Sudhakarによる5月7日付ブログ日本語訳ーサイバー攻撃の調査報告

By Sudhakar Ramakrishna

May 7, 2021 | Security SolarFocus

最近のサイバー攻撃は、ソフトウェア業界全体が直面している継続的な課題の一例です。これらの攻撃は、SolarWinds をはじめ、広く利用されているテクノロジー・プロバイダー、一般企業や団体のお客様にも向けられています。私たちが信頼しているテクノロジーを駆使したサプライチェーンやインフラを危険にさらし、混乱させようとする国家の関与が疑われる行為であることが明らかになっています。

弊社(SolarWinds)はこの経験を通して、透明性、官民のパートナーとの協力、情報の収集と検証、そして調査結果の共有を重要視してきました。この5ヶ月間、弊社は今回のサイバー攻撃の調査に膨大なリソースを投入し、専門家と協力して何テラバイトものデータを精査してきました。弊社自身はもちろんのこと、 弊社のお客様やその他の人々を将来にわたってより確実に守るために、国家レベルの攻撃者が用いたツール、方法、動機を明らかにすることを決意したからです。

第三者機関の専門家の協力を得て、この広範囲にわたる調査をほぼ完了させたところで、これまでの記事を補足するために、改めて調査結果をお知らせします。

お客様への影響に対する認識

 まず、今回の攻撃がお客様に与える影響についての弊社の認識についても、この場を借りてお話しいたします。弊社は今後も、「1社でも影響を受けたお客様がいれば、それは多すぎるのだ」という姿勢を貫きます。

 弊社はこれまで、お客様をサポートし、サイバーインシデントを封じ込め、解決し、復旧するために、徹底した努力を続けてきました。攻撃に関する情報を迅速に公開し、お客様に通知しました。また、影響を受けたバージョンのOrion Platformソフトウェアの修正プログラムを公開し、広くお客様へ、働きかけとサポートを行いました。また、お客様がOrion Platformソフトウェアをアップグレードできるよう、弊社の費用負担で第三者によるサポートもご提供しました。 

数多くのブログ記事、Webセミナー、TechPodポッドキャスト、インタビュー、その他の公式声明を通じて、サイバー攻撃をより深く理解し、自らを守ることができるよう、今回のサイバーインシデントとそこから得られた学びと対応についての実質的な情報を、お客様、そして業界全体に提供してきました。

弊社の調査及びお客様との会話から、SUNBURSTコードの標的となり影響を受けたお客様の数は、潜在的に脆弱性のあるお客様の数よりもかなり少ないと弊社では考えています。調査の初期段階では、影響を受けたOrion Platform製品の特定のバージョンをダウンロードしたお客様の総数から、最大18,000人の顧客がSUNBURSTの影響を受けた可能性があると報告しました。残念なことに、この数字がSUNBURSTを通じて脅威者が実際にハッキングした顧客の数として誤って報道されているのも目にしました。

現在、SUNBURSTを通じてハッキングされたお客様の実際の数は、100社未満と推定しています。この最大18,000件のダウンロードグループには、悪意のあるコードが脅威行為者のコマンド&コントロールサーバーにアクセスできなかったためにSUNBURSTの影響を受けなかった2つのグループが存在することにご留意ください。それは、(1)ダウンロードしたバージョンをインストールしなかったお客様、(2)影響を受けるバージョンをインストールしたが、インターネットにアクセスできないサーバーにのみインストールしたお客様です。3つ目のグループである、影響を受けたサーバーがインターネットにアクセスしているお客様の中で、サンプルのDNSデータから、脅威行為者が展開したコマンド&コントロール・サーバーで何らかの活動が見られたのは、ごく一部に過ぎないと考えています。同じDNSデータを統計的に分析した結果、脅威の行為者と通信したサーバーを持つ顧客は100社未満であると考えられます。この情報は、米国の政府機関やその他の研究者による推定値と一致しており、今回の攻撃が高度に標的化されたものであるという推定にも合致しています。

Orion Platform のサプライチェーン攻撃

初期の調査では、弊社のOrion Platformソフトウェア製品が侵害されたことと、その攻撃の性質を理解することに注力しました。その段階で明らかになったのは、脅威の行為者が、サプライチェーン攻撃によるサイバースパイを目的とした、国家レベルの関与を示す斬新で高度な技術を採用していたということです。さらに、この脅威主体の運用セキュリティは非常に高度で、弊社を攻撃しただけでなく、SUNBURSTの悪意のあるコードを利用して、世界で最も複雑な環境でも検知されないようにしていました。

弊社は、調査の過程で、以下のことを発見しました:

  • 脅威行為者は、弊社のソースコードリポジトリを変更していません。悪意のある行為は、弊社のOrion Platformソフトウェアの自動ビルド環境で発生しました。脅威行為者は、調査で発見した新規のSUNSPOTコードインジェクターを使用して、SUNBURSTの悪意のあるコードをOrion Software Platformのビルドにのみ密かに注入しました。ビルド操作の詳細については、1月11日付のブログで公開しています。また、調査パートナーであるCrowdStrike社と共同で、SUNSPOTに関する詳細な情報を公開し、業界全体をSUNSPOTから保護することに努めています。
  • 脅威行為者は、2020年3月から6月の間にリリースされた幣社のOrion Software Platformのビルドに実際にSUNBURSTの注入を開始する数か月前の2019年10月に、Orion Software Platformソフトウェアのビルドにコードを注入するテストを実行していました。
  • 幣社は、Orion Platform以外の70以上の製品やツールにSUNBURSTを確認していません。

共有のIT環境に関する活動

弊社は、最初の侵入経路として最も可能性が高いのは以下の3つだと考えていますが、この3つに限定したわけではありません。また、最初のアクセスが既知の未パッチの脆弱性を介したものである可能性は排除しています。

  • サードパーティ製のアプリケーションやデバイスのゼロデイ脆弱性。
  • パスワードスプレー攻撃などのブルートフォース攻撃、もしくは
  • ターゲットを絞ったフィッシング攻撃などのソーシャルエンジニアリング

脅威行為者がいつ、どのようにして弊社の環境に初めてアクセスしたのかは正確にはわかりませんが、弊社の調査では、2019年10月にテストランを開始する前の少なくとも9カ月間、脅威行為者が弊社のソフトウェア開発環境およびMicrosoft Office 365環境を含む社内システムに持続的にアクセスすることで、認証情報を侵害し、目的を遂げるために調査・監視を行っていたという証拠が発見されました。残念なことではありますが、脅威となる行為者が数カ月から数年にわたって標的となる環境にいることがあり得るのだと弊社は自らの経験から学びました。このことは、透明性とコラボレーションの必要性をさらに強調するものであり、お互いの経験や知識を共有することで、我々は利益を得ることができるのです。

また、脅威主体が調査・監視の一環として特定の情報を流出させたと思われる証拠を発見しました。この証拠には次のようなものがあります:

  • この脅威行為者は、Orion PlatformソフトウェアおよびOrion以外の製品のソースコードが含まれていると思われるファイルを作成し、移動させました。しかし、これらのファイルの実際の内容を特定することはできていません。
  • この脅威行為者は、弊社のお客様向けポータルに関連するデータが含まれていた可能性のあるファイルを含む、追加のファイルを作成して移動しました。ファイルの実際の内容を特定することはできていませんが、お客様向けポータルのデータベースに含まれる情報には、クレジットカード、社会保障番号、パスポートの詳細、銀行口座番号などの非常に機密性の高い個人情報は含まれておらず、顧客名、電子メールアドレス、請求先住所、暗号化されたポータルのログイン認証情報、ソフトウェアをダウンロードするIPアドレス、登録されているOrionサーバーのMACアドレスなどの情報が含まれています。
  • 脅威の行為者は、特定の担当者の電子メールアカウントにアクセスし、その中には現在または過去の従業員やお客様に関する情報が含まれていました。現在、これらのアカウントの電子メールに含まれるすべての個人情報を特定する作業を行っており、影響を受ける個人やその他の関係者に適切な通知を行う予定です。
  • 脅威の行為者は、ファイルをジャンプサーバーに移動させましたが、これは弊社の環境からファイルを流出させることを目的としたものであると考えています。

復旧に関する活動

パートナーであるKPMGとCrowdStrikeとともに、政府機関と連携して、サイバーインシデントの調査、封じ込め、根絶、復旧のための幅広い対策を実施しました。CrowdStrike社は、弊社の環境をマクロレベルで分析し、同社のFalcon技術をはじめとする脅威探索ツールを導入して、不審な活動に対する継続的な監視を行いました。KPMGのフォレンジックチームは、ミクロレベルの分析を行い、ビルド環境の詳細な検査や、追加のフォレンジックと分析を行いました。この分析には、過去のファイアウォールログ、アクセスコントロールログ、SIEMイベントなど、さまざまな成果物の調査が含まれます。現時点では、このプロセスは実質的に完了しており、この脅威主体は弊社の環境で活動してはいないと考えています。

弊社の今後: Secure by Design

今回の攻撃について学んだことを踏まえ、弊社は、ソフトウェア開発をサイバー攻撃から守る業界のリーダーとなることに注力しています。業界の専門家と協力して、弊社の製品や環境をさらに強化し、このような攻撃や他の種類の攻撃から保護するためのセキュリティ対策を実施しています。弊社は以下の方法で環境とシステムの安全性を高めています:

  • より強力で効果のあるエンドポイントプロテクションにアップグレードする
  • データ損失防止ソリューションを強化し、低レベルで少しずつ漏洩させる行為を適切に検出するセキュリティ・オペレーション・センターを拡張し、ネットワーク全体の可視化と脅威の捕捉を向上させる、さらに
  • ファイアウォールのポリシーを強化し、端末間(east-west)のトラフィックをさらに制限する

さらに、弊社はゼロトラストと最小特権のアクセスメカニズムを採用しています:

  • 最小特権ポリシーを全従業員へと拡大し、一貫性のある実施を徹底する
  • IT環境の外部インターフェースを制限する
  • IT環境全体で多要素認証を拡大し、厳格に実施する。また、すべての管理者アカウントに対する特権アクセスマネージャーの使用を拡大し、監査を実施する

また、サードパーティのアプリケーションへのアクセスに関連するリスクに対処するために、以下の取り組みを行っています:

  • IT環境内のすべてのSaaSツールの継続的な監視と検査を強化する
  • IT環境内のすべてのツールの設定と実装がベストプラクティスに沿っていることを確認する
  • すべてのアカウントを見直し、すべてのパスワードを更新し、条件付きアクセスのレベルを上げる
  • すべてのベンダーに対する調達前のセキュリティレビューを強化する

さらに、SUNSPOTやSUNBURSTで発生したような挿入や変更がビルドプロセス中に発生しないように、製品コードの安全性と完全性を確保するために、自動ビルドプロセスの再設計を大幅に進めました。以下の図は、この新しいビルドプロセスの仕組みを表してします:

これらの保護措置に加えて、弊社では、3つの異なる環境で、異なるビルドシステムを使用し、異なるユーザー認証情報用いてソフトウェアのビルドを行っています。これらの環境でビルドの完全性をチェックし、危険性を特定して対処しています。このようにして、脅威が接触する可能性のある表面を変えて、シフトさせることで、脅威の行為者が、権限が重複しない複数の異種環境で攻撃を再現しなければ成功できないようにしています。

弊社は、標準的で安全な開発ライフサイクルのアプローチを採用しています。これには、要件分析、セキュアな開発、セキュリティ・テスト、リリース、応答が含まれます。このプロセスの一環として、Checkmarxによる静的コード解析、Whitesourceによるオープンソースの発見・解析、Burpsuiteによる内部PENテストを経て、最終的なセキュリティレビューを行います。

ビルドのプロセスに加えて、ビジネスクリティカルな資産が特定、追跡され、定期的にレビューされます。また、各資産に対してセキュリティ管理を定義します。

今回の攻撃について学んだことを共有することにより、弊社のお客様だけでなく、広くIT業界にも貢献したいと考えています。 IT業界における共通の開発手法や、透明性と協力関係こそが将来の攻撃を防ぎ、保護するための最善の手段であるとの信念からです。また、今回の攻撃は、外部の国家が悪意のある目標を達成するためにどれだけのことをするかを表すものであり、重要なシステムやインフラを保護するために産業界や公的機関が協力する必要性があると言えましょう。

SolarWinds は、安全なソフトウェア環境、開発プロセス、製品のモデルとなるような、業界全体の取り組みをリードする機会を与えられたと考えています。これらの取り組みや投資は、高機能で安全、導入しやすい価格帯のソリューションを提供するクラス最高のプロバイダーになるという弊社の目標に合致するものなのです。