FireEye、SolarWindsインシデントの詳細を公開–対策ツールも提供

今回は「FireEye、SolarWindsインシデントの詳細を公開–対策ツールも提供」についてご紹介します。

関連ワード（セキュリティ等）についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　サイバーセキュリティ企業のFireEyeは米国時間1月19日、SolarWindsをハッキングした攻撃者が使用した技法について詳しくまとめたレポートを発表した。

　また、このレポートと同時に、攻撃グループ（UNC2452とも呼ばれる）が使用した技法を検出することができる「Azure AD Investigator」と呼ばれるツールをGitHub上で無料で公開した。

　レポートを発表したFireEyeは、MicrosoftやCrowdStrikeとともに、SolarWindsに対するサプライチェーン攻撃の調査を主導した企業だ。

　SolarWindsの問題が発覚したのは、2020年12月13日のことだ。FireEyeとMicrosoftはこの日、SolarWindsのネットワークに攻撃グループが侵入し、同社のアプリケーションである「Orion」のアップデートデータに不正なコードが仕込まれていたことを明らかにした。

　この「Sunburst（またはSolorigate）」と呼ばれるマルウェアは、感染した企業の情報を収集するために使用された。トロイの木馬化されたバージョンのOrionをインストールしていたSolarwindsの顧客は1万8000社あったが、攻撃グループはそのほとんどに何もしなかった一方で、一部の選ばれたターゲットに対して「Teardrop」と呼ばれる別のマルウェアを展開し、幾つもの技法を使って、ローカルネットワーク内のリソースと被害組織のクラウドリソースに対するアクセス権を昇格させた。その際には、特に「Microsoft 365」のインフラに対する攻撃に重点が置かれていた。

　FireEyeは、この日発表した35ページに及ぶレポートで、攻撃の最初の段階で使用された技法に加え、一般的な企業が攻撃の検出、修復、堅牢化のために利用できる戦略について詳しく説明している。

　「UNC2452は洗練された技術を持っており、その活動は捕捉しにくいが、使われていた技法は検出可能であり、防御可能だ」とFireEyeは述べている。

　実際、FireEyeは、UNC2452が使用した技法を社内ネットワークで検出することに成功しており、それがきっかけで社内への侵入について調査を行い、そのことがSolarWindsのインシデントの発覚につながった経緯がある。

　FireEyeが同日公開したものと同様のツールは、米サイバーセキュリティインフラストラクチャセキュリティ庁（「Sparrow」）やCrowdStrike（「CRT」）からもリリースされている。

セキュリティとは – IT用語辞典 e-Words

セキュリティ【security】とは、安全、防犯、保安、防衛、防護、治安、安心、安全保障などの意味を持つ英単語。盗難や破壊など人為的な攻撃からの保護を意味し、事故や災害など人の意志によらない危険や脅威からの安全を表す “safety” (セーフティ)とは区別される。

https://e-words.jp/w/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3.html

セキュリティ – Wikipedia

セキュリティ（英: security ）は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。. 一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。. コンピュータ関連の文脈では、特にコンピュータセキュリティを単にセキュリティと呼ぶ場合がある。. 金融業界では、出資を募る団体を損害から保護 …

https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3