ニュース 2021.01.07 米連邦政府機関やトップ企業に、春から潜んでいたマルウェア「SUNBURST」
米CISA(Cybersecurity and Infrastructure Security Agency)は、12月17日(米国時間)、米テキサス州のソフトウェア会社SolarWinds社が提供するネットワーク管理ソフト「Orion Platform」が、政府機関などへのサイバー攻撃に悪用されているとしてセキュリティアラートを公開した。
アラートによれば、サイバー犯罪グループは Orion Platform のアップデートをトロイの木馬化して企業や政府のネットワークを攻撃しており、3月には、すでに攻撃が始まっていたとみられる。
CISAなどの詳しい調査によれば、ハッカー集団は、Orionプラットフォームの複数のバージョンに「SUNBURST」を仕込み、マルウェアに感染した企業のネットワークにそのまま12~14日静かに待機した後、ネットワーク環境に関する情報を収集。遠隔でデータをコマンド&コントロールサーバーに送信していたという。
大規模なサイバー攻撃の調査は長期化へ
SolarWindsによれば、今回のマルウェア「SUNBURST」に感染したバージョンのOrionプラットフォームをダウンロードしていたのは、30万に及ぶ顧客組織の半分以上にあたる最大1万8000の組織。
米連邦政府では、国務省、財務省、商務省、国土安全保障省、エネルギー省、そして、国立衛生研究所の6つの機関がハッキングされていた。
また、複数のセキュリティ研究者が「SUNBURST」に感染した可能性がある100~280に上る組織リストを公開しており、大企業では、Cisco、SAP、Intelなどの名前が挙がっている。
Bloombergの取材によれば、ハッカー集団の技術は高く、複雑で手が混んでいるため、被害の調査は困難を極めると考えられており、何カ月にも及ぶ可能性もあるとした。
【関連リンク】
・SolarWinds製品を悪用した攻撃、感染したとみられる組織のリストが公開(CNET)
https://japan.cnet.com/article/35164197/
・Hackers’ Monthslong Head Start Hamstrings Probe of U.S. Breach(Bloomberg)
https://www.bloomberg.com/news/articles/2020-12-18/hackers-lurking-in-networks-for-months-snarl-solarwinds-probes?sref=P6Q0mxvj
TEXT:セキュリティ通信 編集部
PHOTO:iStock