SolarWindsのネットワーク監視ソフト「Orion Platform」が大規模なAPT攻撃被害を受けた事件、米国の企業や組織の被害が多かった為か日本ではそう大きなニュースになっていませんが、「対岸の火事では無い」事を改めて感じます。
www.bankinfosecurity.com
テキサスを拠点とするSolarWindsによって構築されたOrionネットワーク監視ソフトウェアにバックドアを埋め込み、同社の顧客の18,000人にプッシュされたサプライチェーン攻撃について、マンディア氏は、多くの人がそれを「潜在的に最大の私たちの歴史への侵入」と、明らかにサイバースパイ活動の焦点ははるかに的を絞っていました。
「現実は、この爆発の半径です。じょうごで説明します。確かに30万社以上がSolarWindsを使用していますが、実際にバックドアを持っていた企業は、その総数から約18,000社にまで減少します。ネットワーク内の悪意のあるコード」と述べた。「そして、次の部分に移ります。脅威アクターの影響を真に受けているのは、おそらくそのゾーンのどこかにある約50の組織または企業だけです。」
(Bankinfosecurity記事より引用)※機械翻訳
キタきつねの所感
マイクロソフトのブラッド・スミス社長は、この事件を「過去10年間に見た中で最も深刻なサイバー攻撃の1つだと思います。」と評しています。
ロシアが関与すると言われるAPT29(Cozy Bear)が、多くのSolarWindsユーザー企業・組織にとってセキュリティの基幹になっていたOrion Platformのソフト更新ファイルにマルウェアを仕込むというAPT攻撃により、米国政府機関や名だたる企業(マイクロソフト含む)が侵害を受けていたとされる事件ですので、過去10年で最も深刻と評されるのも当然かと思います。
この事件については、既に当ブログでも記事を書いているのですが、続報の記事を見ている中で、気になる部分がありました。ポイゾニングされたソフトウェアをダウンロードしたSolarWindsの約1.8万ユーザーの内、約50の組織が「真に影響を受けた」と分析されています。
※違う記事では、カスペルスキーの分析で約100ユーザーと書かれていましたので、今後更に増える可能性は十分考えられます。
foxsecurity.hatenablog.com
これらの記事の中で、Bankinfosecurityの記事で紹介されていた以下の世界地図を見た瞬間、「やはり・・・」と思ってしまいました。
※図はBankinfosecurity記事より引用
マイクロソフトのデータ(※元ソースの確認が出来ませんでした)から特定された組織の場所をマークした様ですが、日本にマークがついています。
色々と別な記事を追っていくと、前回の記事では消えてしまったSolarWindsの顧客企業リストをご紹介しましたが、そこに掲載された日本企業でも無い所が、この中に含まれている可能性がある様です。
※以下、間違っている情報を元にした内容かも知れません事をお含みおき下さい。
SolarWindsの被害を受けた可能性があるドメインネームについて、RedDrip Teamが100近い、被害の疑いがあるドメインを分析した様です。
※暗号化されており、デコードが必要なデータとなっています。
同じ(だと思われる)DGAデータをデコードし、手動でノイズ除去、重複削除した方の記事が別にありました(※元データを含め、この内容が必ずしも正しいデータを元に分析されたかは分かりません)ので、こちらを引用します。
blog.prevasio.com
免責事項: 提供されたリストに、本当に被害者のものである有効なドメイン名が含まれているかどうかは明らかではありません。エンコードされたドメイン名は、サードパーティのツール、サンドボックス、またはバックドアを調査・分析した研究者によって生成された可能性があります。
復号化されたドメイン名は、純粋にリバースエンジニアリングのために提供されています。結果として得られたリストは、ノイズを除去し、重複するエントリを除外するために手動で処理されました。その後、Google検索を使用して、得られたドメイン名と会社名のマッピングを試みました。このようなマッピングは不正確な可能性がありますので、読者の皆様にはご注意ください。
(Prevasio記事より引用)※機械翻訳
結果が以下のリスト(※全120ドメイン/Prevasio記事より引用)となりますが、この中に日本企業(が関係している)と思われる名前が2社確認できます。
それが、楽天と富士通ゼネラルです。
とは言え、Bankinfosecurity(マイクロソフト)の記事では約50の組織が影響を受けたとされ、このリストでは120ドメインですので必ずしも上記2社が「影響を真に受けた」と断定できるものではありませんが、日本企業(組織)のインシデントリリースが出る日も、そう遠くないかも知れません。
SolarWindsユーザーのサプライチェーン攻撃は、対岸の火事ではなく、残念ながら一部の日本企業も被害を受けた様です。
こうしたAPT攻撃の深化は、近い将来もっと多くの日本企業へ被害をもたらす可能性高い、そう考えてこの事件の続報を追っていきたいと思います。
余談です。本日の記事では(長くなるので)取り上げてませんが、現在までの事件の情報分析の中では、マイクロソフトの365Defenderリサーチチームの分析記事が一番詳しい気がします。参考まで。
www.microsoft.com
Decoded Domain |
Mapping |
hgvc.com |
Hilton Grand Vacations |
Amerisaf |
AMERISAFE, Inc. |
kcpl.com |
Kansas City Power and Light Company |
SFBALLET |
San Francisco Ballet |
scif.com |
State Compensation Insurance Fund |
LOGOSTEC |
Logostec Ventilação Industrial |
ARYZTA.C |
ARYZTA Food Solutions |
bmrn.com |
BioMarin Pharmaceutical Inc. |
AHCCCS.S |
Arizona Health Care Cost Containment System |
nnge.org |
Next Generation Global Education |
cree.com |
Cree, Inc (semiconductor products) |
calsb.org |
The State Bar of California |
rbe.sk.ca |
Regina Public Schools |
cisco.com |
Cisco Systems |
pcsco.com |
Professional Computer Systems |
barrie.ca |
City of Barrie |
ripta.com |
Rhode Island Public Transit Authority |
uncity.dk |
UN City (Building in Denmark) |
bisco.int |
Boambee Industrial Supplies (Bisco) |
haifa.edu |
University of Haifa |
smsnet.pl |
SMSNET, Poland |
fcmat.org |
Fiscal Crisis and Management Assistance Team |
wiley.com |
Wiley (publishing) |
ciena.com |
Ciena (networking systems) |
belkin.com |
Belkin |
spsd.sk.ca |
Saskatoon Public Schools |
pqcorp.com |
PQ Corporation |
ftfcu.corp |
First Tech Federal Credit Union |
bop.com.pk |
The Bank of Punjab |
nvidia.com |
NVidia |
insead.org |
INSEAD (non-profit, private university) |
usd373.org |
Newton Public Schools |
agloan.ads |
American AgCredit |
pageaz.gov |
City of Page |
jarvis.lab |
Erich Jarvis Lab |
ch2news.tv |
Channel 2 (Israeli TV channel) |
bgeltd.com |
Bradford / Hammacher Remote Support Software |
dsh.ca.gov |
California Department of State Hospitals |
dotcomm.org |
Douglas Omaha Technology Commission |
sc.pima.gov |
Arizona Superior Court in Pima County |
itps.uk.net |
IT Professional Services, UK |
moncton.loc |
City of Moncton |
acmedctr.ad |
Alameda Health System |
csci-va.com |
Computer Systems Center Incorporated |
steptoe.com |
Steptoe & Johnson LLP |
keyano.local |
Keyano College |
uis.kent.edu |
Kent State University |
alm.brand.dk |
Sydbank Group (Banking, Denmark) |
ironform.com |
Ironform (metal fabrication) |
corp.ncr.com |
NCR Corporation |
ap.serco.com |
Serco Asia Pacific |
int.sap.corp |
SAP |
mmhs-fla.org |
Cleveland Clinic Martin Health |
nswhealth.net |
NSW Health |
mixonhill.com |
Mixon Hill (intelligent transportation systems) |
bcofsa.com.ar |
Banco de Formosa |
ci.dublin.ca. |
Dublin, City in California |
siskiyous.edu |
College of the Siskiyous |
weioffice.com |
Walton Family Foundation |
ecobank.group |
Ecobank Group (Africa) |
corp.sana.com |
Sana Biotechnology |
med.ds.osd.mi |
US Gov Information System |
wz.hasbro.com |
Hasbro (Toy company) |
its.iastate.ed |
Iowa State University |
amr.corp.intel |
Intel |
cds.capilanou. |
Capilano University |
e-idsolutions. |
IDSolutions (video conferencing) |
helixwater.org |
Helix Water District |
detmir-group.r |
Detsky Mir (Russian children's retailer) |
int.lukoil-int |
LUKOIL (Oil and gas company, Russia) |
ad.azarthritis |
Arizona Arthritis and Rheumatology Associates |
net.vestfor.dk |
Vestforbrænding |
allegronet.co. |
Allegronet (Cloud based services, Israel) |
us.deloitte.co |
Deloitte |
central.pima.g |
Pima County Government |
city.kingston. |
City of Kingston |
staff.technion |
Technion - Israel Institute of Technology |
airquality.org |
Sacramento Metropolitan Air Quality Management District |
phabahamas.org |
Public Hospitals Authority, Caribbean |
parametrix.com |
Parametrix (Engineering) |
ad.checkpoint. |
Check Point |
corp.riotinto. |
Rio Tinto (Mining company, Australia) |
intra.rakuten. |
Rakuten |
us.rwbaird.com |
Robert W. Baird & Co. (Financial services) |
ville.terrebonn |
Ville de Terrebonne |
woodruff-sawyer |
Woodruff-Sawyer & Co., Inc. |
fisherbartoninc |
Fisher Barton Group |
banccentral.com |
BancCentral Financial Services Corp. |
taylorfarms.com |
Taylor Fresh Foods |
neophotonics.co |
NeoPhotonics (optoelectronic devices) |
gloucesterva.ne |
Gloucester County |
magnoliaisd.loc |
Magnolia Independent School District |
zippertubing.co |
Zippertubing (Manufacturing) |
milledgeville.l |
Milledgeville (City in Georgia) |
digitalreachinc |
Digital Reach, Inc. |
deniz.denizbank |
DenizBank |
thoughtspot.int |
ThoughtSpot (Business intelligence) |
lufkintexas.net |
Lufkin (City in Texas) |
digitalsense.co |
Digital Sense (Cloud Services) |
wrbaustralia.ad |
W. R. Berkley Insurance Australia |
christieclinic. |
Christie Clinic Telehealth |
signaturebank.l |
Signature Bank |
dufferincounty. |
Dufferin County |
mountsinai.hosp |
Mount Sinai Hospital |
securview.local |
Securview Victory (Video Interface technology) |
weber-kunststof |
Weber Kunststoftechniek |
parentpay.local |
ParentPay (Cashless Payments) |
europapier.inte |
Europapier International AG |
molsoncoors.com |
Molson Coors Beverage Company |
fujitsugeneral. |
Fujitsu General |
cityofsacramento |
City of Sacramento |
ninewellshospita |
Ninewells Hospital |
fortsmithlibrary |
Fort Smith Public Library |
dokkenengineerin |
Dokken Engineering |
vantagedatacente |
Vantage Data Centers |
friendshipstateb |
Friendship State Bank |
clinicasierravis |
Clinica Sierra Vista |
ftsillapachecasi |
Apache Casino Hotel |
voceracommunicat |
Vocera (clinical communications) |
mutualofomahaban |
Mutual of Omaha Bank |
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴