コンテンツを開く

テーマのトレンド

SolarWindsへのハッキングが組織にとって意味すること

F-Secure Japan

26.12.20 7 min. read

世界の大国では、新たな「戦場」であるソフトウェアとインフラの支配権をめぐって競い合っています。

高度な脅威アクターによって、米ソフト会社SolarWindsのネットワークなどの監視プラットフォームである「Orion Platform」のアップデートにマルウェアが挿入されました。このソフトウェアは、組織の最も機密性の高い情報にアクセスする統合IT監視ソリューションです。今はまだ、この攻撃が展開中のため評価するのは時期尚早ですが、攻撃の範囲が世界中に拡大していることから、影響を受ける可能性のある組織は直ちに対処する必要があります。

この脅威アクターのキャンペーンは、現在進展中であるため、私たちの理解が深まるにつれ、この記事の内容が改訂されることがあります。

著名組織を狙ったサプライチェーン攻撃

「UNC2452」として追跡されている、高度な能力を有する脅威アクターによる世界的キャンペーンの詳細が公開されました。 問題のソフトウェアはSolarWinds社のOrion Platformで、このソフトウェアのライブラリの1つに「SUNBURST」として知られる悪意のある「バックドア」が挿入され、これにより脅威アクターは被害を受けたシステムへの足がかりを築くことができます。

SolarWindsが米証券取引委員会(SEC)に提出したForm 8-Kによると、悪意のあるコードはビルドプロセスの一部として挿入されたもので、ソースコードへの直接の影響はないとのことです。この悪意プログラムを含むアップデートプログラムは、正式なアップデートの一部として、SolarWinds社の証明書によって署名されていたため、被害者にとっては正規プログラムとして認識されていました。

最新の報告によると、この悪意のあるアップデートプログラムは、2020年3月にSolarWindsの顧客に配信され始め、2020年6月まで続いていました。マイクロソフトの分析によると、一部の更新履歴には悪意のない異常が存在しており、このことは、少なくとも2019年10月までさかのぼり、脅威アクターがビルドプロセスにアクセスしていた証拠となり得るものです。

悪意のあるアップデートがあっても攻撃が行われているとは限らない

SolarWindsは、前述のForm 8-Kの報告の中で、悪意のあるコードを含むアップデートを受け取った組織が17,000を超える可能性があると指摘しています。しかし、悪意のあるアップデートプログラムの存在だけでは、脅威アクターによる組織への積極的な攻撃を示すものではありません。サプライチェーン侵害の性質上、脅威アクターは、どのSolarWinds社の顧客がアップデートをダウンロードするかまではコントロールできないため、攻撃された組織の数は、悪意のあるアップデートを受信した組織の合計数より少なくなると考えられます。

攻撃の第1ラウンドで標的になった著名な組織の中には、米国の政府機関やサイバーセキュリティ企業のFireEyeが含まれていることが報告されています。その後、8ヵ国(米国、カナダ、メキシコ、イスラエル、アラブ首長国連邦、ベルギー、スペイン、英国)の40以上の組織がこのキャンペーンに関連した攻撃を受けたとマイクロソフトは報告しています。

これまでのところ、このサプライチェーン攻撃による侵害が報告されている組織は、当該国の政府機関または、政府機関と協力関係にある組織が標的にされているように見受けられます。高度な専門性とリソースを誇示するUNC2452のような脅威アクターにとって、これらの組織は大変魅力的な標的に映るはずです。しかしながら、サプライチェーン侵害の結果として、標的が拡大した可能性はありますが、この攻撃の開始時にいきなり政府機関が標的にされたとは考えにくいです。

「バックドア」から「ハンズオンキーボード」攻撃へ

伝えられるところによると、一旦アップデートがインストールされると、バックドアはセキュリティツールが存在する場合や、SolarWindsのネットワークなどの望ましくない場所での実行を回避するために、いくつかの「チェック」を実行する前に最大2週間程度の休止状態になっています。「チェック」の中には、パスするまでバックドアが休止状態のままになるものもあれば、セキュリティツールを自動的に無効化してから再度チェックを行い、成功したかどうかを確認するものもあります。

すべてのチェックにパスすると、バックドアは、ホストからのハッシュ値情報とバックドアのコードからアセンブルされた3つの他の静的コンポーネントを組み合わせた独自のコマンド&コントロール(C2)サーバとの通信を試みます。C2チャネルにより、脅威アクターは多数のコマンドを発行して、侵害したネットワーク上の足場をさらに活用することができます。

公開された報告書によると、足場を確保した後の活動は、被害者によって異なる「ハンズオンキーボード」攻撃であることが示されています。最初の活動の一部として、脅威アクターは「TEARDROP」という名前のカスタムメモリのみのドロップパーを利用していると報告されています4。この以前には見られなかったマルウェアは、サービスとして存続し、少なくとも1つの侵入でCobalt Strike Beaconをロードするために使用されていますが、他の悪意のあるコードをロードするために使用される可能性もあります。

特権アクセスを得る

この最初のステップの後、脅威アクターは、PowerShellやネイティブユーティリティなどの既知の手法を活用して特権を昇格させ、被害者のネットワーク内で侵入拡大を続けることが報告されています。この脅威アクターは、良く知られるようになったのにも関わらず、コマンドを難読化して、特定の正当な活動に紛れ込もうとします。

特筆すべきは、特権アクセスを得るために鍵認証のメカニズムを侵害していることです。SAMLトークンの不正使用は、報告された活動の重要な部分を占めており、現時点では組織のSAMLトークン署名証明書の侵害によって達成されたと報告されています。CISAアラート AA20-352A5 によると、SolarWindsに直接関連したもの以外にも、この脅威アクターが関わった侵入ではSAMLトークンの悪用が一般的に見られるようです。

脅威アクターは、SAMLを通じて得られたアクセス権を使用して、被害者のクラウドやオンラインサービスの主要リソースにアクセスしていることが確認されています。これには、ユーザファイルやEメールへのアクセスが含まれます。マイクロソフトは、このキャンペーンおよび、より広範な脅威アクターの活動をハンティングするための優れたリソースを共有しています。

攻撃の目的

脅威アクターの主な目的は、被害者への長期にわたる継続的なアクセスの確立と機密データの窃盗であると報告されています。長期的な持続性についての技術的な詳細は、マイクロソフトのブログで詳しく説明されており、フェデレーションの信頼とOAuthアプリケーションまたはサービスプリンシパルの悪用について言及されています。

このような侵入を調査している主要なステークホルダーの報告書によると、脅威アクターの高度な能力と、正規の機能に混入することを可能にした運用上のセキュリティに関する考慮事項を特筆しています。したがって、影響を受けるソフトウェアがインストールされている組織は、この脅威を調査し、封じ込め、修復するために、攻撃者の能力に応じた手順を実行する必要があります。

進展する調査

複数の調査が進展しているため、継続的に公開される最新情報に留意すべきです。最初の発表後に公開された主要なアップデート情報では、「SUPERNOVA」と「COSMICGALE」活動のクラスタは、主なSolarWindsサプライチェーンの侵害に直接関係していないことが明らかにされています。この活動は、CVE-2019-8917の悪用に関連していると報告されており、MicrosoftとFireEyeの両社によって、個別の脅威アクターとして追跡されています。この悪意のある活動を検知することは依然として重要ですが、より広範なSolarWinds活動のクラスタにリンクされていると考えるべきではありません。

SolarWindsのハッキングに対して組織が為すべきこと

脅威アクターの高度な能力により、彼らの活動を正規のビジネス機能に紛れ込ませることが可能になります。そのため、影響を受けるソフトウェアがインストールされている組織は、この脅威を調査し、封じ込め、修復するための手順を踏むことが極めて重要になります。

脆弱なソフトウェアがインストールされているサーバーをすべて隔離し、侵害の証拠がないかを調査する必要があります。調査が終了したら、優先的にSolarWinds Orion Platformにホットフィックスをインストールしてください。これにより、製品のバージョンが「2020.2.1 HF 2」に更新されます。

SolarWindsの報告によると、このホットフィックスにより、脅威アクターによって付加された侵害要素が削除され、製品に対する追加的セキュリティ強化が講じられます。この措置は、バックドアを介したアクティブな侵害のリスクは軽減されるはずですが、バックドアを超えたアクティブな侵害のリスクは完全には軽減されません。

さらなる措置の必要性

これらの攻撃は一般的に、サイバースパイ活動の一環と解釈されていますが、世界中の組織に多大な影響を与えます。同様のアプローチは、主要な業界の有能な脅威アクターによる積極的なネットワークアクセスの窃取にも使用されています。

これは、戦力投射と戦争行為の「ハイブリッド」アプローチの一部であり、現在ではあらゆる企業ネットワークにリーチできる可能性があります。同様に、この攻撃は業界をかく乱させる効果があります。デジタル経済をさらに発展させるために私たちが頼りにしている、テクノロジー企業やセキュリティ企業への信頼が損なわれてしまいます。

しかし、SolarWindsのハッキングに対する反感がプラスの効果をもたらすという期待もあります。国際社会の間で、より多くのことを協調して行うべきという共通認識が生まれ、国境を越えて政府と民間企業の間で協力する気運が高まっています。

 

F-Secure Japan

26.12.20 7 min. read

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。