全2005文字
PR

 国内外のセキュリティー組織は2020年12月中旬日以降、米ソフト会社SolarWinds(ソーラーウインズ)のネットワーク管理ソフト「Orion Platform」を悪用したサイバー攻撃が相次いでいるとして注意を呼びかけている。Orion Platformはネットワーク管理ソフトで世界シェアトップという。

 特に米国での被害が大きいとみられる。米メディアによると、複数の米国企業および組織が被害に遭った。それを裏付けるように、米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は2020年12月13日に緊急指令を発令。政府機関に対して影響を受ける製品の即時利用停止を命じた。

緊急指令「21-01」
緊急指令「21-01」
(出所:米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁)
[画像のクリックで拡大表示]

 特徴はいわゆるサプライチェーン攻撃であること。Orion Platformの更新プログラムとともにマルウエア(コンピューターウイルス)が企業ネットワークに送り込まれるため侵入を防ぐのが難しい。一体、どのような攻撃なのだろうか。

更新プログラムにマルウエアを仕込む

 サプライチェーン攻撃と呼ばれるサイバー攻撃には2種類ある。

 1つは、攻撃目標とする企業の周辺企業を狙う攻撃だ。製品やサービスのサプライチェーン(供給網)に関わるグループ会社や子会社、取引先といった周辺企業に侵入し、それらを足がかりに攻撃目標の企業に不正侵入する。

サプライチェーン攻撃の例(1)
サプライチェーン攻撃の例(1)
(出所:日経SYSTEMS)
[画像のクリックで拡大表示]

 もう1つはIT機器やソフトウエアの製造や保守の工程を悪用する攻撃である。機器やソフトウエアの提供元(配布元)に侵入して、それらにマルウエアを仕込む。

サプライチェーン攻撃の例(2)
サプライチェーン攻撃の例(2)
(出所:日経SYSTEMS)
[画像のクリックで拡大表示]

 攻撃パターンには、機器やソフトウエアの更新プログラムを配布するサーバーに侵入し、更新プログラムにマルウエアを仕込むものもある。正規のサーバーから配布された更新プログラムにマルウエアが含まれるので防御が難しい。今回のOrion Platformを悪用した攻撃はこれに該当するとみられる。

 今回と同様の手口は、2017年にはパソコン最適化ツール「CCleaner」、2019年には台湾・華碩電脳(エイスース)のソフトウエア更新ツール「ASUS Live Update Utility」を悪用した攻撃でも使われた。

 今回のケースでは、攻撃者はOrion Platformの更新プログラムを配布するサーバーに侵入し、更新プログラムにマルウエアを仕込んだようだ。ソーラーウインズが米証券取引委員会(SEC)に提出した資料によると、2020年3月から6月にリリースされた更新プログラムにマルウエアが仕込まれたという。影響を受けたユーザー数は1万8000未満としている。

米SolarWindsが米証券取引委員会に提出した資料
米SolarWindsが米証券取引委員会に提出した資料
(出所:米証券取引委員会)
[画像のクリックで拡大表示]

 また、複数の米メディアはロシアによる標的型サプライチェーン攻撃の可能性が高いと指摘しているものの、ソーラーウインズは攻撃者を特定していないとしている。