編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内

FireEye、SolarWindsインシデントの詳細を公開--対策ツールも提供

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2021-01-20 12:52

 サイバーセキュリティ企業のFireEyeは米国時間1月19日、SolarWindsをハッキングした攻撃者が使用した技法について詳しくまとめたレポートを発表した

セキュリティ
提供:Getty Images/iStockphoto

 また、このレポートと同時に、攻撃グループ(UNC2452とも呼ばれる)が使用した技法を検出することができる「Azure AD Investigator」と呼ばれるツールをGitHub上で無料で公開した。

 レポートを発表したFireEyeは、MicrosoftやCrowdStrikeとともに、SolarWindsに対するサプライチェーン攻撃の調査を主導した企業だ。

 SolarWindsの問題が発覚したのは、2020年12月13日のことだ。FireEyeとMicrosoftはこの日、SolarWindsのネットワークに攻撃グループが侵入し、同社のアプリケーションである「Orion」のアップデートデータに不正なコードが仕込まれていたことを明らかにした。

 この「Sunburst(またはSolorigate)」と呼ばれるマルウェアは、感染した企業の情報を収集するために使用された。トロイの木馬化されたバージョンのOrionをインストールしていたSolarwindsの顧客は1万8000社あったが、攻撃グループはそのほとんどに何もしなかった一方で、一部の選ばれたターゲットに対して「Teardrop」と呼ばれる別のマルウェアを展開し、幾つもの技法を使って、ローカルネットワーク内のリソースと被害組織のクラウドリソースに対するアクセス権を昇格させた。その際には、特に「Microsoft 365」のインフラに対する攻撃に重点が置かれていた。

 FireEyeは、この日発表した35ページに及ぶレポートで、攻撃の最初の段階で使用された技法に加え、一般的な企業が攻撃の検出、修復、堅牢化のために利用できる戦略について詳しく説明している。

 「UNC2452は洗練された技術を持っており、その活動は捕捉しにくいが、使われていた技法は検出可能であり、防御可能だ」とFireEyeは述べている。

 実際、FireEyeは、UNC2452が使用した技法を社内ネットワークで検出することに成功しており、それがきっかけで社内への侵入について調査を行い、そのことがSolarWindsのインシデントの発覚につながった経緯がある。

 FireEyeが同日公開したものと同様のツールは、米サイバーセキュリティインフラストラクチャセキュリティ庁(「Sparrow」)やCrowdStrike(「CRT」)からもリリースされている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]