SolarWindsのソフトウェアに対するサプライチェーン攻撃は、近年発生した中でも最大級のサイバー諜報攻撃の1つだった。このインシデントでは、ハッカーが米国の複数の連邦政府機関や大手IT企業に侵入し、発見されないまま数カ月にわたってネットワークの内部に潜み続けていた。
後に米当局が、この諜報活動を行った攻撃者はロシア政府の対外情報庁(SVR)の指示を受けたハッカーだと断定した。この攻撃は、ソフトウェア企業SolarWindsを標的にするという、予想外の方法で始まっている。ハッカーは同社のソフトウェア「Orion」のビルドへのアクセスを獲得し、2020年3~6月にかけて、SolarWindsの顧客に送信されるソフトウェアアップデートにマルウェアを潜ませていた。
Orionは世界中の数千の企業で使われている。一般に、セキュリティアップデートやパッチの適用は、ソフトウェアの脆弱性がサイバー攻撃に利用されるのを防ぐための対策としてよいことだと考えられており、世界中の企業が、自分たちが信頼する提供者から配信されたOrionのアップデートをインストールしていた。ところがその行為が、かえって攻撃者の侵入を許すことになった。
SolarWindsは、攻撃が明らかになった後の調査レポートで、「脅威アクターが新たな洗練された手口を用いたことは、早い段階で明らかになった。これは国家の指示を受けたアクターの関与を示しており、このことは、サプライチェーン攻撃を通じて行われたサイバー諜報の目的とも整合性が取れている。それに加えて、脅威アクターの運用上のセキュリティは非常に高度で、SolarWindsを攻撃しただけでなく、『Sunburst』の攻撃コードを利用して、いくつかの世界最高レベルの複雑な環境でも検知を回避する能力を持っていた」と述べている。
このサプライチェーン攻撃で被害を受けた組織の中には、米国政府の財務省、国土安全保障省、国務省のほか、MicrosoftやFireEye、Mimecastなどのサイバーセキュリティ企業も含まれていた。計100社前後の企業が標的となった。
攻撃者は、FireEyeとMicrosoftが自社のネットワークで侵入を発見した2020年12月までの間、数カ月にわたってネットワークの内部で活動していた。
