米国と英国のセキュリティ当局は、米国立衛生研究所などを標的としたSolarWinds製品に対する攻撃が、ロシアの外国諜報機関を後ろ盾にしたハッカーの仕業だと考えていることを明らかにした。
米国のこの見解は、国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)による共同勧告という形で発表された。この勧告では、VPN(仮想私設網)サービスにおける5件の公知の脆弱性を悪用した、ロシアの対外情報庁(SVR)による攻撃について説明している。
また英国も、これらの攻撃がロシアの諜報機関によるものだと考えている。
IT管理ソフト企業SolarWindsの製品を狙ったサプライチェーン攻撃は、近年最大規模のサイバーセキュリティ事件となった。ハッカーは米国の政府機関のほか、サイバーセキュリティ企業のFireEyeとMimecastなど、世界中の数万に上る組織のネットワークに侵入した。
そして今回米国は、SolarWinds攻撃がSVRの攻撃者(別名:APT29、Cozy Bear、The Dukes)によるものであることを公にした。新型コロナウイルス感染症のワクチン開発を行う研究機関に対するマルウェア攻撃など、その他の攻撃にも関与しているという。
サイバー攻撃の対象となっている5件の脆弱性は、以下の通り。
- CVE-2018-13379:FortinetのVPN製品「FortiGate」
- CVE-2019-9670:Synacorの「Zimbra Collaboration Suite」
- CVE-2019-11510:Pulse SecureのVPN製品「Pulse Connect Secure」
- CVE-2019-19781:Citrixの「Citrix Application Delivery Controller」および「Citrix Gateway」
- CVE-2020-4006:VMwareの「Workspace ONE Access」
これらの脆弱性を修正するためのセキュリティパッチが提供されており、まだネットワークにパッチを適用していない組織は、攻撃を防ぐために早急にパッチを施す必要がある。
米財務省は米国時間4月15日、「ロシア政府による有害なアクティビティー」と説明される問題に対応し、ロシアに対する制裁を課す考えを明らかにした。財務省による制裁は、SolarWinds関連のサイバー攻撃を含む、ロシアのアクターによる「悪意のある」サイバー活動に言及している。
英国もSolarWinds製品に対する攻撃を非難しており、組織に注意を呼びかけている。英国立サイバーセキュリティセンター(NCSC)は、SolarWindsのネットワーク管理ソフトウェア「Orion」に不正侵入したのは、SVRである可能性が高いとみている。
英国のDominic Raab外務大臣は、「英国および米国は、国際的なパートナーと国内企業がこの種の行為に対して、適切な防御と準備ができるように、ロシアの悪意のある攻撃に対して注意を促している」と述べた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
