Vision

マイクロソフト、SolarWindsハッカーへの異例の対応として「デス・スター」を発射

マイクロソフト、SolarWindsハッカーへの異例の対応として「デス・スター」を発射
マイクロソフトCEOのサティア・ナデラ氏。 (GeekWire 写真/ケビン・リソタ)

[編集者注:独立セキュリティ コンサルタントの Christopher Budd 氏は、以前 Microsoft のセキュリティ レスポンス センターに 10 年間勤務していました。]

「今こそ、この完全武装かつ運用可能なバトルステーションの火力の威力を目の当たりにせよ。」 - 皇帝パルパティーン、『ジェダイの帰還』

分析:今週、マイクロソフトはSolarWindsのサプライチェーン攻撃に対し、一連の劇的な対策を講じました。その規模、スピード、そして範囲の広さは、マイクロソフトが依然として誰にも劣らない、圧倒的な善の力を発揮できることを世界に改めて示しています。

マイクロソフトは4日間にわたる4つのステップを通じて、法務チームの力とWindowsオペレーティングシステムに対する統制力を駆使し、最も高度な攻撃的ハッカーの活動をほぼ壊滅させました。今回の攻撃対象はAPT29(別名Cozy Bear)と考えられており、ロシアの情報機関と関連があると広く信じられています。このグループは2016年に民主党全国委員会(DNC)へのハッキングを実行したことで最もよく知られています。

続報:マイクロソフトは、社内調査で悪意のあるSolarWindsコードを発見したが、さらなる影響はまだ見られないと発表した。

詳細が次々と明らかになる中、SolarWindsのサプライチェーン攻撃は、近年で最も重大な攻撃として既に認識されています。SolarWinds、Microsoft、FireEye、そしてサイバーセキュリティ・インフラセキュリティ庁(CISA)によると、攻撃者はITインフラ管理製品であるSolarWinds Orion Platformのアップデートビルドに使用されるサーバーを侵害しました。攻撃者はこの侵害されたビルドサーバーを利用して、製品にバックドア型マルウェア(MicrosoftはSolorigate、FireEyeはSUNBURSTと呼んでいます)を仕込みました。

SolarWindsによると、このマルウェアは2020年3月から6月にかけてのアップデートにトロイの木馬として含まれていました。つまり、トロイの木馬化されたアップデートをダウンロードしたお客様は、このマルウェアも入手したことになります。このマルウェアを入手したすべてのお客様が、このマルウェアが攻撃に利用されているのを目撃したわけではありませんが、戦略的に重要かつ機密性の高い一部の組織のネットワークに対するより広範な攻撃に利用されています。

攻撃を受けた組織には、FireEye、米国財務省、米国商務省の国立電気通信情報局(NTIA)、米国保健省の国立衛生研究所(NIH)、サイバーセキュリティ・インフラストラクチャ庁(CISA)、国土安全保障省(DHS)、米国国務省などが含まれている。

この事件に直接関わった者は皆、攻撃の巧妙さを物語っています。被害者の攻撃範囲の広範さ、戦略的重要性、そしてセキュリティに関する専門知識がそれを裏付けています。ほぼすべての攻撃は、批判から逃れようとする被害者によって「巧妙」と呼ばれますが、セキュリティコミュニティはほぼ全員一致で、この事件においては「巧妙」という言葉がふさわしいと判断しています。

マイクロソフトの対応のスピード、範囲、規模は前例のないものでした。具体的には、マイクロソフトは4日間で4つの対策を実施し、攻撃者の活動を事実上無効化しました。

1)この件が公表された12月13日、マイクロソフトはトロイの木馬ファイルに使用されていたデジタル証明書を削除したと発表しました。これらのデジタル証明書は、Microsoft Windowsシステムが侵害されたファイルを信頼できるものと認識することを可能にしていました。このたった一件で、マイクロソフトは文字通り一夜にして、すべてのWindowsシステムに対し、侵害されたファイルの使用を阻止する可能性のあるファイルの信頼を停止するよう指示したのです。

2)同日、マイクロソフトは、Windows に組み込まれているマルウェア対策機能である Microsoft Windows Defender を更新し、システム上でトロイの木馬ファイルが見つかった場合にそれを検出して警告するようにすると発表しました。

3)次に、12月15日火曜日、Microsoftをはじめとする組織は、マルウェアがコマンド&コントロール(C2)に利用するドメインの一つであるavsvmcloud[.]comを「シンクホール化」しました。シンクホール化とは、攻撃者からマルウェアの制御権を奪うための法的・技術的戦術です。シンクホール化では、Microsoftのような組織が、悪意のある目的で使用されているドメインの制御権を現在の所有者である攻撃者から奪うために、裁判所に訴えます。

成功すれば、組織はそのドメインの所有権を利用して、マルウェアとその制御下にあるシステムに対する攻撃者の制御を遮断することができます。シンクホール化されたドメインは、侵害されたシステムの特定にも役立ちます。マルウェアがシンクホール化されたドメインに指示を求めると、新しい所有者はそれらのシステムを特定し、所有者の所在を特定して警告を発することができます。シンクホール化は、2008年から2009年にかけてのConfickerとの戦いにおける大規模攻撃で初めて使用された戦術であり、近年のTrickBot攻撃を含め、長年にわたりMicrosoftのツールキットの標準戦術となっています。

4)そして本日12月16日(水)に、マイクロソフトはWindows DefenderのSolorigateに対するデフォルトアクションを「警告」から「隔離」に変更することで、フェイザーを「スタン」から「キル」へと実質的に変更しました。これは、システムをクラッシュさせる可能性はあるものの、マルウェアを発見した時点で効果的に駆除する、抜本的なアクションです。この変更は、他のセキュリティ企業にもこの抜本的な措置を踏む余地を与えるという点でも重要です。マイクロソフトの規模とプラットフォームにおけるリーダーシップは、他のセキュリティ企業に、本来であれば得られない保護を与えているのです。

これらの手順を総合すると、マイクロソフトはまずマルウェアを無力化し、その後マルウェアを駆除すると同時に、攻撃者からマルウェアのインフラストラクチャの制御権を奪取することになります。今週末までに、攻撃者はシステムのごく一部しか制御できなくなるでしょう。

彼らは他の手段で侵入されたネットワークにアクセスできる可能性があり、インシデント対応担当者は今まさにその作業に取り組んでいるところでしょう。そして、侵入が何ヶ月も気づかれずに行われた行為を取り消すことはできません。それでも、これらの行動を組み合わせることで、これまでで最も攻撃を根絶できる可能性が高まります。これは、攻撃者が誰であるかを考えると、なおさら注目に値します。

結局のところ、これらすべては、マイクロソフトがいかに大きな力を持っているかを改めて思い起こさせる。Windowsオペレーティングシステムの支配力、強力な法務チーム、そして業界における地位を合わせれば、マイクロソフトは望めば世界をほぼ一夜にして変える力を持っている。そして、その力を敵に向けると、それはまさにデス・スターに匹敵する。一撃で惑星一つを完全に破壊できるのだ。

幸いなことに、マイクロソフトは最近、権力の行使を控えている。しかし、以前にも指摘したように、マイクロソフトの優しさを決して弱さだと勘違いしてはならない。

それに、デス・スターを(永久に)時々使うことができないのなら、デス・スターを持つ意味は何なのでしょう?