管理ソフトウエア経由で侵入された米国政府機関や企業。～新たな脅威としてのソフトウエアアップデート

ソフトウエアアップデートを利用したサイバー攻撃

2020年12月18日、米国メディアがロシアンハッカーによって米国の少なくとも3つの州政府、テキサス州オースティンの都市ネットワーク、米国の核兵器機関に対しサイバー攻撃を仕掛けたと報じました。日本のマスコミではほとんど報じられていませんが、今年の大規模なサイバー攻撃のひとつに数えられるほど大きなの被害状況がでてきました。

今回のサイバー攻撃の特長は、”脆弱なサプライチェーン”を標的にしたことです。

サイバー攻撃者は、通常、標的と定めたサーバーに対し、スキャンと呼ばれる調査を行った後、調査で発見した脆弱性への攻撃をしかけ管理者権限を奪取したり、データの改ざんや摂取するなどの行為を行うものですが、今回のサイバーアタックでは、標的となっている政府機関や企業に利用されている管理系ソフトウエアの会社への侵入から始めました。

ソーラーウインズ（SolarWinds）社への侵入

まず最初に、攻撃者は米国のソーラーウインズ（SolarWinds）社への侵入を試みました。

侵入に成功した攻撃者は、次に同社のOrion Platformいう名の監視ソフトウエアに悪意あるコードを挿入しました。その後、悪意あるコード、（今回はバックドアが仕込まれていたようです。）が挿入されたソフトウエアが製品アップデートによって米国の多数の政府機関や企業に配布され、次々とバックドアが開かれ、外部からの侵入を許し、機密情報を含む様々な情報が盗まれました。

情報摂取等の被害にあった政府機関と企業の数は最大1万8千件になる可能性があるとしています。

SolarWinds

SolarWinds社は、米国テキサス州オースティンにあるネットワークマネジメントソフトウエアの開発会社です。SolarWinds社では、IT管理ソフトウエアとリモート監視ツールを開発しています。

今回の大規模なサイバー攻撃は、システムの管理に使われるソフトウエアにバッグドアを仕込み、製品アップデートによるバックドアの配布を行った後に、外部からの侵入を試みる手口から「サプライチェーン攻撃」と呼ばれています。

SolarWinds社の公式声明はこちら

日本国内の被害状況

日本国内では2020年12月22日現在、サイバー攻撃の被害報告はありません。しかし、今後同様の手口をつかったサイバー攻撃の可能性は十分に考えられますので、今後のセキュリティ対策について再考する必要があります。

Orion Platformを利用している場合の確認ポイント

SolarWindsによると今回悪意あるコードが仕込まれたOrion Platformの影響範囲は、2020年3月から2020年6月の間にリリースされた2019.4HF5から2020.2.HF1 SolarWinds@Orion Platformであると発表しています。現在利用しているバージョンが対象となっているバージョンであるかの確認が必要です。