米政府機関への「最大規模」攻撃　ネットワーク管理製品のアップデートを悪用

　政府機関への大規模なサイバー攻撃が明らかになり、感謝祭を迎えた米国に衝撃が走った。商務省などのネットワークが攻撃されたほか、民間企業やインフラにも影響が出ている。被害の規模が「ここ数年で最悪」とも言われる攻撃は、ネットワーク管理ソフトウェアのアップデートを悪用してマルウェアを送り込むというものだ。

SolarWindsのネットワーク管理製品が侵入口に

　12月14日付のReutersやThe Washington Postによると、IT管理ソフトのSolarWindsが、3月から6月に行ったネットワーク管理ソフトウェア「Orion」のアップデートが改竄され、マルウェアを仕込まれた。

　翌13日、CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）が、政府機関内のOrionの運用を14日正午まで停止する緊急命令を出した。「Orionへの攻撃は、連邦ネットワークのセキュリティに許容できないリスクをもたらす」（CISA）との内容で、同時に企業や他の公共機関にも、ネットワークの安全性を検証するようアドバイスしている。

　SolarWindsは17日、Orionの脆弱性の報告をセキュリティ企業のFireEyeから12日に受けていたことを明らかにした。直ちにホットフィックスをリリースし、15日に公開した「Orion 2020.2.1 HF 2」バージョンで政府のセキュリティ要件を満たしたと説明している。

　Orionは、商務省、国防総省、国務省、財務省、国土安全保障省など、多くの連邦政府機関で利用されている。SolarWindsが15日に米証券取引委員会（SEC）に提出した書類によると、顧客数は30万以上。脆弱性を含むソフトウェア更新をインストールしている顧客は1万8000未満とみられるという。