SolareWinds-SUNBURSTが警鐘を鳴らすべき攻撃である理由

2020年12月13日、FireEyeは、攻撃者がSolarWindsのOrion IT監視・管理ソフトウェアを侵害し、米国の政府機関を含む著名な数十の顧客にソフトウェアバックドアが配布されていたことを発表しました。


ゲームを変える攻撃経路

このキャンペーンは、この種の大規模な最初の主要なサプライチェーン攻撃であり、国民国家がサイバースパイ活動のために新しい武器を採用した戦術の変化を表しています。第二次世界大戦末期の核兵器の使用が次の75年間の軍事戦略を変えたように、サプライチェーン攻撃の使用は今後のサイバー攻撃に対する防御方法を変えることになるでしょう。

このサプライチェーン攻撃は、2017年にWannaCryなどのワームの規模で実行され、2014年のソニーピクチャーズまたは2015年の米国人事管理局(OPM)の攻撃の精度と致死性が組み合わされました。

この攻撃の影響は、大量の商用ソフトウェア製品が多くの組織に同時に影響を与える可能性があることを示しています。これまで、WannaCryなどのサイバー攻撃は脆弱性に依存しており、重要なパッチのインストールに失敗した組織を悪用していました。SolarWinds-SUNBURSTの場合、ソフトウェアを更新しただけの組織は攻撃に対して脆弱である可能性があります。そのため、連邦政府と民間部門の複数の機関に影響が見られました。さらに、バックドアはステルス戦術を使用して、デバッガーとネットワークモニターの存在を探し、それらのシナリオでの通信とその他の悪意のある動作のアラートを抑制することにより、分析されているかどうかを監視しました。


幅広いリーチとインパクト

米国の国家安全保障の観点から、この攻撃は、国の敵が政府間通信から国家機密まで、あらゆる種類の情報を盗むことを可能にします。さらに攻撃者はこの情報を利用して、悪意のあるリークを通じて米国のポリシーに影響を与えたりすることが可能になります。

この攻撃は民間企業にも影響を及ぼしました。機密情報をインターネットと非機密資料の両方から分離する政府のネットワークとは異なり、民間組織は、機密性の低い情報を保存するのと同じインターネットに面したネットワーク上に重要な知的財産を持っていることがよくあります。従業員の企業の知的財産や個人データがどのように盗まれたかを正確に特定することは困難であり、盗難の完全な範囲が完全にわかることは決してありません。

これらのサイバーサプライチェーン攻撃は、消費者にとっても懸念事項です。今日の高度に相互接続された家庭では、家電企業の侵害により、攻撃者がテレビ、仮想アシスタント、スマートフォンなどのスマートアプライアンスへのアクセスを使用して情報を盗んだり、ユーザーが在宅勤務中に企業を攻撃するためのゲートウェイとして機能したりする可能性があります。


攻撃者にとって無限の可能性

このキャンペーンを非常に陰湿なものにしているのは、攻撃者が信頼できるSolarWindsのソフトウェアを使用して、被害者の組織にSUNBURSTバックドアを侵入させ、攻撃者が任意の数の二次的な手順を実行できるようにしたことです。これには、データの盗難、データの破壊、身代金のための重要なシステムの保持、動的な損傷をもたらす可能性のあるシステムの誤動作の調整、または最初の脅威が過ぎたように見えた後でも制御を維持してアクセスを維持するために組織全体に追加の悪意のあるコンテンツを単に埋め込むことが含まれます。


間違った行動を奨励(しない)

このような攻撃は、サイバーセキュリティの専門家が何年にもわたって通信しようとしてきたベストプラクティスに関する懸念を引き起こすという点で特に困難です。何十年もの間、ソフトウェアにパッチを適用して最新の状態に保つことが重要であると言ってきました。ただし、この場合は、パッチを適用して新しいソフトウェアを環境に導入し、組織を攻撃にさらしていました。

組織は、環境を最新の状態に保つことを優先してはならないという、これらのSolarWinds-SUNBURSTの啓示を信じてはなりません。それでは他のさまざまな攻撃にさらされる可能性が高まってしまいます。

これら2つの相反するセキュリティの観点をどのように考え対処すべきでしょうか。組織とサイバーセキュリティの実践者は、環境に導入されるソフトウェアのレビューと理解に注意を払う必要があります。さらに、最も重要な情報とデータを特定し、最小特権の原則をこれらのアイテムに適用して、国の秘密や知的財産などの機密情報を確実に保護する必要があるのです。


デイジーチェーンの犠牲者は影響を増幅

もう1つの懸念事項は、ソフトウェアベンダーが影響を受ける場合です。このシナリオでは、デイジーチェーン効果が発生する可能性があります。攻撃者は、被害者の環境内でソースコードまたは開発ツールチェーンのいずれかを変更して、追加のバックドアを仕掛け、それを顧客に配布する可能性があります。


結論と詳細情報

SolarWinds-SUNBURSTキャンペーンは、「ダム爆弾」サイバー脅威の混雑した風景での「スマート爆弾」のようなものです。WannaCryは、完全に自律的で、攻撃対象が無差別であるという点で、非効率な爆弾でした。一方、このSolarWinds-SUNBURST攻撃は、特定の組織を非常に特定の方法で標的にするために使用されている「精密誘導」を行うスマートサイバー兵器です。攻撃者が関心を持つような組織が、標的にされる可能性があります。

マカフィーは、FireEyeおよびSolarWindsインシデントから収集した技術指標をサイバー防御およびソリューションポートフォリオに組み込んで、環境と顧客を保護しています。これらの補足的な保護の詳細は、McAfeeのナレッジベース(KB)の記事KB89830およびKB93861に記載されています。

SolarWinds-SUNBURSTに焦点を当てた以下の分析ブログも参照してください。

※本ページの内容は2020年12月23日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Why SolarWinds-SUNBURST is a Wake up Call
著者: