2020 年 12 月 14 日 Marc Laliberte 著

先週、サイバーセキュリティのコンサルティング会社である FireEye は「red team」と呼ばれるハッキングツールと、特定の政府機関の顧客に関する情報が盗み出されたことを発表しました。FireEye は歴史的に、大規模な組織や政府機関に対する攻撃を調査するために設立された、最も有名と言っても過言ではないコンサルタント会社の 1 つです。FireEye を標的にしたことで、攻撃者は米国政府やあらゆる業界の大手企業の機密情報にアクセスできた可能性があります。FireEye は、侵害を実行したと考えられる者の名前をまだ明らかにしていませんが、業界の専門家や FBI の情報源の多くは、ロシアが支援するハッキング集団 APT29 との関連性を指摘しています。

日曜日に FireEye は、この一連の攻撃はもっとも早い段階で 2020 年の春には始まっており、自社以外にも多くの被害者が含まれていることを伝える情報を更新しています。侵害の発生源として、トロイの木馬化した SolarWinds Orion のアップデートを特定し、それを SUNBURST と名付けています。今年 3 月から 6 月にかけて（Solarwinds Orion アップデートのバージョン 2019.4 から 2020.2.1 まで）、攻撃者は SolarWinds の公式 Web サイトにアップデートが掲載される前に悪意のあるコードを挿入し、SolarWinds Orion プラットフォーム上でデジタル署名を行っていました。米国サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、FireEye のアップデート直後に指令を発表し、すべての連邦政府の民間機関に対し、侵害の痕跡情報（IoC）がないかネットワークを検査し、稼働している SolarWinds Orion サーバをすべて切断するよう呼びかけました。

SolarWinds は、侵害を受けたコンポーネントを少しでも減らすために、できるだけ早く Orion のバージョンを 2020.2.1 HF 1 にアップデートするよう顧客に促しています。さらに火曜日にはバージョン 2020 2.1 HF 2 をリリースする予定で、これは危険なコンポーネントを置き換え、「追加のセキュリティ強化を提供する」としています。

非常に長い期間発見されずにいられることが主な理由で、特定の被害者に影響を与えるためにベンダを標的にするサプライチェーン攻撃は、近年ますます盛んになってきています。SolarWinds Orion をお使いの方は、この脅威の影響を軽減するため、SolarWinds カスタマーポータルのアップデートをできるだけ早くインストールしてください。お使いの Orion プラットフォームのバージョンを確認するにはこちらのリンクを、適用されている Hotfix を確認するにはこちらのリンクをご利用ください。