世界的に広く利用されているネットワーク監視製品のサプライチェーンを攻撃することで実施された高度かつ大規模なサイバー攻撃について各方面で報じられており、当社でもそれらの攻撃を観測しています。この記事では攻撃で利用されたバックドア型マルウェア「Sunburst」の詳細および対策について説明します。
さまざまな情報筋が最近、サプライチェーンを経由して企業を狙う巧妙な攻撃事例を報じました。この事例では、SolarWinds社製ネットワーク監視アプリケーション「Orion」を侵害したサプライチェーン攻撃が行われました。攻撃者は、このアプリケーションによるアクセスを経由して、バックドア型マルウェア「Sunburst」を標的の端末へ感染させました。このバックドア型マルウェアにより、攻撃者は標的にした企業のネットワークに完全なアクセスが可能になります。
■「Sunburst」とは何か
「Sunburst」は巧妙な手口を備えたバックドア型マルウェアであり、端末に感染すると、攻撃者による完全な制御が可能になります。そして制御された際の動作にはいくつかの特徴が挙げられます。
このマルウェアは、実行される前にプロセス名ハッシュをチェックします。また、端末に最初に感染してから12日から14日程度経過しないと実行されない仕掛けが施されています。さらにActive Directoryに接続されている端末が実行される条件になっています。
そしてこのマルウェアは以下の形式のドメインを経由してコマンドアンドコントロール(C&C)サーバに接続します。
- <ランダムな文字列>.<サブドメイン>.avsvmcloud.com
サブドメインには以下の文字列のいずれかが当てはまります。
- appsync-api
- eu-west-1
- eu-west-2
- us-east-1
- us-east-2
目的の端末に感染すると、以下のような感染端末に関連する情報を収集し、さまざまなコマンドが実行可能になります。
- ドメイン名
- ネットワークインターフェース
- 稼働中のプロセス・サービス
- インストールされたドライバ
そして以下のようなコマンドが実行可能となります。
- レジストリ操作(レジストリキー/エントリの読み取り、書き込み、削除)
- ファイル操作(ファイルの読み取り、書き込み、削除)
- プロセスの実行/停止
- システムの再起動
■どのような企業や組織が影響受けるか
「Sunburst」 は ネットワーク監視アプリケーション「Orion」がトロイの木馬化したバージョンを介して配信されたと考えられています。SolarWinds社が米政府のセキュリティ機関へ提出した情報によると、攻撃者は不正なコードを正規コードになります形で挿入していたようです。このため、このソフトウェアをダウンロードするあらゆるユーザが感染被害のリスクにさらされていたことになります。ただし、不正なコードの挿入はビルドプロセスの一部として行われたもので、同社ソースコードのリポジトリは影響を受けませんでした。
さらに同情報によると、このトロイの木馬化されたバージョンは、2020年の3月から6月にかけて1万8,000人弱の顧客にダウンロードされたといいます。このバージョンの不正なコードが端末内に存在する場合、上述の動作が実行されます。現在、米国政府機関を含む複数の企業や組織が、この攻撃キャンペーンの影響を受けたと報告しています。
■あらゆる企業がサプライチェーン攻撃のリスクに直面
多くの標的型攻撃の最終目的は、国家機密や先端技術の窃取とみられており、それだけを聞くと一部の組織のみが標的になり得るように思われます。しかし、攻撃者は最終目的を達成するために、そこに繋がるサプライチェーンの中で、攻撃が成功しそうな箇所や、攻撃により大きな効果が得られそうな箇所など、あらゆる箇所を攻撃することがすでに知られています。特に今回狙われたネットワーク管理製品などのような、高い権限で動作したり、中央管理が可能な製品は、侵害をすることで高い効果が得られるため、狙われる傾向があります。また、ソフトウェアのアップデートを侵害する攻撃も、広範への攻撃を意図する場合には効果的であり、これまでも複数のケースが報告されています。
多くの組織が、サイバー攻撃者が関心を持つものに繋がるサプライチェーンの中に居ます。今回の件を含むこれまでのサプライチェーン攻撃の事例からの教訓として、あらゆる組織が、自組織がサプライチェーン攻撃を構成していると認識し、今一度防御が十分であるかを確認する必要があります。
■「Sunburst」の検出状況
Trend Micro Smart Protection Network (SPN) では12月16日17時点において、該当するマルウェアの多くが米国からフィードバックされていることを観測しています。一方、その他複数の国・地域での検出も観測しており、数は少ないですが日本からのフィードバックも含まれています。先述の感染経路を鑑みると、SPNで観測されている範囲外でも、世界的に多くの被害が発生していると考えられます。
.png)
図1:「Sunburst」の検出台数における国別割合(2020年12月16日17時時点)
■対応策
SolarWinds社は、自社のセキュリティアドバイザリを介して、影響を受けたすべての顧客に対し、直ちに不正なコードを含まないバージョンにアップデートするよう助言しています。同アドバイザリには該当する製品およびバージョンが記載されています。
これに加えて、米国土安全保障省は、米政府機関への指示として、同ソフトウェアを搭載した端末をオフラインにし、再構築が完了するまでネットワークに再接続しないように命じています。この指示で同省は、該当する端末を感染被害を受けたものと見なし、端末内の認証情報も変更する必要があるとしています。ネットワーク内でSolarWinds社製 Orionを使用している企業や組織も同様の対応を検討するべきでしょう。
■トレンドマイクロの対策
今回の攻撃キャンペーン等で利用された不正ファイルは、トレンドマイクロの製品では「Backdoor.MSIL.SUNBURST.A」および「Trojan.MSIL.SUPERNOVA.A」としてすでに検出対応しています。加えてドメイン「avsvmcloud.com」全体もブロックしています。今回の攻撃キャンペーンの影響を受けている可能性があると思われる場合には、以下のトレンドマイクロ製品を利用することで社内のネットワークやシステムを網羅的に調査し、被害の範囲を特定することができます。
個人向けのエンドポイント製品「ウイルスバスター クラウド」、法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「ファイルレピュテーション(FRS)」技術によるウイルス検出、機械学習型検出や挙動監視機能(不正変更監視機能)の組み合わせによる多層防御で既知の検体だけでなく、継続して登場する新たな亜種に対しても対応します。
ネットワーク監視ソリューション「Deep Discovery™ Inspector」の組織内ネットワークの通信監視により、侵入した脅威による不審な活動を早期に可視化することにより、迅速かつ適切な対応を可能にします。
統合型サーバセキュリティソリューション「Trend Micro Deep Security™」(オンプレミス管理型)および「Trend Micro Cloud One™ Workload Security」(クラウド管理型)は、幅広いセキュリティ機能で攻撃者の侵入を防ぎます。特に、仮想パッチ機能によって脆弱性を狙う攻撃からサーバを防御します。
トレンドマイクロ製品全般に組み込まれたクロスジェネレーション(XGen)セキュリティアプローチは、高度な機械学習型検索を活用しエンドポイントのデータとゲートウェイおよびアプリケーションを守ります。XGenは、従来の検出技術を回避し、既知、未知および未公開の脆弱性を突くなどの今日の目的に特化した脅威からユーザを保護します。
※調査協力:加唐 寛征 ( Cyber Threat Research Team)
■侵入の痕跡(Indicators of compromise)
今回の記事に関する侵入の痕跡はこちらを参照してください。
参考記事:
- 「Overview of Recent Sunburst Targeted Attacks」
by Trend Micro
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)
