ソーラーウィンズのネットワーク監視ソフトウェアに挿入されたバックドアが英国の公共部門に及ぼす影響について懸念が高まっている。英国政府各省庁は、ロシアのスパイが英国の機関にアクセスしたかどうかについて、口を閉ざす姿勢を貫いている。
The Registerが今朝未明に報じたところによると、SolarWinds の Orion Windows 監視プラットフォームのダウンロード ページが、APT29 (別名 Cozy Bear) として知られるクレムリンのハッカーによって改変され、被害者がリモート コントロールのバックドアを組み込んだ改ざんされたバージョンを取得してインストールしたようです。
この悪意あるコードはFireEyeによって詳細が明らかにされており、FireEye自身も、このコードは以前に国家レベルの犯罪者によってハッキングされたと述べています。Orionのハッキングによる被害者には、米国政府の財務省と商務省が含まれていると言われています。FireEyeも不正なOrionのインストールによってハッキングされたかどうかは、現時点では明らかではありません。
The Registerの調査によると、SolarWinds の Orion は、内務省や国防省から NHS の病院や団体、さらには地方自治体の議会に至るまで、英国の公共部門で幅広く使用されていることが分かりました。
国防省のコーシャム技術バンカーの求人広告には、第3ラインのソフトウェア サポート エンジニアが使用するツールの 1 つとして SolarWinds が記載されています。同様に、5 月に掲載された国防省の防衛装備支援局のネットワーク設計エンジニアの求人でも、SolarWinds の熟練度が「あればよい」スキルとして挙げられています。
SolarWindsの英国顧客リストは、同社が発表したマーケティングプレゼンテーションから抜粋したものです。クリックすると拡大します。
SolarWindsの製品は英国海軍と英国空軍で定期的に使用されており、英国政府通信本部(GCHQ)、内閣府、法務省も顧客に含まれています。最も懸念されるのは、同社のパンフレット[PDF]に、英国国防省の防衛装備支援局(DE&S)もSolarWindsの顧客であると記載されていたことです。DE&Sは、英国のハイテク戦闘機、潜水艦、軍艦の保守を担当する機関です。
地方自治体も嵐の可能性に直面
地方自治体レベルでは、ロンドンのブレント、ルイシャム、サザークの3つの行政区が共同バックエンドIT事業の一環としてSolarWinds Orionを使用しています。7月の会議議事録[PDF]には、「このサービスは、当初はネットワークインフラストラクチャ向けにSolarWinds監視製品Orionを標準化しましたが、今後はサーバーコンピューティングやストレージなどの他の主要コンポーネントにも拡張される予定です」と記されています。
全国の他の議会もこの製品を使用しており、国立サイバーセキュリティセンター(NCSC)は、この製品を使用する組織に対して、「これらのインスタンスをファイアウォールの背後にインストールし、インスタンスのインターネットアクセスを無効にし、ポートと接続を極めて必要なものだけに制限する」ようにアドバイスしています。
しかし、政府機関はハッキングに関するEl Regの質問を無視し、NCSCの公式声明を参照するように指示した。その声明では、NCSCは単に「この事件に関してFireEyeおよび国際パートナーと緊密に協力している」と述べているだけだった。
マイクロソフトは、SolarWindsの侵害に関する詳細な技術ブログを公開し、ロシア人が「SolarWindsの内部ビルドまたは配布システムに侵入し、SolarWinds.Orion.Core.BusinessLayer.dllというファイル名の正規のSolarWindsライブラリにバックドアコードを埋め込み」た可能性があると推測しています。同社はSolarWindsの顧客に対し、「環境のセキュリティを確保するために、できるだけ早く」Orion Platformバージョン2020.2.1 HF 1にアップグレードするよう強く勧告しています。
マイクロソフトといえば、ソーラーウィンズは米国証券監督当局への提出書類[PDF]の中で、Office 365のメールおよび生産性向上スイートのアカウントがハッキングされ、ダウンロードデータがひそかに改ざんされた可能性があると述べている。また、ソーラーウィンズは30万人以上の顧客のうち、最大1万8000人が不正なOrionアップデートをインストールしたと発表しており、米国政府機関の中でも国土安全保障省などが含まれているとされている。
普段は活発なサイバーセキュリティ業界は、FireEyeへのハッキングについて事実上沈黙を守っている。The Register紙の情報筋によると、小規模な企業は業界最大手の一社を批判しているように見えることを恐れているためだろうという。一方、NCSCがハッキングに関する一切の質問に回答を拒否していることは、その影響が当局が認めたい以上に大きい可能性を示唆している。
軌道から核攻撃する
米国政府のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は日曜の夕方、政府機関による即時IT封鎖、具体的にはOrionを実行しているものすべてを停止するよう求める緊急指令を出した。
指令では、「影響を受ける機関は、SolarWinds Orion製品(バージョン2019.4から2020.2.1 HF1)をネットワークから直ちに切断するか、電源を切る必要がある」と述べられている。
「CISA が影響を受ける組織に Windows オペレーティング システムを再構築し、SolarWinds ソフトウェア パッケージを再インストールするように指示するまで、機関は Windows ホスト OS をエンタープライズ ドメインに (再) 参加させることが禁止されます。」
さらに、アンクルサムのIT管理者は、「 SolarWinds Orionソフトウェアのあらゆるバージョンがインストールされている」マシンからのすべての受信トラフィックと送信トラフィックをブロックし、新しいユーザーまたはサービスアカウントのフォレンジック分析を実施し、疑わしい動作を探すためにネットワークログを分析するように指示されています。
CISAはまた、サーバーに問題がないようでも、管理者は「SolarWinds Orion監視ソフトウェアによって監視されているすべてのホストを脅威アクターによって侵害されているものとみなし、さらなる永続化メカニズムが展開されていると想定する」必要があると警告した。®
