CISA、侵害検知ツールをリリース--SolarWindsハッキング事件受け

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2021-03-22 10:34

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間3月18日、オンプレミスのシステムを走査し、SolarWindsに対するサプライチェーン攻撃を実施した攻撃者の活動形跡を検出する新たなコマンドラインツールをリリースしたと発表した。

 このフォレンジックツールは、「CISA Hunt and Incident Response Program」の頭文字を取って「CHIRP」と名付けられている。

 CISAによると、「CHIRPはオンプレミス環境内における持続的標的型攻撃(APT)の形跡を走査する」としている

 CHIRPは、SolarWindsの「Orion」という広く用いられているネットワーク監視ソフトに関連付けられた侵害の形跡を探し出すよう設計されている。ハッカーらはOrionを通じて、SolarWindsのおよそ1万8000の顧客のシステムにバックドアを仕掛ける「SUNBURST」(または「Solorigate」)というマルウェアを配布したとされている。なお、Microsoftはその背後にいる脅威アクターらを「Nobelium」と呼んでおり、FireEyeは「UNC2452」という名称で同グループを追跡している。

 CISAは以前にも「Sparrow」という、CHIRPによく似たツールをリリースしている。Sparrowは「Microsoft Azure」や「Microsoft 365」の環境内において侵害されたアカウントやアプリケーションに対する攻撃者の活動を検出するツールだ。

 CISAは、CHIRPを用いて「Windows」のイベントログや「Windows Registry」を精査し、Windowsネットワークに残された痕跡を調査するとともに、「YARAルール」を適用してマルウェアやバックドア、インプラントを検出するよう推奨している。

 このツールには、イベントログやレジストリーキーを検索する複数のプラグインが搭載されている。また、過去に発出されたアラート「AA20-352A」(Orion)と「AA21-008A」(Microsoft 365/Azure環境)で確認された活動として、同機関が関連性を見出したセキュリティ侵害インジケーター(IoC)の一覧が記されたファイルも含まれている。

 トロイの木馬として悪用されたバージョンのOrionによって影響を受けたSolarWindsの1万8000の顧客のうち、ごく一部が「TEARDROP」という2つ目のマルウェアを配備するための標的となった。その後、攻撃者はMicrosoft 365のインフラ侵害を目的に、標的のクラウド環境内での活動を活発化させていった。

 CISAによると、CHIRPは現時点で以下の状況を検出しようとするという。

  • セキュリティリサーチャーらが特定したTEARDROPと「RAINDROP」というマルウェアの存在
  • クレデンシャルダンピングによる認証情報の取得行為
  • キャンペーンに関連付けられていると確認された特定の永続的メカニズム
  • システムやネットワーク、Microsoft 365のエニュメレーション
  • ラテラルムーブメント(ネットワーク内での横展開)を示唆する既知の観測可能な形跡

 Microsoftは最近、SUNBURSTバックドアによる侵入に関して、「Sibot」を含む新たな3種類のマルウェアに関する詳細を発表している。Sibotは、感染したマシン上での永続性を実現することで、遠隔地に置かれたコマンド&コントロール(C&C)サーバーからのペイロードのダウンロードと実行を支援するツールだ。

 CHIRPはコンパイル済みの実行可能ファイル、またはPythonスクリプトとしてGitHubから入手できる。

 FireEyeも1月に「Azure AD Investigator」という無料ツールをGitHubで公開している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]