SolarWindsのサイバー攻撃に関する緊急注意喚起

2020年12月25日

一般社団法人コンピュータソフトウェア協会(CSAJ)
セキュリティ委員会/Software ISAC

　2020年12月13日に米国のセキュリティベンダーFireEye社は、 SolarWinds社の商用アプリケーションを利用した極めて高度なサイバー攻撃が発見されたと発表しました。
　この攻撃は極めて巧妙で2019年12月から始まり、長期間に渡って社内情報やクラウドの電子メール、ストレージから情報を窃取していたことが判明しています。
　同様の攻撃が日本国内でも発生しうる可能性が高いと判断し、緊急注意喚起を行います。

攻撃の手順

1.攻撃者はSolarWinds社の開発環境に侵入しました。
2.続いて、密かに同社のIT資産監視・管理ソフトであるOrion Platformのプログラムの一部を改ざんし、外部の悪意のあるサーバーとの通信を行うSunburstと呼ばれるプログラム（バックドア）を取り付けました。
3.SolarWinds社はバックドアの取り付けに気が付かず、正規のアップデートパッケージとして電子署名を行い同社の顧客にアップデートを配布しました。
4,顧客がアップデートをインストールすると、SunbrustはOrion Platformの通信を偽装して、外部の悪意あるサーバーからさまざまなマルウェアをダウンロードします。キーストロークを窃取し、ネットワーク内で水平展開を試み、特権昇格を行います。
5,また、組織内の認証情報を利用してクラウドサービスの認証連携を行うシングルサインオンのシステムも攻撃されており、クラウド上の電子メール、ストレージの情報も窃取していることが確認されています。

これにより、同社の顧客である米国政府、企業で幅広い情報漏洩が発生しています。

攻撃の悪性

　この攻撃は1年以上発覚しておらず長期間に渡って悪意のある情報窃取を続けていました。
　また、SolarWinds社の製品を使用していない企業でも、SolarWinds攻撃と同じ戦術、技術、手順で感染した組織があることも明らかになっています。
　これは、攻撃者が他の製品に対して同様のサプライチェーン攻撃を利用している可能性があることを示しています。

アクションすべき事項

　この攻撃は対岸の火事ではなく、すでに日本国内でも同様の手法が使われている可能性があり、場合によっては自社の開発環境が汚染されている可能性があります。

1.経営者はこの攻撃が世界中で発生している可能性を認識し、社内とサプライチェーンに対して、セキュリティの強化を呼びかけて下さい。
2.開発責任者とセキュリティ担当者、システム管理者の方は、至急、以下の項目をチェックして下さい。

• C&Cサーバーである avsvmcloud[.]com との通信の調査（サブドメインは後述のリンクを参照）
• IPアドレス: 20.140.0[.]1 (2020/12/25現在)
• 不正なアカウントが作成されていないかの調査（海外のIPからのアクセス等）
• 多数のログオン失敗がないかの調査（RDP、クラウドを含む）
  　　（Windowsの場合、セキュリティログ Event ID 4625の多数の存在）
• SolarWinds社の製品を導入している場合は、次のリンクから、掲載されているプログラムの存在をチェックする。
  　　https://gist.github.com/KyleHanslovan/0c8a491104cc55d6e4bd9bff7214a99e

　万一、通信が確認された場合は、以下の措置を講じ、至急、CSAJ宛てにご連絡ください。Software ISACが防除に協力します。

• avsvmcloud[.]comと通信しているシステムからネットワーク接続（イーサネットケーブルやWi-Fiなど）をすべて外します。
• ネットワークデバイス（ファイアウォールやスイッチなど）を介してavsvmcloud[.]comとの間の通信を遮断します。フォレンジック調査のため、電源は遮断しないでください。
• Note PCの場合、パーソナルファイアーウォールで20.140.0[.]1との通信を遮断します。
• 企業全体のすべての資格情報をリセットします。
• 管理者を含むすべてのユーザー、すべてのSSH鍵、すべての電子証明書、クラウド管理者の資格情報、SPNなど、ソースコードに攻撃がないか、すべての情報資産の調査を行います。
• 攻撃は長期間に渡っていることから、過去のバックアップや仮想スナップショットも侵害されていることを想定して下さい。

参考リンク

• SolarWindsハッキング事件について現在までわかっていること
  　https://www.gizmodo.jp/2020/12/what-we-know-so-far-about-the-solarwinds-hacking-scandal.html
• FireEye初期分析
  　https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
• Yaraルール、Snortルール、ハッシュ、その他のIOCを含むFireEye GitHub
  　https://github.com/fireeye/sunburst_countermeasures
• VOLEXITYの分析
  　https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/
• IOCによるサプライチェーンの侵害に関するCiscoTalosの分析
  　https://blog.talosintelligence.com/2020/12/solarwinds-supplychain-coverage.html
• SunBurstのマカフィー分析
  　https://www.mcafee.com/blogs/other-blogs/mcafee-labs/sunburst-malware-and-solarwinds-supply-chain-compromise/
• SolarWindsセキュリティアドバイザリ
  　https://www.solarwinds.com/securityadvisory
• トレンドデータを使用したCloudFlareの分析
  　https://blog.cloudflare.com/solarwinds-orion-compromise-trend-data/
• サンバーストバックドアのPrevasio分析
  　https://blog.prevasio.com/2020/12/sunburst-backdoor-deeper-look-into.html
• Huntress Security SunBurst DLLの場所（リスト）
  　https://gist.github.com/KyleHanslovan/0c8a491104cc55d6e4bd9bff7214a99e
• サンバーストハッシュ（SHA256, SHA1）のリスト
  　https://pastebin.com/J28AzXRi
• SunBurstDGAサブドメインのリスト
  　https://pastebin.com/6EDgCKxd
• 一意のDGASunBurstサブドメインのリスト
  　https://github.com/bambenek/research/blob/main/sunburst/uniq-hostnames.txt
• TrustedSecの概要と推奨事項
  　https://www.trustedsec.com/blog/solarwinds-orion-and-unc2452-summary-and-recommendations/
• SunburstのTrustedSecインシデント対応ハンドブック
  　https://www.trustedsec.com/blog/solarwinds-backdoor-sunburst-incident-response-playbook/

お問い合わせ先

CSAJ事務局：security_info@csaj.jp