編集部からのお知らせ
ダウンロード公開中「ITが取り組むべきプライバシー」
最新記事まとめ「医療IT」

SolarWinds製品悪用のハッキング、「第2の攻撃者」がいた--マイクロソフトが示唆

Catalin Cimpanu (ZDNet.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ)

2020-12-22 16:15

 SolarWindsのソフトウェアを利用したサプライチェーン攻撃に対する犯罪科学的調査で証拠が徐々に見つかる中、Microsoftのセキュリティ研究者らは、同ソフトウェアを利用して企業や政府機関のネットワークにマルウェアを挿入した2番目の攻撃者が存在する可能性があることを、米国時間12月18日に明らかにしている

ハッキングされたプログラムのイメージ

 それによると、この2番目の攻撃者に関する情報はまだほとんど分かっていないが、SolarWindsのネットワークに侵入し、同社のネットワーク運用ソフトウェア「Orion」にマルウェアを挿入したとみられるロシア政府系ハッカーとのつながりはなさそうだという。

 最初の攻撃で使用されたマルウェア(コード名「SUNBURST(別名Solorigate)」)は、トロイの木馬化されたOrionアプリケーションのアップデートを介してSolarWindsの顧客に配布された。

Microsoftの図
提供:Microsoft

 このマルウェアは、第2段階の攻撃としてバックドア型トロイの木馬(コード名「TEARDROP」)をダウンロードし、人手による攻撃(human-operated attack)とも呼ばれるハンズオンキーボード攻撃を開始できるようにする。

 だが、SolarWindsへのハッキングが公になってから数日で公開された初期のレポートは、第2段階のペイロードが2種類あることを示唆していた。

 GuidepointSymantecPalo Alto Networksの各社は、攻撃者が.NETウェブシェル「SUPERNOVA」も埋め込んでいたことをレポートで報告していた。

 セキュリティ研究者らは、攻撃者がこのSUPERNOVAウェブシェルを使って、悪意のあるPowershellスクリプト(一部では「COSMICGALE」というコード名で呼ばれている)をダウンロードし、コンパイルして実行していたと考えた。

 しかし、Microsoftのセキュリティチームはその後の分析で、SUPERNOVAウェブシェルが最初の攻撃チェーンの一部ではなかったとの見解を明らかにした。

 そのため、インストールしたSolarWindsソフトウェアでSUPERNOVAが検出された企業は、このインシデントを別の攻撃とみなす必要がある。

 MicrosoftのセキュリティアナリストNick Carr氏もGitHubへの投稿で、SUPERNOVAウェブシェルが悪用される可能性はあるものの、最初のソフトウェアサプライチェーン攻撃との関連性は見られないとしている。

 このSUPERNOVAがSUNBURSTとTEARDROPを利用した攻撃チェーンに関連しているという誤解が生じたのは、SUPERNOVAがSUNBURSTと同じくOrionのDLLに偽装していたからだ。SUNBURSTはSolarWinds.Orion.Core.BusinessLayer.dllファイルに、SUPERNOVAはApp_Web_logoimagehandler.ashx.b6031896.dllファイルにそれぞれ埋め込まれていた。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]