国家の意を受けているとみられるハッカー集団がSolarWindsのソフトウェア「Orion」のアップデートをトロイの木馬化し、世界各地の企業や政府のネットワークを攻撃していると、米セキュリティ企業FireEyeが米国時間12月13日に発表した。
FireEyeの報告に先立ち、Reuters、The Washington Post、およびThe Wall Street Journalは13日、米財務省と米商務省の国家通信情報管理局(NTIA)が不正侵入の被害を受けたと報じていた。
SolarWindsに対するこのサプライチェーン攻撃は、FireEyeが先ごろ明らかにしていた同社ネットワークへのハッキング被害にも関連しているようだ。
The Washington Postは、情報筋の話として、他の複数の政府機関も影響を受けたと報じている。
またReutersによると、国家安全保障会議(NSC)は事態を重くみて、前日の12日に大統領官邸で異例の協議を行ったという。
The Washington Postの取材に応じた情報筋は、今回の攻撃を「APT29」と関連づけた。APT29とは、ロシアの対外情報庁(SVR)と関連するハッカー集団に対して、サイバーセキュリティ業界が使っているコードネームだ。
一方、FireEyeは攻撃者をAPT29とは特定せず、今回のハッカー集団に中立的なコードネーム「UNC2452」を用いているが、サイバーセキュリティコミュニティーの複数の情報筋は米ZDNetに対し、現時点での証拠から判断して、攻撃者はAPT29であるとする米国政府の見立てがおそらく正しいとの見解を示している。
Microsoftも、13日に非公開で顧客向けに出したセキュリティ警告の中で、SolarWindsへの攻撃があったことを認め、影響を受けた可能性のある顧客に対策を伝えた。
SolarWindsは13日遅く、Orionが攻撃を受けたことを認めるプレスリリースを発表した。Orionは、集中監視および管理を提供するソフトウェアプラットフォームで、通常は大規模なネットワークに導入され、サーバーやワークステーション、モバイル端末、IoTデバイスなど、ITリソース全般の追跡に使われる。
FireEyeはこのマルウェアを「SUNBURST」と名付け、13日に技術レポートを公開した。
一方、Microsoftはこのマルウェアを「Solorigate」と名付け、「Defender Antivirus」に検知ルールを追加した。
FireEyeによると、当初の報道内容と異なり、このハッキング攻撃は米国だけでなく世界中の公的機関や企業を標的としているという。
この問題への対策として、SolarWindsはすべての顧客に対し、「Orion Platform release 2020.2.1 HF 1」にアップデートするよう呼び掛けている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」