米政府などへの大規模サイバー攻撃、SolarWindsのソフトウェア更新を悪用

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部2020年12月15日 11時46分

 国家の意を受けているとみられるハッカー集団がSolarWindsのソフトウェア「Orion」のアップデートをトロイの木馬化し、世界各地の企業や政府のネットワークを攻撃していると、米セキュリティ企業FireEyeが米国時間12月13日に発表した。

 FireEyeの報告に先立ち、ReutersThe Washington Post、およびThe Wall Street Journalは13日、米財務省と米商務省の国家通信情報管理局(NTIA)が不正侵入の被害を受けたと報じていた。

 SolarWindsに対するこのサプライチェーン攻撃は、FireEyeが先ごろ明らかにしていた同社ネットワークへのハッキング被害にも関連しているようだ。

 The Washington Postは、情報筋の話として、他の複数の政府機関も影響を受けたと報じている。

 またReutersによると、国家安全保障会議(NSC)は事態を重くみて、前日の12日に大統領官邸で異例の協議を行ったという。

 The Washington Postの取材に応じた情報筋は、今回の攻撃を「APT29」と関連づけた。APT29とは、ロシアの対外情報庁(SVR)と関連するハッカー集団に対して、サイバーセキュリティ業界が使っているコードネームだ。

 一方、FireEyeは攻撃者をAPT29とは特定せず、今回のハッカー集団に中立的なコードネーム「UNC2452」を用いているが、サイバーセキュリティコミュニティーの複数の情報筋は米ZDNetに対し、現時点での証拠から判断して、攻撃者はAPT29であるとする米国政府の見立てがおそらく正しいとの見解を示している。

 Microsoftも、13日に非公開で顧客向けに出したセキュリティ警告の中で、SolarWindsへの攻撃があったことを認め、影響を受けた可能性のある顧客に対策を伝えた。

 SolarWindsは13日遅く、Orionが攻撃を受けたことを認めるプレスリリースを発表した。Orionは、集中監視および管理を提供するソフトウェアプラットフォームで、通常は大規模なネットワークに導入され、サーバーやワークステーション、モバイル端末、IoTデバイスなど、ITリソース全般の追跡に使われる。

 FireEyeはこのマルウェアを「SUNBURST」と名付け、13日に技術レポートを公開した。

 一方、Microsoftはこのマルウェアを「Solorigate」と名付け、「Defender Antivirus」に検知ルールを追加した。

攻撃の仕組み
提供:Microsoft

 FireEyeによると、当初の報道内容と異なり、このハッキング攻撃は米国だけでなく世界中の公的機関や企業を標的としているという。

 この問題への対策として、SolarWindsはすべての顧客に対し、「Orion Platform release 2020.2.1 HF 1」にアップデートするよう呼び掛けている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]