2021年クラウドセキュリティレポート

2021年1~6月、主なサイバーイベントのタイムライン

更新プログラムから忍び寄る脅威

2021年は、SolarWinds社のオンサイトモニタリングツール「Orion」のソフトウエアアップデートに侵入し、送り込まれていた”トロイの木馬”への緊急対応からはじまりました。

SolarWinds「Orion」は、高度なIT管理とリモート監視機能を提供してくれるIT管理ソフトウエアです。SolarWindsの顧客は約30万。米国SECに提出された報告書によると、約30万の顧客のうち、Orionを利用していた顧客は3万3000にものぼると報告されていました。その顧客の中には日本国内でOrionを利用していた顧客も含まれています。

UNITED STATES SECURITIES AND EXCHANGE COMMISSION WASHINGTON, DC 20549（外部リンク）

SolarWinds「Orion」にリモートから不正アクセスを許可する為のトロイの木馬がソフトウエア更新プログラムの中に密かに仕込まれていると最初に公けになったのが2020年12月13日、米国セキュリティ企業であるFireEye社からの発表でした。

ここで行われたサイバー攻撃は、従来のサイバー攻撃は広範囲の調査の中からハック可能なターゲットを選定し、様々な手口で侵入する為の入り口を開くといった攻撃手法がとられてきましたが、Orionが狙われた攻撃では、多数のシステムで利用されている”管理ソフトウエアの更新プログラム”に”不正侵入する為のコードを挿入”させ、”正常な更新プログラムとしインストールさせる”といった今までにない大規模なサプライチェーン攻撃となりました。

SolarWinds Orionをターゲットとしたサプライチェーン攻撃の被害は、米フォーチュン500企業のうち、425社以上がSolarWindsの顧客で、その中には大手ITメーカーであるCiscoやIntelも含まれているだけではなく、ホワイトハウス、米軍の5軍全て、国防総省、司法省、NASA、NSAなども含まれていると米ウォール・ストリート・ジャーナル紙によって伝えられています。

これまでソフトウエアメーカーから配布されるアップデートプログラムは、安全で、既知のバグの改修やセキュリティホールなどを防ぐなどセキュリティ対策の一環として行われてきましたが、更新プログラムにも悪意あるコードが混入される可能性があり、外部から不正に侵入を許してしまうリスクがあることを前提としたセキュリティ対策が必要であると認識を改めるべきでしょう。

2021年3月2日

2021年1月3日には、米Volexity社がMicrosoft Exchange Serverへの最初の攻撃を検知。この日から約１カ月もの間に、各セキュリティサービス会社からMicrosoft社に関連する脆弱性についての情報が報告されることになります。

2021年3月2日

Microsoft社は、2021年3月2日に、Microsoft Exchange Serverの複数のバージョンに影響を与える4つのゼロディ脆弱性があるとして、その詳細を公開（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）しました。

Microsoft社は、脆弱性公開にあわせて、修正プログラムを配布し、適用することを重大性を告知しはじめますが、脆弱性に対する修正プログラムの適用やセキュリティ対策に遅れが生じている状況が発生。修正プログラムを適用していないサーバーをサイバー攻撃者がMicrosoft Exchange Serverへの攻撃を繰り返し。数時間ごとにMicrosoft Exchange Serverへの攻撃が倍増するといった最悪の結果を招くことになりました。

Microsoft Exchange Serverの脆弱性を狙った一連のサイバー攻撃に、中国政府の関与が疑われるAPT（高度標的型攻撃）グループであるHafniumが関与したとされています。

＃Hafniumとは、サイバー攻撃技術を駆使し、中国政府が関連しているとされてるてサイバースパイグループです。

2021年3月9日

Microsoftは、3月9日、Exchange Serverのセキュリティ状況をチェックするスクリプト（test-ProxyLogon.ps1 Script）をGithubで公開しました。このスクリプトについては、米国サイバーセキュリティインフラセキュリティ庁（CISA）も、このスクリプト（test-ProxyLogon.ps1 Script）をできるだけ早く実行し、該当するシステムに侵入されている形跡がないか確認することを強く推奨しました。

Exchange Serverのセキュリティ状況をチェックするスクリプトについて

Microsoft IOC Detection Tool for Exchange Server Vulnerabilities（外部リンク）

2021年3月12日

Microsoftは12日、DearCryと呼ばれるランサムウエアが、Microsoft Exchange Serverの脆弱性を利用し、サイバー攻撃を行っていると発表しました。

Microsoft Exchange Serverの脆弱性を利用したランサムウエアの存在が明らかになりました。

2021年5月７日

米国石油パイプライン大手のClolnial Pipelineがランサムウエアによるサイバー攻撃を受け、すべてのパイプラインを一時停止に追い込まれました。Clolnial Pipelineは米国東海岸で消費される約４５%もの石油の供給を行っているライフライン企業。

5月13日には、ランサムウエア攻撃を受けたClolnial Pipelineが、その後、日本円で500万ドル、日本円にして5億５千万円もの身代金の要求に応じたとBloombergが報じています。

また、パイプラインが復旧した後も、通常のサービスが再開するまで数日間を要するとの見方が報じられると、米国の一部の都市では”パニックによる買占め”が発生。

Colonial Pipeline Paid Hackers Nearly $5（外部リンク）

2021年5月25日

富士通が開発するプロジェクト情報共有ツール「ProjectWeb」を利用する一部のプロジェクトに不正アクセスがあったと同社が発表。

5月26日

国土交通省が、「ProjectWeb」を利用によって、職員のメールアドレス54000件、外部のメールアドレス22000件が流出したと発表。流出したメールアドレスには、大臣・副大臣・大臣政務官のアドレスも含まれていた。

2021年5月31日

米国食肉加工大手のJBS Foodsがサイバー攻撃受け、サイバー攻撃への対処の為に影響下にあるすべてのシステムを停止したと発表。

6月3日

サイバー攻撃を受けて、操業を停止していた一部の工場や施設の再稼働を発表。

6月9日

JBS Foodsを襲ったランサムウエアの身代金要求に応じて、1100万ドル相当を支払ったと発表。

2021年1~6月から見るサイバーアタックの傾向

2021年7月19日、米国バイデン政権は、中国政府が米国などへのサイバー攻撃に関わっているとして、米国・EU・NATO・日本などの同盟国と共に非難声明を発表しました。これに対し、中国外務省は「身の程知らずだ」と反発したと多くのメディアが伝えています。米国バイデン政権が西側諸国の同盟国と手を組み、非難声明を出したきっかけは、Microsoft Exchange Serverへのサイバー攻撃が発端となった米国の政府機関、社会インフラ、基幹産業を担う企業、そして研究機関なへのサイバー攻撃の激増が背景に….

この2021年クラウドセキュリティレポートでは、サイバーイベントのタイムラインから読み解くセキュリティ対策に加え、2021年前半に大きく動きのあったサイバー攻撃についてその根本原因についても詳しく説明しています。

以下のボタンをクリックし、レポートをダウンロードし、ご覧ください。