、
「全政府請負業者に告ぐ。今すぐSolarWinds Orionの接続か電源を切れ」
こんな緊急指令21-01が日曜夜、米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA) から出されて、12月14日月曜はSolarWinds株が急降下。Googleまでサービスダウンして、「まさか関連ないよね?」と不安が広まっています。
危険レベルは10段階の10
SolarWinds(テキサス州オースティン)の「Orion Platform」は、フォーチュン500の425社と政府諸機関が利用する定番のネットワーク監視&管理ソフトウェア。このアップデート(18,000の企業や政府機関に配布)にトロイの木馬を仕込んで不正侵入し、2週間の潜伏期間を置いて内部のデータを見放題する攻撃が春ぐらいから盛大に仕掛けられていることがわかって、アメリカは上へ下への大騒ぎになっています。
Reutersが11日金曜、米財務省と商務省が被害に遭ったと報じ、国家安全保障会議(NSC)が週末返上でホワイトハウスで緊急対策会議を開いて、13日日曜夜の緊急指令発動と相成りました。
先週シリコンバレーのセキュリティ会社FireEyeが不正侵入されましたけど、ここも使っているIT管理ソフトはSolarWinds Orion。社内で原因を調べたらここが突破口に使わていたことが判明し、日曜のうちに調査結果の公表に踏み切りました。被害は世界中に広がっており、今も進行中とのことです。
財務省と商務省のほかにも、SolarWindsのクライアントには国務省、司法省、国防省、国家安全保障局をはじめ、軍需、通信の民間大手も名を連ねていますので、下手すると軍の機密、通信記録まで筒抜け…。
あまりの巧妙さに、こんなことできるのはロシア対外情報庁(SVR、旧KGB)のハッカー集団「APT29(通称 Cozy Bear)」ぐらいだという声もあり(ロシアはもちろん全力否定)、その危険レベルは「10段階評価で10だ」と情報筋は語っています。
脇が甘すぎる
ただその一方では、そんなに高度なスキルは必要なかったのではないかという指摘の声もあります。
たとえばセキュリティの専門家のVinoth KumarさんがReutersに明らかにした話によると、SolarWindsがアップデートで使用するサーバーのパスワードはなんと「SolarWinds123」。こんなのだれでも破れるやん!と去年警告したばかりなんですって。「あれはだれでも攻撃する気になれば、簡単にできたはずだ」とコメントしていますよ。
また、問題が判明してからもダウンロードのリンクを削除することもせず、トロイの木馬化する状態のまま公開していたこともか~なり問題になっています。
次のバージョンの人は今すぐアプデ!
がぜん不安になった利用者のみなさまは、今すぐバージョン情報をチェックチェック、ですよ。脆弱性を含むバージョンは、本年3月から6月、コロナでネット化が加速する絶好のタイミングで配布されたSolarWinds Orionの次のバージョンです。
2019.4 HF 5
2020.2(ホットフィックス抜きのもの)
2020.2 HF 1
SolarWindsが発表したセキュリティアドバイザリの「Known affected products(やばいとわかったプロダクト一覧)」を確かめて、該当するプロダクトをお使いの場合は、今すぐここで2019.4 HF 6か2020.2.1 HF 1(または15日公開予定のHF2)にアップデートしましょうね。早くしないと機密がごっそり抜き取られちゃいますよ!
