。
  • インラインのクラウド サンドボックスを実行して未知の脅威を特定し、阻止する。
  • 新たな宛先が確認された場合は、アップデートを継続的に実施して既知のC2トラフィックに対する保護を強化する。
  • アイデンティティーベースのマイクロセグメンテーションをクラウド ワークロードに実装して、ラテラル ムーブメントによる影響を制限する。
  • 最高レベルの機密性、完全性、可用性を確保できるベンダーを選択する。

これらを実行しない場合でも、次の2点は非常に重要です。これにより、攻撃者が環境に侵入することがはるかに困難になり、予期しないアクティビティーを検出しやすくなります。

  • 最小特権アクセスを施行し、攻撃者がその立場を利用する能力を制限する。
  • 価値の高いターゲットへのアクセスに対しては、多要素認証を必須にする。

Zscalerのソリューション

現代のサイバー脅威の中でもとくに巧妙で、検出が難しいのがサプライ チェーン攻撃です。こうした脅威から確実に身を守るには、環境内のすべてのトラフィックを完全に可視化し、複数のセキュリティ レイヤーを確保すると同時に、すべてのパートナー組織のセキュリティ態勢を明確に把握する必要があります。

Zscaler Zero Trust Exchange™は、ネイティブに統合されたサービスと業界をリードする強力な機能で高度なサプライ チェーン攻撃から組織を保護します。Zero Trust Exchangeの主な特長は次のとおりです。

promotional background

業界をリードするZero Trust Exchangeの機能とメリットをご確認ください。

デモを依頼する詳細はこちら

おすすめのリソース

Zscaler ThreatLabz: SolarWinds対応センター
リソースを検索
Supply Chain Attacks: What They Are, How They Work, and How to Protect Your Organization
ブログを読む(英語)
The Hitchhiker’s Guide to SolarWinds Incident Response
ブログを読む(英語)
Zscaler Coverage for SolarWinds Cyberattacks and FireEye Red Team Tools Theft
ブログを読む(英語)
ロシアのサイバー戦争攻撃への備えは万全ですか?
ブログを読む
01 / 03