SolarWinds攻撃 そーらーうぃんずこうげき
簡単に言うとこんな感じ!
信頼できるソフトウェアの「公式アップデート」に毒を混ぜて配布した攻撃なんだ。「正規の荷物」に見せかけて組織の中に侵入するから、誰も気づけなかった史上最悪クラスのハッキング事件だよ!
SolarWinds攻撃とは
2020年12月に発覚したSolarWinds攻撃は、ネットワーク管理ソフト「Orion(オリオン)」のアップデートファイルにマルウェアを仕込んだサプライチェーン攻撃です。SolarWinds社は米国防総省・財務省・国務省など政府機関や大企業を含む約18,000社・機関にOrionを提供しており、その全顧客が感染リスクにさらされました。
攻撃者は2020年3月〜6月ごろにOrionのビルド環境(ソフトウェアを組み立てるシステム)に侵入し、SUNBURSTと呼ばれるバックドア(不正な裏口)を正規のアップデートパッケージに混入させました。ユーザーが何も疑わずに「公式アップデート」を適用すると、気づかないうちに攻撃者の制御下に置かれるという仕組みです。発覚まで約9か月間、攻撃は静かに続いていました。
この攻撃はロシアの国家支援型APT(Advanced Persistent Threat)グループ「Cozy Bear(APT29)」の関与が強く疑われており、単なる金銭目的ではなく諜報・情報収集を目的とした極めて高度な作戦とみられています。
攻撃の仕組みと段階
SolarWinds攻撃は複数のフェーズに分かれた精巧な作戦でした。
| フェーズ | 内容 | 時期 |
|---|---|---|
| ①初期侵入 | SolarWinds社の開発環境(ビルドシステム)へ侵入 | 2019年末〜2020年初 |
| ②マルウェア混入 | OrionのDLLファイルにSUNBURSTを埋め込む | 2020年3〜6月 |
| ③配布 | 公式アップデートとして約18,000組織に配布 | 2020年3〜6月 |
| ④潜伏 | 約2週間〜1か月間は何もせず「正常に見せる」 | 感染直後 |
| ⑤通信開始 | C2(コマンド&コントロール)サーバーと通信し指示を受ける | 潜伏後 |
| ⑥横展開 | 組織内を移動し、メール・クラウドなどへアクセス | 長期間 |
| ⑦発覚 | セキュリティ企業FireEyeが自社侵害を調査中に発見 | 2020年12月 |
SUNBURSTが巧妙だったポイント
- 正規の電子署名付き:SolarWinds社の証明書でサインされていたため、セキュリティ製品も素通りさせた
- 長い潜伏期間:感染後すぐには動かず、セキュリティ監視の目をかいくぐった
- 正規ドメインに擬態:C2通信先を「avsvmcloud[.]com」として、一見ただのクラウドサービスに見せかけた
- 環境チェック機能:セキュリティ研究者の解析環境(サンドボックス)では自動的に動作を停止する
被害を受けた主な組織
- 米財務省・商務省・国務省・国土安全保障省
- マイクロソフト・インテル・シスコ
- セキュリティ企業FireEye(自ら発覚のきっかけに)
- 欧州各国政府機関
歴史と背景
- 2019年10月頃:攻撃者がSolarWinds社の内部ネットワークへの侵入を開始(後の調査で推定)
- 2020年2月:攻撃者がOrionのビルドパイプラインへの侵入に成功
- 2020年3月:SUNBURSTを含むOrion 2019.4が配布開始。感染拡大が始まる
- 2020年6月:マルウェア入りアップデートの配布が終了(ただし感染済み組織への侵害は継続)
- 2020年12月8日:セキュリティ企業FireEyeが「自社の攻撃ツールが盗まれた」と発表
- 2020年12月13日:FireEye・マイクロソフト・米政府が協調してSUNBURSTを公式に公表
- 2020年12月14日:米CISAが全連邦機関にOrionの即時切断を指示する緊急指令を発令
- 2021年1月:米政府がロシア対外情報庁(SVR)の関与と正式に断定
- 2021年4月:バイデン政権がロシアへの制裁措置を発動
- 2021年以降:この攻撃を教訓に、ソフトウェアサプライチェーンのセキュリティ強化が世界的な政策課題に
サプライチェーン攻撃との比較・関連手法
SolarWinds攻撃は「サプライチェーン攻撃」の代表例ですが、他の手法と何が違うのかを整理します。
| 攻撃手法 | 侵入経路 | 気づきにくさ | 代表例 |
|---|---|---|---|
| サプライチェーン攻撃 | 信頼済みソフトウェア・部品 | ★★★★★ | SolarWinds、XZ Utils |
| フィッシング | メール・偽サイト | ★★★ | 各種標的型メール攻撃 |
| ゼロデイ攻撃 | 未知の脆弱性 | ★★★★ | Exchange Server攻撃など |
| 内部不正 | 正規ユーザーの権限乱用 | ★★★★ | 内部者によるデータ持ち出し |
| 水飲み場攻撃 | よく使うWebサイトを汚染 | ★★★ | 特定業界狙いの改ざんサイト |
なぜ「サプライチェーン」と呼ぶのか
製品を作るための「部品の調達ルート(サプライチェーン)」に毒を混ぜる攻撃だからです。完成品(ソフトウェア)を届ける前の段階を汚染するため、最終利用者がどれほど注意していても防ぎようがないのが最大の恐ろしさです。
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| NIST SP 800-161r1 | サプライチェーンリスク管理のガイドライン(米NIST) |
| NIST SP 800-218 | セキュアソフトウェア開発フレームワーク(SSDF) |
関連用語
- サプライチェーン攻撃 — 製品や部品の流通過程に悪意ある要素を混入する攻撃手法
- APT(高度持続的脅威) — 国家支援型の高度で長期的なサイバー攻撃グループ・攻撃手法
- バックドア — 攻撃者が密かに設ける不正なシステム侵入口
- C2サーバー — マルウェアに命令を送り、盗んだ情報を受け取る攻撃者の指令サーバー
- ゼロトラスト — 「何も信頼しない」を前提にすべてを検証するセキュリティモデル
- 侵害の痕跡(IoC) — 攻撃を受けた証拠となるIPアドレス・ハッシュ値などの情報
- SIEM — ログを一元管理してセキュリティインシデントを検出するシステム
- ソフトウェア署名(コード署名) — ソフトウェアが正規の開発者から改ざんなく届いたことを証明する仕組み