Microsoft社長が「過去10年間で最も深刻なサイバー攻撃の一つ」と述べたSolarWindsの「Orion Platform」への攻撃とは？ – GIGAZINE

SolarWindsが提供するネットワーク監視ソフトウェア “オリオンプラットフォーム」の米国財務省・国務省・国家核安全局などの省庁やMicrosoft・Ciscoなどの大企業が大規模なサイバー攻撃の被害を受けた可能性が高いことがわかった。Microsoftのブラッド・スミス社長は「過去10年に見た中で最も深刻なサイバー攻撃の一つだと思います」と回答しています。

SolarWindsサイバー攻撃：ハッキング、被害者と私たちが知っていること
https://www.bleepingcomputer.com/news/security/the-solarwinds-cyberattack-the-hack-the-victims-and-what-we-know/

マイクロソフト社長、政府システムのハッキングの分析：NPR
https://www.npr.org/2020/12/19/948316348/microsoft-president-breaks-down-government-systems-hack

テストされていないソフトウェアの米国機関の信頼がハッカーにドアを開けてくれた方法-POLITICO
https://www.politico.com/news/2020/12/19/how-federal-hack-happened-448602

2020年12月13日、SolarWindsは「2020年3月と6月に配布したOrion Platformソフトウェアの更新が、サプライチェーンの攻撃によって操作された可能性がある」と明らかにしたしました。 Orion Platformは、米国の各省庁や大企業にも採用されているので、問題があるソフトウェアの更新は、1万8000個に配置されたものと見られるとのこと。 2020年12月19日時点では、米国財務省・国務省・国家通信情報管理局・国立衛生研究所・エネルギー部・国土安全保障省・国家核安全局などの省庁だけでなく、アメリカの一部の州政府またはMicrosoft・Cisco・FireEyeなどの大企業も被害を着たと報道されています。

政府機関のための大規模なサイバー攻撃が核兵器関連組織、およびMicrosoftに迫っていたことが明らかに – GIGAZINE

問題の攻撃は、Orion Platformビルドシステムにアクセスして、「SolarWinds.Orion.Core.BusinessLayer.dllDLL」という名前のファイルにバックドアを追加マルウェアを仕込むことで、このDLLをロード」SolarWinds.BusinessLayerHost .exe」を実行すると、 “avsvmcloud .com “という名前のドメインのサブドメイン内のサーバーにアクセスして、レジストリの操作とファイルの操作プロセスの実行/停止やシステムの再起動などの特定の動作を強制的にされるとのこと。

このバックドアの名称については、セキュリティベンダーのFireEyeとTrendmicroは「SunBurst」と命名するためMicrosoftは、「Solorigate」と命名しており、Microsoftは自社のブログで、今回の一件の技術的詳細を説明しています。

洗練されたサイバー攻撃を開始した、破損したDLLファイルのSolorigateとMicrosoft Defenderは、顧客を保護するためにどのように役立つかどうかを分析-Microsoft Security
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-ヘルプ – 保護/

今回一件で被害を受けた組織・企業がSolorigateによってどんな攻撃を受けたかは知ることができ専門家は、「リモートアクセスをしたり、他のマルウェアをダウンロードして実行したり、データを切り取りに使用されたではないか」と推測。 Microsoftは、対策としてMicrosoft Defenderに「バックドアが追加されたDLLこれデされた場合は、Orion Platformが実行されている場合でも、強制的に停止して隔離」という機能を追加しました。また、Orion Platformを導入している企業のサーバー管理者に調査を実行するように促しました。

Orion Platformが多数の政府機関や大企業に採用されており、さらに2020年3月から9カ月以上の攻撃が行われていたと考えで被害規模は想像もできない状態です。 Microsoftのブラッド・スミス社長は、米国のマスコミNational Public Radioのインタビューに対して「過去10年に見た中で最も深刻なサイバー攻撃の一つだと思います。問題のマルウェアは、1万8000社に配布されたとみられ、このうち80％は、米国の組織です。被害を受けた企業は、今後増えるだろう」と答えて、攻撃者の正体については、「ロシアの情報機関以外である証拠は出ていないが、決めるのは時期尚早」と述べた。

今回一件で、米国議会は、「IT企業がソフトウェアの脆弱性を調査インセンティブが弱いのが」という評価をしており、「政府は、セキュリティ強化に資金を投入する必要が “”セキュリティ関連のソフトウェアなどに投資を二倍にする」は提言がなされていると報道されています。