2020 年 12 月 18 日 Trevor Collins 著

先日 SolarWinds が受けたハッキングのニュースがいまだ展開する中、APT29 が 2 番目の大手技術サプライヤをハッキングした可能性を伝える新たな情報が発表されました。これは、大きな混乱を引き起こす恐れがあります。CISA のレポートは「CISA は、SolarWinds Orion のサプライチェーン侵害以外の、初期のアクセス経路を調査しています」と伝えています。これは、「SolarWinds Orion のサプライチェーン侵害は、APT の攻撃者による唯一の初期感染経路ではありません」という、別の初期感染があったことを示唆していた以前の声明に取って代わるものです。侵害を受けた別のソフトウェアについては、FBI が今夜議会に報告する予定で、侵害の詳細がさらに明らかになると見られます。ワシントンポストによれば、現在のところ、米国の財務省、商務省、国土安全保障省、国立衛生研究所、国務省のすべてがハッキングの犠牲となっています。

このハッキングにより、政府高官から Microsoft のような大企業まで、計 1 万 8,000 の SolarWinds の顧客が危険にさらされました。侵害された SolarWinds のアップデートの配信は 3 月に開始されており、SolarWinds に対する実際の攻撃は 3 月かそれ以前に開始された可能性が高いことを意味しています。侵害の特定には 8 ヶ月以上かかりましたが、マイクロソフトは 2 日間でavsvmcloud[…]comの法的所有権を取得し、侵害されたデバイスを特定できる DNS ブラックホールを作成しました。これは初めの 1 歩としては有効ですが、侵害されたシステムには他のマルウェアがインストールされていたり、プログラムされたタスクを後から実行する、時限起動マルウェアがインストールされている可能性もあります。マルウェアを削除するだけでなく、それ以上のことをする必要が出てくるかもしれません。

民間企業においては、APT29 の FireEye に対する攻撃しか知られていませんが、さらなるマルウェアが今後明らかになる可能性があります。詳細については、CISA が昨日発表したアラート、AA20-352A https://us-cert.cisa.gov/ncas/alerts/aa20-352a を参照してください。このレポートは、感染したソフトウェアについてこれまでに判明している事実を詳細に説明しています。SolarWinds Orion を使用している場合、レポートにあるすべてのステップを注意深く確認し、従ってください。