SolarWinds製品のハッキングは2019年9月から--調査で判明

ZDNET Japan Staff

2021-01-12 13:23

 米SolarWindsの社長 最高経営責任者(CEO)を務めるSudhakar Ramakrishna氏は、現地時間1月11日に公開したブログで、同社のネットワーク管理製品に対するハッキング行為が少なくとも2019年9月から行われていたことを明らかにした。専門家らと引き続き調査を進めているという。

 この事件では、ネットワーク管理製品「Orion Platform」にバックドア型のマルウェア「SUNBURST」が埋め込まれ、同製品を利用する1万8000以上がサイバー攻撃者に侵害された恐れがあり、米司法省などがロシア政府の関与を指摘している。攻撃の踏み台にされたSolarWindsは、CrowdStrikeやKPMGなどとの専門家チームで、製品が侵害された経緯などの調査を進めている。

 Ramakrishna氏によれば、SUNBURSTはセキュリティシステムによる検出を回避するために、複雑で高度な設計がなされているという。調査では攻撃者が、密かにSolarWindsのソフトウェア開発やビルドプロセスを侵害し、検知を回避しながらマルウェアをユーザー環境に送り込むまでの経緯が見えてきたという。

 攻撃者は、まず2019年9月4日にSolarWindsに不正侵入し、同12日から11月4日まで約2カ月を費やして不正コードの挿入といった攻撃手法を試した。SUNBURSTは、2020年2月20日に製品へ密かに組み込まれてユーザーに展開された。攻撃者は同6月4日に、侵入先の仮想サーバーからマルウェアの痕跡を消し去ったという。SolarWindsは、2020年12月12日にSUNBURSTを認識し、現在までユーザーへの告知や関係当局との連携や調査、製品の修正などを進めてきた。

攻撃の時系列(出典:SolarWinds)
攻撃の時系列(出典:SolarWinds)

 CrowdStrikeも同日公開したブログで調査の状況を説明。攻撃者は、SolarWinds製品にSUNBURSTを埋め込むために、「SUNSPOT」という別のマルウェアを用いていたことが分かった。SUNSPOTには、製品開発プロセスを監視する機能などがあり、攻撃者の行為によって開発プロセスに影響が出た場合でも検知されるのを防ぐ仕掛けも組み込まれていた。攻撃者は、SUNSPOTを用いて製品の開発プロセスに密かに変更を加え、SUNBURSTを埋め込んだとされる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]