Microsoftは米国時間10月24日、SolarWindsのサプライチェーン攻撃に関与した疑いのあるハッキンググループのNobeliumが、世界のITサプライチェーンに攻撃を仕掛けているとブログ記事で警告した。同社によると、5月以降、少なくとも140社の再販業者とテクノロジーサービスプロバイダーが標的となり、そのうち14社が侵害されたようだ。
同社の顧客セキュリティ&トラスト担当コーポレートバイスプレジデントのTom Burt氏はアドバイザリーで、このロシア由来のAPT(高度サイバー攻撃)グループは、ソフトウェアやクラウドサービスの「再販業者が顧客のITシステムに直接アクセスできる可能性があることに便乗する」ために、こうした再販業者にターゲットの軸足を移していると説明した。
Nobeliumは、MicrosoftとFireEye(現社名はMandiant)が2020年12月に明らかにした、SolarWinds攻撃の背後にいたグループだとされている。
SolarWindsのシステムが侵害され、「Orion」ソフトウェアのアップデートにマルウェアが仕込まれた後、約1万8000社が影響を受けたとみられている。
このAPTは、Microsoft、FireEye、米国土安全保障省(DHS)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米財務省など、少数の著名な標的を選んで攻撃した。
Microsoftはこうした一連の攻撃に、1000人以上のエンジニアが動員されたと推測している。しかし、最近の攻撃は、特定の脆弱性やセキュリティ上の欠陥を悪用したものではないようだ。パスワードスプレー攻撃やフィッシングなどで、システムのアカウント認証情報や特権的アクセスを取得しようとしている。
この新たな攻撃は、ロシアの脅威アクターNobeliumによる広範な活動の一環だ。Microsoftは7月1日〜10月19日までの間、609社の顧客に対して、Nobeliumによる2万2868件に及ぶハッキングの試みがあったと警告した。実際の成功率は「1桁台前半」だという。
7月1日以前には、国家が関与するすべてのハッカーグループからの攻撃について顧客に通知した件数は3年間で合計2万500回だった。これには、米国際開発庁(USAID)を装ったNobeliumのフィッシング攻撃も含まれるとみられる。
「この最近の活動は、ロシアがテクノロジーサプライチェーンのさまざまなポイントに、長期的かつ組織的にアクセスしようとしている新たな兆候だ。そして、現在あるいは将来、ロシア政府が関心を持つターゲットを監視する仕組みを構築しようとしている」と同社はコメントした。「幸い、われわれはこの攻撃を初期段階で発見した。これらの進展について共有し、クラウドサービスのリセラー、テクノロジープロバイダー、その顧客がタイムリーに対策を取れるよう支援して、Nobeliumがこれ以上成功することのないようにしようとしている」
Microsoftは、影響を受けたベンダーに通知するとともに、Nobeliumがどのようにネットワーク全体で水平的に動き、ダウストリームの顧客に到達しようとしているかを概説する技術的なガイダンスをリリースしている。
Mandiantのシニアバイスプレジデント兼最高技術責任者(CTO)のCharles Carmakal氏によると、同社がロシアの関与が疑われる複数のサイバー攻撃を調査したところ、テクノロジープロバイダーと顧客間のサプライチェーン関係が悪用されたものがあった。
「SolarWindsのサプライチェーン攻撃では、正規のソフトウェアに悪意のあるコードが埋め込まれていたが、最近の侵入行為の多くは、盗んだ個人情報に加え、北米や欧州の技術ソリューションやサービス企業、再販業者のネットワークを利用して、ロシア政府が標的とする組織の環境にアクセスしようとしていた」(Carmakal氏)
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。