編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

SolarWinds製品悪用のハッキング、「第2の攻撃者」がいた--マイクロソフトが示唆

Catalin Cimpanu (ZDNet.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ)

2020-12-22 16:15

 SolarWindsのソフトウェアを利用したサプライチェーン攻撃に対する犯罪科学的調査で証拠が徐々に見つかる中、Microsoftのセキュリティ研究者らは、同ソフトウェアを利用して企業や政府機関のネットワークにマルウェアを挿入した2番目の攻撃者が存在する可能性があることを、米国時間12月18日に明らかにしている

ハッキングされたプログラムのイメージ

 それによると、この2番目の攻撃者に関する情報はまだほとんど分かっていないが、SolarWindsのネットワークに侵入し、同社のネットワーク運用ソフトウェア「Orion」にマルウェアを挿入したとみられるロシア政府系ハッカーとのつながりはなさそうだという。

 最初の攻撃で使用されたマルウェア(コード名「SUNBURST(別名Solorigate)」)は、トロイの木馬化されたOrionアプリケーションのアップデートを介してSolarWindsの顧客に配布された。

Microsoftの図
提供:Microsoft

 このマルウェアは、第2段階の攻撃としてバックドア型トロイの木馬(コード名「TEARDROP」)をダウンロードし、人手による攻撃(human-operated attack)とも呼ばれるハンズオンキーボード攻撃を開始できるようにする。

 だが、SolarWindsへのハッキングが公になってから数日で公開された初期のレポートは、第2段階のペイロードが2種類あることを示唆していた。

 GuidepointSymantecPalo Alto Networksの各社は、攻撃者が.NETウェブシェル「SUPERNOVA」も埋め込んでいたことをレポートで報告していた。

 セキュリティ研究者らは、攻撃者がこのSUPERNOVAウェブシェルを使って、悪意のあるPowershellスクリプト(一部では「COSMICGALE」というコード名で呼ばれている)をダウンロードし、コンパイルして実行していたと考えた。

 しかし、Microsoftのセキュリティチームはその後の分析で、SUPERNOVAウェブシェルが最初の攻撃チェーンの一部ではなかったとの見解を明らかにした。

 そのため、インストールしたSolarWindsソフトウェアでSUPERNOVAが検出された企業は、このインシデントを別の攻撃とみなす必要がある。

 MicrosoftのセキュリティアナリストNick Carr氏もGitHubへの投稿で、SUPERNOVAウェブシェルが悪用される可能性はあるものの、最初のソフトウェアサプライチェーン攻撃との関連性は見られないとしている。

 このSUPERNOVAがSUNBURSTとTEARDROPを利用した攻撃チェーンに関連しているという誤解が生じたのは、SUPERNOVAがSUNBURSTと同じくOrionのDLLに偽装していたからだ。SUNBURSTはSolarWinds.Orion.Core.BusinessLayer.dllファイルに、SUPERNOVAはApp_Web_logoimagehandler.ashx.b6031896.dllファイルにそれぞれ埋め込まれていた。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]