サイバーセキュリティ企業のFireEyeは米国時間1月19日、SolarWindsをハッキングした攻撃者が使用した技法について詳しくまとめたレポートを発表した。
提供:Getty Images/iStockphoto
また、このレポートと同時に、攻撃グループ(UNC2452とも呼ばれる)が使用した技法を検出することができる「Azure AD Investigator」と呼ばれるツールをGitHub上で無料で公開した。
レポートを発表したFireEyeは、MicrosoftやCrowdStrikeとともに、SolarWindsに対するサプライチェーン攻撃の調査を主導した企業だ。
SolarWindsの問題が発覚したのは、2020年12月13日のことだ。FireEyeとMicrosoftはこの日、SolarWindsのネットワークに攻撃グループが侵入し、同社のアプリケーションである「Orion」のアップデートデータに不正なコードが仕込まれていたことを明らかにした。
この「Sunburst(またはSolorigate)」と呼ばれるマルウェアは、感染した企業の情報を収集するために使用された。トロイの木馬化されたバージョンのOrionをインストールしていたSolarwindsの顧客は1万8000社あったが、攻撃グループはそのほとんどに何もしなかった一方で、一部の選ばれたターゲットに対して「Teardrop」と呼ばれる別のマルウェアを展開し、幾つもの技法を使って、ローカルネットワーク内のリソースと被害組織のクラウドリソースに対するアクセス権を昇格させた。その際には、特に「Microsoft 365」のインフラに対する攻撃に重点が置かれていた。
FireEyeは、この日発表した35ページに及ぶレポートで、攻撃の最初の段階で使用された技法に加え、一般的な企業が攻撃の検出、修復、堅牢化のために利用できる戦略について詳しく説明している。
「UNC2452は洗練された技術を持っており、その活動は捕捉しにくいが、使われていた技法は検出可能であり、防御可能だ」とFireEyeは述べている。
実際、FireEyeは、UNC2452が使用した技法を社内ネットワークで検出することに成功しており、それがきっかけで社内への侵入について調査を行い、そのことがSolarWindsのインシデントの発覚につながった経緯がある。
FireEyeが同日公開したものと同様のツールは、米サイバーセキュリティインフラストラクチャセキュリティ庁(「Sparrow」)やCrowdStrike(「CRT」)からもリリースされている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
