全2114文字
PR

1万ユーザー以上が影響を受ける

 今回のケースでは、攻撃者はOrion Platformの更新プログラムを配布するサーバーに侵入し、更新プログラムにマルウエアを仕込んだようだ。ソーラーウインズが米証券取引委員会(SEC)に提出した資料によると、2020年3月から6月にリリースされた更新プログラムにマルウエアが仕込まれたという。影響を受けたユーザー数は1万8000未満としている。

 また、複数の米メディアはロシアによる標的型サプライチェーン攻撃の可能性が高いと指摘しているものの、ソーラーウインズは攻撃者を特定していないとしている。

 セキュリティーベンダーなどによると、「SUNBURST」と呼ばれるマルウエアが使われたもようだ。SUNBURSTはいわゆるバックドアであり、攻撃者は攻撃目標のネットワークに自由にアクセスできるようになるという。

日本企業も被害の恐れ

 トレンドマイクロは12月16日、同日午後5時時点におけるSUNBURSTの検出状況を公表した(図3)。それによると過半数は米国だが、それ以外の地域でも確認されていた。

図3●日本でもマルウエア「SUNBURST」が検出
図3●日本でもマルウエア「SUNBURST」が検出
今回の攻撃で使われたSUNBURSTの検出台数における国別割合。「その他」の35件のうち1件は日本だという。トレンドマイクロによる2020年12月16日午後5時時点の調査結果。
[画像のクリックで拡大表示]

 具体的な件数は米国が90件、カナダが16件、アルゼンチンが12件、英国が10件、オーストラリアが7件、その他の地域が35件でうち1件は日本だったという。日本の企業も被害に遭った可能性がある。

 トレンドマイクロの解析によると、SUNBURSTはActive Directoryで管理されている端末でしか動作しないという。また、端末に感染してもすぐに動作せず、12日から14日程度を経過してから動き出すという特徴がある。

 影響を受けるOrion Platformのバージョンは「2019.4 HF 5」「2020.2」「2020.2 HF 1」。対策はアップデートであり、「2019.4 HF 6」あるいは「2020.2.1 HF 2」に更新する必要がある。

 ただしCISAなどによると、アップデートだけでは不十分という。マルウエアが既に送り込まれている可能性があるからだ。影響を受けるバージョンの管理対象になっている端末は、信頼できるソースを使って再構築する必要があるとしている。

 また、資格情報(パスワードなど)もリセットする必要があるとする。資格情報が盗まれている場合、マルウエアを取り除いても別の経路で侵入される恐れがあるからだ。海外拠点を持つ日本の企業や組織などは使っているネットワーク管理ソフトの洗い出しと対策を急ぐ必要がある。

▼CISA
Cybersecurity and Infrastructure Security Agencyの略。
▼緊急指令を発令
緊急指令のURLは、https://cyber.dhs.gov/ed/21-01/。
▼SEC
Securities and Exchange Commissionの略。
▼提出した資料
資料のURLは、https://www.sec.gov/ix?doc=/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm。