1年以上も検出できなかった「史上最大級の高度な攻撃」、同じ弱点は世界中に

1

2021年01月25日 11:32  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真SolarWindsの調査結果
SolarWindsの調査結果

 米連邦政府機関や大手企業がSolarWindsの管理ソフト経由でサイバー攻撃を受けた事件は、調査が進むほど事態の深刻さと影響の大きさが浮かび上がっている。信頼できると思っていた取引先が踏み台にされたサプライチェーン攻撃は、厳重なセキュリティ対策に守られたはずの組織でさえ見抜けなかった。同じような弱点は至る所にある。



【その他の画像】



 一連の事件が発覚したのは2020年12月。だがSolarWindsのこれまでの調査によれば、最初の不正アクセスは2019年9月に発生していた。同年10月にリリースされた同社の管理ソフト「Orion」の更新版には実験的な攻撃コードが仕込まれ、2020年2月にはフル機能を装備したマルウェア「Sunburst」が導入されて、3月から同マルウェアの拡散が始まった。



 Sunburstマルウェアは、SolarWinds製品の一部として被害者のネットワーク上に展開され、攻撃者が不正アクセスするのための「裏口」を確立。これを足掛かりとして2020年5月から、第2弾のマルウェア「TEARDROP」「Raindrop」などを使った本格攻撃が開始された。



 この間、SolarWindsではOrionに存在するさまざまな脆弱性の調査や修正を行い、Sunburstが原因と思われる顧客のインシデント対応も行っていたが、不正な挙動は検出できなかった。Orionを使っていた米連邦政府機関や大手企業、セキュリティ企業も見抜くことはできなかった。



 SolarWindsは今回の事案を「史上最大級の複雑かつ高度なサイバー攻撃」と位置づける。調査を進めているMicrosoftも「攻撃者のスキルのレベルの高さと、発見を免れることを目的として細部に至るまで綿密な計画を立てていた実態」が明らかになったと報告している。



 Microsoftのブログ(1月20日付)によると、攻撃がSunburst(Microsoftは「Solorigate」と呼んでいる)からTEARDROPやRaindropへと引き継がれる過程で、この2種類のマルウェアはできる限り切り離して展開されていた。その目的は、たとえTEARDROPなどのマルウェアが検出されたとしても、SolarWindsに仕込んだ不正なコードとそれに先立つサプライチェーン攻撃が発覚しないようにすることにあった。



 バックドアを仕込んだSunburstのコードは6月にSolarWinds製品から消去されていた。これは攻撃者が十分な数の標的に到達し、バックドアを仕込む段階から、選定した被害者に対して攻撃を仕掛ける段階にシフトしたことを物語るとMicrosoftは分析する。



 攻撃に使われたマルウェアは、SolarWindsやWindowsの正規のサービスやフォルダに似せた名称でファイルを作成してカムフラージュする手口を使っていた。正規のプロセスが動作するタイミングに合わせてマルウェアを実行させ、痕跡を隠すためにレジストリキーを消去したり、イベントログを一時的に停止させたりするなど、あらゆる手口で検出を免れていたことも分かった。



 12月に発見される発端となったのは大手セキュリティ企業FireEyeに対する不正アクセスの発覚だった。SolarWinds経由で被害に遭った組織はこれまでに判明しただけでも米司法省や財務省、エネルギー省、商務省、国家安全保障省など広範に及ぶ。Microsoftも社内で不正なSolarWindsのコードが見つかり、ソースコードの一部を見られていたことを確認した。



 これほど高度な攻撃をどこが仕掛けたのかは現時点では不明だが、米国土安全保障省のサイバーセキュリティ機関CISAは1月5日の声明で、ロシアが関与した可能性に言及した。根拠は明らかにしていない。



 ただ、こうした攻撃に対する調査や対策を主導するはずのCISAでは、2020年11月にトップが辞任するなどトランプ政権下で混乱が続いていた。今後の対応はバイデン新政権下で態勢を立て直せるかどうかにかかる。



 誰も気付かないうちに進行する今回のようなサプライチェーン攻撃は、自分たちがいつ被害者あるいは加害者になってもおかしくない。「同様のプロセスは世界中で他社のソフトウェア開発環境にも存在している可能性がある。今後同様の攻撃に対してもっと効果的に対抗するためには、全業界的なアプローチと、官民の連携が必要とされる」。SolarWindsはそう警鐘を鳴らしている。


ニュース設定