編集部からのお知らせ
記事まとめ「テレワーク常態化で見えたこと」
新着記事まとめ:経産省のDX本気度とは?

CISA、侵害検知ツールをリリース--SolarWindsハッキング事件受け

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2021-03-22 10:34

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間3月18日、オンプレミスのシステムを走査し、SolarWindsに対するサプライチェーン攻撃を実施した攻撃者の活動形跡を検出する新たなコマンドラインツールをリリースしたと発表した。

 このフォレンジックツールは、「CISA Hunt and Incident Response Program」の頭文字を取って「CHIRP」と名付けられている。

 CISAによると、「CHIRPはオンプレミス環境内における持続的標的型攻撃(APT)の形跡を走査する」としている

 CHIRPは、SolarWindsの「Orion」という広く用いられているネットワーク監視ソフトに関連付けられた侵害の形跡を探し出すよう設計されている。ハッカーらはOrionを通じて、SolarWindsのおよそ1万8000の顧客のシステムにバックドアを仕掛ける「SUNBURST」(または「Solorigate」)というマルウェアを配布したとされている。なお、Microsoftはその背後にいる脅威アクターらを「Nobelium」と呼んでおり、FireEyeは「UNC2452」という名称で同グループを追跡している。

 CISAは以前にも「Sparrow」という、CHIRPによく似たツールをリリースしている。Sparrowは「Microsoft Azure」や「Microsoft 365」の環境内において侵害されたアカウントやアプリケーションに対する攻撃者の活動を検出するツールだ。

 CISAは、CHIRPを用いて「Windows」のイベントログや「Windows Registry」を精査し、Windowsネットワークに残された痕跡を調査するとともに、「YARAルール」を適用してマルウェアやバックドア、インプラントを検出するよう推奨している。

 このツールには、イベントログやレジストリーキーを検索する複数のプラグインが搭載されている。また、過去に発出されたアラート「AA20-352A」(Orion)と「AA21-008A」(Microsoft 365/Azure環境)で確認された活動として、同機関が関連性を見出したセキュリティ侵害インジケーター(IoC)の一覧が記されたファイルも含まれている。

 トロイの木馬として悪用されたバージョンのOrionによって影響を受けたSolarWindsの1万8000の顧客のうち、ごく一部が「TEARDROP」という2つ目のマルウェアを配備するための標的となった。その後、攻撃者はMicrosoft 365のインフラ侵害を目的に、標的のクラウド環境内での活動を活発化させていった。

 CISAによると、CHIRPは現時点で以下の状況を検出しようとするという。

  • セキュリティリサーチャーらが特定したTEARDROPと「RAINDROP」というマルウェアの存在
  • クレデンシャルダンピングによる認証情報の取得行為
  • キャンペーンに関連付けられていると確認された特定の永続的メカニズム
  • システムやネットワーク、Microsoft 365のエニュメレーション
  • ラテラルムーブメント(ネットワーク内での横展開)を示唆する既知の観測可能な形跡

 Microsoftは最近、SUNBURSTバックドアによる侵入に関して、「Sibot」を含む新たな3種類のマルウェアに関する詳細を発表している。Sibotは、感染したマシン上での永続性を実現することで、遠隔地に置かれたコマンド&コントロール(C&C)サーバーからのペイロードのダウンロードと実行を支援するツールだ。

 CHIRPはコンパイル済みの実行可能ファイル、またはPythonスクリプトとしてGitHubから入手できる。

 FireEyeも1月に「Azure AD Investigator」という無料ツールをGitHubで公開している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]