国内外のセキュリティー組織は2020年12月中旬以降、米ソーラーウインズのネットワーク管理ソフト「Orion Platform」を悪用したサイバー攻撃が相次いでいるとして注意を呼びかけている。Orion Platformはネットワーク管理ソフトで世界シェアトップ。
特に米国での被害が大きいとみられる。米メディアによると、複数の米国企業および組織が被害に遭っているという。それを裏付けるように、米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA▼)は米国時間2020年12月13日に緊急指令を発令▼(図1)。政府機関に対して影響を受ける製品の即時利用停止を命じた。
今回の攻撃はいわゆる「サプライチェーン攻撃」だといわれている。サプライチェーン攻撃と呼ばれるサイバー攻撃には2種類ある(図2)。1つは、攻撃目標とする企業の周辺企業を狙う攻撃である。製品やサービスのサプライチェーン(供給網)に関わるグループ会社や子会社、取引先といった周辺企業に侵入し、それらを足がかりに攻撃目標の企業に不正侵入する。
もう1つはIT機器やソフトウエアの製造や保守の工程を悪用する攻撃である。機器やソフトウエアの提供元に侵入して、それらにマルウエア(コンピューターウイルス)を仕込む。
機器やソフトウエアの更新プログラムを配布するサーバーに侵入し、更新プログラムにマルウエアを仕込む攻撃もある。正規の更新プログラムにマルウエアが含まれるので防御が難しい。今回のOrion Platformを悪用した攻撃はこれに該当するとみられる。Orion Platformの更新プログラムにマルウエアが仕込まれていたとされる。
今回と同様の手口は、2017年にはパソコン最適化ツール「CCleaner」、2019年には台湾エイスースのソフトウエア更新ツール「ASUS Live Update Utility」を悪用した攻撃でも使われた。
