SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Column

SolarWindsがSUNBURST攻撃の顛末を語る 教訓を活かした新たな施策とは

 昨年末、SolarWindsのソフトウェアを介した大規模なサプライチェーン攻撃が発生。政府関係機関から多数の大企業までが標的とされるなど、その影響の深刻さに世界中から注目が集まった。6月24日、SolarWindsはメディア向けの記者説明会を開き、SUNBURSTを利用したこの一連の攻撃に関する顛末と今後の対策などを説明した。

SUNBURSTの攻撃とは何だったのか

 記者説明会の冒頭、SolarWinds 最高情報セキュリティ責任者(CISO)兼セキュリティ担当バイスプレジデントを務めるティム・ブラウン(Tim Brown)氏から、SUNBURSTに関する説明が行われた。

 同社が提供する「Orion Platform」を利用する米政府機関をはじめ、多数のグローバル大企業に大きな影響を与えたSUNBURSTの脅威。SUNSPOTというツールを用いてSUNBURSTが注入(インジェクション)されるが、これは攻撃の初期段階で用いられるものだという。現時点では、Orion Platformのバージョン「2019.4 HF 5」、パッチが適用されていない「2020.2」および「2020.2 HF 1」にのみ影響することがわかっているとティム氏は述べる。

 では、SUNBURSTに関連して耳にするTEARDROP、RAINDROP、SUNSHUTTLE、GOLDMAXとは何なのか。SUNBURSTによる攻撃をステージ1とするのならステージ2に該当する攻撃であり、SUNBURSTのバックドアを利用して実際のペイロードを送り込むものだ。また、現時点でSUNBURSTの脅威に晒された企業数は、100社以下であることがわかっているという。

 SUNBURSTによる一連の攻撃に関して、現時点で把握できている一番初めの活動の痕跡が残ってるのは、2019年の1月。そして、同じ年の12月には、テストコードが注入され、翌年2月20日にSUNBURSTのコンパイルが行われ始めたとティム氏は語る。

SolarWinds 最高情報セキュリティ責任者(CISO)兼セキュリティ担当バイスプレジデント ティム・ブラウン(Tim Brown)氏

SolarWinds 最高情報セキュリティ責任者(CISO)兼 セキュリティ担当バイスプレジデント
ティム・ブラウン(Tim Brown)氏

 その後、SolarWindsがSUNBURSTに関する通知を2020年12月11日に受け取ると、今年5月7日まで捜査を続けたという。本捜査は、米連邦捜査局(FBI)や米サイバーセキュリティ・インフラセキュリティ庁(CISA)をはじめ、政府機関や国際機関と協力して実施された。ワークステーションやサーバーなどの捜査は、CrowdStrikeに依頼。他にも、KPMGやMicrosoftなどの企業、CISAの元責任者であるクリス・クレブス(Chris Krebs)氏、Facebookの元最高セキュリティ責任者を務めていたアレックス・スタモス(Alex Stamos)氏らもアドバイザーとして捜査に協力したという。

 これら一連の捜査を経てティム氏は、「5ヵ月にわたる緻密な捜査結果を受け、ユーザー保護を目的としてOrion Platformの新たなバージョンをリリースしています。これに関しては、コンパイル済みのリリースがソースコードと一致することを確認するための追加チェックを実施するだけでなく、新たなデジタルコード署名証明書による再署名も行っています。こうした対処により、影響を受けているビルドが実行されないようになりました」と説明する。

 また、今回影響を受けたと思われるユーザー向けに通知が行われただけでなく、保守契約を締結している場合には、「Orion Assistance Program」を無償提供。Orion Platformに関する専門のコンサルティングだけでなく、最新のリリースやホットフィックスへのアップグレードなどがサービスされるという。

 同最高収益責任者(CRO)を務めるデイビッド・ガーディナー(David Gardiner)氏は、「今回のSUBURSTに関連する一連の攻撃について対策を講じているため、現在のソフトウェアだけでなく今後リリースされるソフトウェアの実装も安全に行っていただけます。既に、グローバルの大企業や米政府機関も新しいソフトウェアを実装しています」と安全性を主張した。

次のページ
インシデントを教訓に安全性を強化

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Column連載記事一覧

もっと読む

この記事の著者

岡本 拓也(編集部)(オカモト タクヤ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/14576 2021/06/25 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング