/ SolarWindsサイバー攻撃とは
SolarWindsサイバー攻撃とは
SolarWindsについて
テキサス州に本社を構えるSolarWindsは、IT環境のパフォーマンスを監視、管理するための情報技術(IT)インフラ管理ソフトウェア ソリューションを提供しています。
SolarWinds Orionは、ネットワーク インフラの監視および管理プラットフォームとして広く使用されており、さまざまなベンダーのネットワークを可視化し、問題を特定してトラブルシューティングできるように設計されています。Orionが抱える顧客には大手民間企業や政府機関が含まれ、その数は33,000以上にものぼります。今回問題となった攻撃は、その半分以上の約18,000の組織に影響を与えたと考えられています。
SolarWindsへの攻撃が明らかになった翌日、Forbesはこの攻撃が米国の治安機関の中枢に及ぶ可能性があることについて、「公的記録を調べた結果、幅広い範囲に及ぶ米国政府関連組織がこれまでにSolarWinds Orionを購入したことが確認されており、中でも国防総省は最大規模の顧客で、陸軍と海軍も主要ユーザーとなっている。この他にも、退役軍人省をはじめ、国立衛生研究所、エネルギー省、DHS、FBIも、以前にこのツールを購入した米国の政府機関として名前が挙がっている」と報道しました。
SolarWindsに仕掛けられたサイバー攻撃の概要
SolarWindsの通信に対する攻撃はSUNBURSTとして知られ、2020年3月から6月までにリリースされたOrionのバージョン2019.4~2020.2.1に影響を与えました。
ハッカーはOrion Platformのアップデートの一部として配布されたOrion Platformプラグインに修正を加えることで、攻撃を実行しました。SolarWindsの正規のデジタル署名を持つこのアップデートには、攻撃者が管理するサードパーティーのサーバーと通信するためのバックドアが含まれていました。攻撃対象の組織に足場を築いた攻撃者は、データを盗み、悪意のあるコードを展開して、ビジネスを混乱に陥れたのです。
この攻撃は、運用上のセキュリティを熟知しているレベルの高い攻撃者によって実行されました。攻撃者は公開されているデータを基に、ステガノグラフィーなどのコードの難読化やクリーンアップ技術、攻撃対象のシステムや分析システムを識別するためのフィンガープリント技術、地理的位置の近接性に焦点を当てたインフラのローテーション、そして可能な限りメモリー内のコードを実行するなど、検出から逃れるために多大な労力を費やしたとみられます。
こういった技術を駆使すると同時に、信頼できるソフトウェア プラットフォームのデジタル署名済みコンポーネントを最初の感染ベクトルとして使用している点からも、確実に成功させるための努力は惜しまない、高度なスキルを備えた攻撃者によって行われた攻撃であることがわかります。
攻撃後の米国の対応と制裁
この攻撃によって、司法省(DOJ)、国土安全保障省(DHS)、財務省などの重要な米国連邦政府機関が影響を受け、連邦政府各機関のMicrosoft 365のメール環境が露見する事態となったため、防衛的対応が必要な「重大インシデント」として扱われることになりました。
2021年4月にホワイト ハウスから出された声明で、バイデン政権は「米国の主権および利害に影響を与えるロシア政府ならびに諜報機関による行為に対して制裁措置を取る」ことを発表し、その対象はロシアの政府、商業取引関係者、諜報機関に及び、ロシア諜報機関の外交関係者も米国から追放される結果となりました。
また、この声明の中では、攻撃元がロシア対外情報局(SVR)であることが正式に特定されており、これに関する詳細を含めたセキュリティ アドバイザリーをCISA、連邦捜査局(FBI)、国家安全保障局(NSA)が共同で発表しています。
攻撃被害の確認方法
攻撃者は検出を回避するために、攻撃対象の環境に特に興味を持った場合にのみSolarWinds Orionのバックドアを使用したと考えられます。つまり、攻撃者がアクセスしようとしただけなのか、実際にアクセスを取得したのかを知るには、ネットワーク アクティビティーを分析するしか方法がないのです。
攻撃キャンペーンは2020年3月以前に開始された疑いがあるものの(2019年10月にはテストが行われた可能性もある)、既知の侵害の痕跡は確認されていませんでした。関連するデータの量が多すぎるため、多くの組織は侵害が発生したかどうかを判断するのに十分な期間のアクセス ログを保持していないというのが実情でした。
攻撃者が侵害されたOrionシステムを介して環境にマルウェアを展開した場合、昇格された特権を使用して、どのようなアクションを実行できるかを調査し始める可能性があります。影響を受けるOrionシステム(またはそれと通信している他のシステム)に、次のような動作がないか監視する必要があります。
- システム タスクの変更
- 削除-作成-実行-削除-作成というディレクトリーのアクション パターン
- 新規作成された、または不明なローカル ユーザー アカウント
- Adfind.exeの有無または使用形跡
- solarwinds.businesslayerhost.exeからcmd.exeまたはrundll32.exeが生成された兆候
- メール ゲートウェイ上の不明なまたは非常に広範なメール転送や削除に関するルール
侵害されたOrion製品とバージョン
攻撃を受けた可能性の有無を知る最も簡単な方法は、侵害されたOrion製品を自社の環境内で使用しているかどうかを確認することです。影響を受けたOrion Platformのバージョンは次のとおりです。
- 2019.4 HF5、バージョン2019.4.5200.9083
- 2020.2 RC1、バージョン2020.2.100.12219
- 2020.2 RC2、バージョン2020.2.5200.12394
- 2020.2、バージョン2020.2.5300.12432
- 2020.2 HF1、バージョン2020.2.5300.12432
リスクにさらされている場合の対処方法
侵害されたバージョンのOrion Platformを使用している場合は、次のアクションを実行してください。
- 感染したシステムを直ちに隔離、切断する。または、電源を切る
- ログを確認し、感染したシステムからのコマンド&コントロールのアクティビティーまたはラテラル ムーブメントを特定する
- SolarWinds Orionとその関連サービスで使用されるすべての資格情報をリセットする
- このアドバイザリーに従って、Orionを最新バージョンに更新する
- アドバイザリーに記載されている影響を受けたその他のSolarWinds製品を実行しているかどうかを確認する
組織を保護するためのベスト プラクティス
サプライ チェーン攻撃は絶えず進化しており、同時に攻撃者は公的機関や民間企業のオペレーションと機密データを侵害する新たな手段を模索しています。リスクを可能な限り軽減するために、次のような推奨事項について検討することが重要です。
- ゼロトラスト アーキテクチャーを採用してインターネットに接続された攻撃対象領域を排除すると同時に、ラテラル ムーブメントを阻止してC2をブロックする。
- ワークロードとインターネット間のトラフィックに対して、フルTLS/SSLインスペクションと高度な脅威対策を実施する。
- インラインのクラウド サンドボックスを実行して未知の脅威を特定し、阻止する。
- 新たな宛先が確認された場合は、アップデートを継続的に実施して既知のC2トラフィックに対する保護を強化する。
- クラウド ワークロードにアイデンティティーベースのマイクロセグメンテーションを使用して、ラテラル ムーブメントの影響を抑制する。
- 最高レベルの機密性、完全性、可用性を確保できるベンダーを選択する。
これらを実行しない場合でも、次の2点は非常に重要です。これにより、攻撃者が環境に侵入することがはるかに困難になり、予期しないアクティビティーを検出しやすくなります。
- 最小特権アクセスを施行し、攻撃者がその立場を利用する能力を制限する
- 価値の高い資産へのアクセスに対しては、多要素認証を必須にする。
Zscalerのソリューション
現代のサイバー脅威の中でもとくに巧妙で、検出が難しいのがサプライ チェーン攻撃です。こうした脅威から確実に身を守るには、環境内のすべてのトラフィックを完全に可視化し、複数のセキュリティ レイヤーを確保すると同時に、すべてのパートナー組織のセキュリティ態勢を明確に把握する必要があります。
Zscaler Zero Trust Exchange™は、ネイティブに統合されたサービスと業界をリードする強力な機能で高度なサプライ チェーン攻撃から組織を保護します。Zero Trust Exchangeの主な特長は次のとおりです。
- Zscaler Internet Access™経由ですべてのサーバー トラフィックをルーティングし、侵害されたサーバーからの悪意のあるアクティビティーを特定して阻止する
- 重要インフラからのトラフィックを許可リストの宛先のみに制限する
- 信頼できる送信元からであっても、すべてのTLS/SSLトラフィックを無制限に検査する
- 高度な脅威対策ですべての既知のコマンド&コントロール(C2)ドメインをブロックする
- 高度なクラウド ファイアウォール(Cloud IPSモジュール)を使用して、C2の新たな宛先を含むすべてのポートとプロトコルにC2対策を拡張する
- 高度なクラウド サンドボックスで、ペイロードの第2段階として未知のマルウェアが配信されるのを防止する
- ゼロトラスト アーキテクチャーとZscaler Workload Segmentationによるアイデンティティーベースのマイクロセグメンテーションで、ラテラル ムーブメントを制限し、潜在的な侵害の影響を抑制する
- Zscaler Private Accessでラテラル ムーブメントを制限し、最も重要なアプリケーションを保護する