securite du cloud
製品とサービス 製品とサービス

SolarWinds への攻撃: 影響の有無を判別する方法

IT 監視の SolarWinds 社が、特定の国家によるものとみられるサイバー攻撃を受けたと報告しました。影響を受ける製品は SolarWinds Orion のバージョン 2019.4 から 2020.2.1 です。本記事では影響の有無を確認する方法をお伝えします。

** 本記事は、SolarWinds breach: how to identify if you have been affected の翻訳です。最新の情報は英語記事をご覧ください。**

IT 監視のスペシャリストである SolarWinds は 12 月 13 日、「高度に洗練された手動のサプライチェーン攻撃の被害に遭いました (中略) 国家による攻撃の可能性が高いと見られます」と報告しました。

影響を受ける製品は、SolarWinds Orion のバージョン 2019.4 から 2020.2.1 です。

実行中の SolarWinds Orion バージョンにおける影響の有無を確認するには?

ソフォスをご利用のお客様は、実行中のバージョンが脆弱かどうかを複数の方法で確認できます。

Sophos MTR をご利用の場合

MTR チームは、保護されたすべてのお客様の環境を能動的に監視しており、影響を受けている場合にはすでに直接連絡を取って改善策を検討しています。

Sophos EDR をご利用のお客様

EDR をご利用のお客様は、以下の専用クエリを実行して影響を受けているバージョンかどうかを確認することができます (アップデートはこちらに掲載されます)。

SELECT
name,
version,
install_location,
publisher,
uninstall_string,
install_date
FROM programs where name like 'SolarWinds Orion%2020.2' or name like 'SolarWinds Orion%2020.2.1%' or name like 'SolarWinds Orion%2019.4%';

さらに、EDR をご使用のお客様は、以下の悪意のある DLL SHA256 ハッシュもご確認ください。

  • 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
  • dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b
  • eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed
  • c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77
  • ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c
  • 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
  • ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
  • a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc
  • d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af
  • c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71
  • d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600
  • 53f8dfc65169ccda021b72a62e0c22a4db7c4077f002fa742717d41b3c40f2c7
  • 292327e5c94afa352cc5a02ca273df543f2020d0e76368ff96c84f4e90778712
  • abe22cf0d78836c3ea072daeaf4c5eeaf9c29b6feb597741651979fc8fbd2417
  • 2ade1ac8911ad6a23498230a5e119516db47f6e76687f804e2512cc9bcfda2b0
  • db9e63337dacf0c0f1baa06145fd5f1007002c63124f99180f520ac11d551420
  • 0f5d7e6dfdd62c83eb096ba193b5ae394001bac036745495674156ead6557589

Sophos EDR をご利用でない方は、30 日間の無料トライアルを有効にすれば、保護対象領域全体でクエリを実行することができます。

  • すでに Sophos Central を実行している場合は、コンソール内で直接無料トライアルを有効化します。メインナビゲーションの [MORE PRODUCTS] で [Free Trials] を選択し、Intercept X Advanced with EDR、Intercept X Advanced for Server with EDR、またはその両方を選択してください。
  • Sophos Central をお使いでない場合は、当社の Web サイトから無料トライアルを有効化してください。

ソフォスをご利用のすべてのお客様

SophosLabs は侵害を受けた SolarWinds コンポーネントについて以下のマルウェア対策検出を公開しました。

  • Mal/Sunburst-A
  • Troj/SunBurst-A
  • Troj/Agent-BGGA
  • Troj/Agent-BGGB
  • Troj/Agent-BGFZ

これらの検出が 1 つ以上確認される場合、攻撃を受ける可能性があります。

SophosLabs は、既知の第 2 段階のバックドアコンポーネントについても以下の検出を公開しています。

  • Mal/Sunburst-B
  • Troj/Agent-BGGC

これらの検出が 1 つ以上確認される場合、標的型攻撃の被害を受けている可能性が高いため、追加の対策を講じる必要があります。

注意: 以下のリンクより、スキャン除外の設定をご確認ください。 https://twitter.com/ffforward/status/1338785034375999491

SophosLabs は、攻撃における実際の悪用段階から、C&C トラフィックを識別する IPS シグネチャの公開を進めています。Sophos XG Firewall で監視する IPS シグネチャの一覧は以下の通りです。

  • 56662 – MALWARE-CNC Win.Backdoor.Sunburst inbound connection attempt
  • 56660 – MALWARE-CNC Win.Backdoor.Sunburst outbound connection attempt
  • 56665 – MALWARE-CNC Win.Backdoor.Sunburst outbound connection attempt
  • 56661 – MALWARE-CNC Win.Backdoor.Sunburst outbound connection attempt

これらの検出が 1 つ以上確認される場合、標的型攻撃の被害を受けている可能性が高いため、追加の対策を講じる必要があります。

ソフォスは、関連するすべての IP とドメインインジケーターをブロックしました。

また、これらの攻撃に使用された SolarWinds の証明書を無効にしました。

Sophos Application Control は、SolarWinds Orion のすべてのバージョンを「SolarWinds MSP Agent」として検出します。Application Control はオプション設定です。有効にする方法については、ヘルプガイド (リンク先: 英語) を参照し、ブロックするアプリのリストに SolarWinds を追加してください。

SophosLabs はこの攻撃の調査を継続し、必要に応じて追加の保護を提供していきます。

影響を受ける場合の対策

侵害を受けたバージョンを実行している場合、影響のある SolarWinds サーバーをネットワークから隔離することをお勧めします。

また、影響を受けるすべての SolarWinds サーバーを再構築して、現在利用可能な Orion Platform のバージョン 2020.2.1 HF 2 をインストールすることをお勧めします。詳細は https://www.solarwinds.com/securityadvisory を参照してください。

インシデント対応のための追加のガイダンスを近日中に公開する予定です。必要に応じてセキュリティ部門やパートナーに連絡し、アドバイスやサポートを受けてください。

Sophos と SolarWinds

ソフォスは SolarWinds Orion の顧客です。SolarWinds から通知を受けてすぐにインシデント対応を開始しました。措置を実施した過程については、これから脅威に対応する方々への推奨事項として https://news.sophos.com/en-us/2020/12/14/solarwinds-playbook/ (英語) にも掲載しています。またインシデント対応に加えて、SolarWinds インフラストラクチャの予防フォレンジックも実施した結果、現時点の評価においてソフォスは今回の攻撃における標的ではありませんでした。

更新履歴

2020-12-18 22:35 UTC 「ソフォスと SolarWinds」のセクションを更新。

2020-12-18 16:28 UTC 「Sophos EDR をご利用のお客様」セクションに、新しい悪意のある DLL SHA256 ハッシュを追加。

2020-12-16 14:03 UTC マルウェア対策の検出に Troj/SunBurst-A を追加。

2020-12-16 12:40 UTC Orion Platform のバージョン 2020.2.1 HF 2 が利用可能である旨を追加。

2020-12-16 12:27 UTC Sophos MTR チームが、影響を受けるすべての MTR のお客様に連絡済みである旨を追加。

2020-12-15 22:04 UTC 第2段階バックドアコンポーネント用の Sophos の検出名とC&Cトラフィック用の XG IPS シグネチャを追加。

2020-12-15 21:00 UTC 新たなソフォスの検出を追加。ハッシュを追加。監視すべきシグネチャを追加。

2020-12-15 12:24 UTC 除外設定を確認するための注意書きを追加。

2020-12-15 12:06 UTC Application Control ヘルプガイドへのリンクを追加し、Application Control はオプション設定であり、有効にする必要がある旨を追加。

2020-12-15 09:30 UTC ソフォスの検出リストに Mal/Sunburst-A を追加、Sophos AppControl の検出機能を提供し、関連するすべての IP とドメインインジケーターをブロックした旨を追加、 3 つのハッシュを追加、プレイブックへのリンクを追加。

2020-12-14 18:54 UTC SophosLabs がこれらの攻撃に使用された、侵害を受けたSolarWinds 証明書を無効にした旨を追加。