SUNBURSTの攻撃とは何だったのか
記者説明会の冒頭、SolarWinds 最高情報セキュリティ責任者(CISO)兼セキュリティ担当バイスプレジデントを務めるティム・ブラウン(Tim Brown)氏から、SUNBURSTに関する説明が行われた。
同社が提供する「Orion Platform」を利用する米政府機関をはじめ、多数のグローバル大企業に大きな影響を与えたSUNBURSTの脅威。SUNSPOTというツールを用いてSUNBURSTが注入(インジェクション)されるが、これは攻撃の初期段階で用いられるものだという。現時点では、Orion Platformのバージョン「2019.4 HF 5」、パッチが適用されていない「2020.2」および「2020.2 HF 1」にのみ影響することがわかっているとティム氏は述べる。
では、SUNBURSTに関連して耳にするTEARDROP、RAINDROP、SUNSHUTTLE、GOLDMAXとは何なのか。SUNBURSTによる攻撃をステージ1とするのならステージ2に該当する攻撃であり、SUNBURSTのバックドアを利用して実際のペイロードを送り込むものだ。また、現時点でSUNBURSTの脅威に晒された企業数は、100社以下であることがわかっているという。
SUNBURSTによる一連の攻撃に関して、現時点で把握できている一番初めの活動の痕跡が残ってるのは、2019年の1月。そして、同じ年の12月には、テストコードが注入され、翌年2月20日にSUNBURSTのコンパイルが行われ始めたとティム氏は語る。
その後、SolarWindsがSUNBURSTに関する通知を2020年12月11日に受け取ると、今年5月7日まで捜査を続けたという。本捜査は、米連邦捜査局(FBI)や米サイバーセキュリティ・インフラセキュリティ庁(CISA)をはじめ、政府機関や国際機関と協力して実施された。ワークステーションやサーバーなどの捜査は、CrowdStrikeに依頼。他にも、KPMGやMicrosoftなどの企業、CISAの元責任者であるクリス・クレブス(Chris Krebs)氏、Facebookの元最高セキュリティ責任者を務めていたアレックス・スタモス(Alex Stamos)氏らもアドバイザーとして捜査に協力したという。
これら一連の捜査を経てティム氏は、「5ヵ月にわたる緻密な捜査結果を受け、ユーザー保護を目的としてOrion Platformの新たなバージョンをリリースしています。これに関しては、コンパイル済みのリリースがソースコードと一致することを確認するための追加チェックを実施するだけでなく、新たなデジタルコード署名証明書による再署名も行っています。こうした対処により、影響を受けているビルドが実行されないようになりました」と説明する。
また、今回影響を受けたと思われるユーザー向けに通知が行われただけでなく、保守契約を締結している場合には、「Orion Assistance Program」を無償提供。Orion Platformに関する専門のコンサルティングだけでなく、最新のリリースやホットフィックスへのアップグレードなどがサービスされるという。
同最高収益責任者(CRO)を務めるデイビッド・ガーディナー(David Gardiner)氏は、「今回のSUBURSTに関連する一連の攻撃について対策を講じているため、現在のソフトウェアだけでなく今後リリースされるソフトウェアの実装も安全に行っていただけます。既に、グローバルの大企業や米政府機関も新しいソフトウェアを実装しています」と安全性を主張した。