説明：新しいツールセットを使用した、米国での大規模なサイバー攻撃

米国の政府機関や民間企業を標的とした最大のサイバー攻撃の1つである「SolarWindsハック」は、おそらく世界的な取り組みと見なされています。それはどのように実行され、どのような種類のデータが危険にさらされましたか？なぜ米国政府の役人や政治家はロシアと名付けたのですか？

サイバー攻撃の標的は、SolarWinds社が提供するソフトウェアであるOrionでした。 （ロイター写真）

最近米国で発見されたサイバー攻撃である「SolarWindsハック」は、 史上最大 米国政府、その機関、および他のいくつかの民間企業を標的にしています。実際、それはおそらく世界的なサイバー攻撃です。

これは、米国のサイバーセキュリティ企業であるFireEyeによって最初に発見され、それ以来、日々多くの開発が明らかになっています。米国財務省、国土安全保障省、商務省、国防総省の一部はすべて影響を受けたと考えられていますが、サイバー攻撃の規模は不明です。

で 意見記事 のために書かれた ニューヨークタイムズ 、ドナルド・トランプ大統領の祖国安全保障顧問であったトーマス・P・ボサートは、攻撃のためにロシアを指名しました。彼はSolarWindsの攻撃ポイントで、SVRとして知られるロシアの諜報機関に証拠を書きました。SVRの貿易技術は世界で最も進んでいます。クレムリンはその関与を否定しました。

では、この「SolarWindsハック」とは何ですか？

サイバー攻撃のニュースは、FireEyeがシステムへの攻撃を検出するブログを公開した12月8日に技術的に最初に報道されました。同社は、いくつかの大手民間企業や連邦政府機関のセキュリティ管理を支援しています。

FireEyeのCEOであるKevinMandiaはブログ投稿で、同社は非常に洗練された脅威アクターに攻撃されたと述べており、ロシアの名前は付けていませんが、国が後援する攻撃と呼んでいます。攻撃は一流の攻撃能力を持つ国によって行われ、攻撃者は主に特定の政府の顧客に関連する情報を求めたとのことです。また、攻撃者が使用した方法は斬新であるとも述べています。

その後、12月13日、FireEyeは、キャンペーンUNC2452と名付けたサイバー攻撃は会社に許可されなかったが、世界中のさまざまな公的および私的組織を標的にしたと述べました。キャンペーンはおそらく2020年3月に始まり、数ヶ月間続いていると投稿は述べた。さらに悪いことに、攻撃の規模がまだ発見されていることを考えると、盗まれた、または侵害されたデータの範囲はまだ不明です。システムが危険にさらされた後、横方向の動きとデータの盗難が発生しました。

どのようにして多くの米国政府機関や企業が攻撃されたのでしょうか。

これは「サプライチェーン」攻撃と呼ばれています。ハッカーは、連邦政府や民間組織のネットワークを直接攻撃するのではなく、ソフトウェアを提供するサードパーティベンダーを標的にします。この場合、ターゲットは、テキサスを拠点とする企業であるSolarWindsが提供するOrionと呼ばれるIT管理ソフトウェアでした。

Orionは、33,000社を超える企業を含むクライアントを抱えるSolarWindsの主要なソフトウェアです。 SolarWindsは、18,000のクライアントが影響を受けたと述べています。ちなみに、同社は公式ウェブサイトからクライアントのリストを削除しました。

GoogleのWebアーカイブからも削除されたこのページによると、リストには、米国の通信事業者トップ10であるフォーチュン500の425社が含まれています。 New York Timesのレポートによると、国防総省、疾病管理予防センター、国務省、司法省などの一部がすべて影響を受けたとのことです。

マイクロソフトは、自社のシステムでマルウェアの証拠を発見したことを確認しましたが、本番サービスや顧客データへのアクセスの証拠はなく、システムが他者を攻撃するために使用されたと付け加えました。マイクロソフトのブラッド・スミス社長は、攻撃者がより正確に標的にされ、侵害されたことを40人以上の顧客に通知し始めたと語った。

ロイターの報告によると、国土安全保障省の職員から送信された電子メールでさえ、ハッカーによって監視されていました。

彼らはどのようにしてアクセスを得たのですか？

FireEyeによると、ハッカーは、SolarWindsのOrionIT監視および管理ソフトウェアのトロイの木馬化されたアップデートを介して被害者にアクセスすることができました。基本的に、ソフトウェアアップデートを利用して「Sunburst」マルウェアをOrionにインストールし、その後17,000人以上の顧客がインストールしました。

FireEyeによると、攻撃者は複数の手法に依存して、検出されないようにし、アクティビティを不明瞭にしています。マルウェアはシステムファイルにアクセスできました。 FireEyeによると、マルウェアに有利に働いたのは、正当なSolarWindsアクティビティと融合できたことです。

インストールされると、マルウェアは、SolarWindsの顧客のシステムとネットワークへのハッカーへのバックドアエントリを提供しました。さらに重要なことに、マルウェアは、それを検出できるアンチウイルスなどのツールを阻止することもできました。

ロシアはどこにやってくるのですか？

彼のNYTの意見記事で、ボサートはロシアとその代理店SVRを指名しました。これは、そのような創意工夫と規模の攻撃を実行する能力を持っています。

Microsoftはブログで、攻撃のこの側面がほぼ世界的に重要なサプライチェーンの脆弱性を生み出し、ロシア国外の多くの主要な首都に到達したと述べています。さらに、ロシアからの高度な攻撃が一般的になっていることも付け加えています。

ただし、FireEyeはまだロシアを責任者として指名しておらず、FBI、Microsoft、および指名されていないその他の主要パートナーとの継続的な調査であると述べています。

SolarWindsと米国政府はハッキングについて何と言っていますか？

現在、SolarWindsは、すべてのお客様に、このマルウェアのパッチが適用されている既存のOrionプラットフォームをすぐに更新することを推奨しています。攻撃者の活動が環境内で発見された場合は、包括的な調査を実施し、調査結果と影響を受ける環境の詳細に基づいて修復戦略を設計および実行することをお勧めします。

更新できない場合は、SolarWindsサーバーを分離するように指示され、SolarWindsサーバーからのすべてのインターネット出力をブロックする必要があります。最低限の提案は、SolarWindsサーバー/インフラストラクチャにアクセスできるアカウントのパスワードを変更することです。

米国のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー（CISA）は、緊急指令21-01を発行し、すべての連邦民間機関に、侵害の兆候がないかネットワークを確認するように求めています。それは彼らにSolarWindsOrion製品をすぐに切断するか電源を切るように頼んだ。

FBI、CISA、および国家情報長官の事務所は共同声明を発表し、危機への政府の対応を調整するために、いわゆる「サイバー統一調整グループ（UCG）」を発表しました。声明は、これを重要かつ継続的なサイバーセキュリティキャンペーンと呼んでいます。

ホワイトハウスとドナルド・トランプ大統領は沈黙している。ミット・ロムニー上院議員は、SiriusXMラジオのジャーナリストであるオリビエ・ノックスへのコメントでそれを最もよく要約しています。ホワイトハウスからの沈黙と怠慢は許しがたいと彼は言った。

民主党のリチャード・ブルーメンソール上院議員はツイートしました。ロシアのサイバー攻撃は私を深く驚かせ、実際にはまったく怖がっていました。

大統領選挙のジョー・バイデンは声明の中で次のように述べています。そもそも、敵を混乱させ、重大なサイバー攻撃を仕掛けるのを阻止する必要があります。

友達と共有してください: