サイバー攻撃を受けた米ソーラーウィンズ社との協力

KPMGがソーラーウィンズ社と共同で実施している、サイバー攻撃を軽減する具体的な取組みを紹介します。
この取組みにより、顧客、従業員、規制当局や投資家など、さまざまなステークホルダーからの信頼を回復し、着実な成長、自信に満ちた意思決定、大胆な革新、パフォーマンスと効率の持続的な向上に向けた基盤を築くことができるようになります。

KPMGは当初、主に2つの目的でソーラーウィンズ社に起用されました。1つは純粋な調査、もう1つはeDiscovery（電子証拠開示）対応です。特に、何千人もの顧客に送られた一見、何の変哲もないソフトウェア・アップデートを通じ、悪意のあるコードをソーラーウィンズ社の主力製品（Orion）に挿入した経緯をつまびらかにすることに最も重点が置かれました。
この取組みを進めるうち、KPMGは、ソーラーウィンズ社のビジネスと技術を理解しているだけでなく、アプリケーションセキュリティ開発のガイダンス提供や、広範な調査とeDiscoveryプログラムを主導できるという評価を得ました。取組みを円滑に進めるためには相互の信頼関係が不可欠でしたが、すぐに醸成することができました。

ソーラーウィンズ社への支援を開始したとき、同社に対するサイバー攻撃について既に広く報道されていました。KPMGはすぐにソーラーウィンズ社のアプリケーションチームとの連携を開始し、アプリケーションの構築環境がどのように侵入され、改ざんされたかについて調査に乗り出しました。
KPMGのアプリケーション開発の経験と知識をベースにした、コードセキュリティに関する適切な質問により、ソーラーウィンズ社の仕組みやアプリケーションのビルドプロセス、関連するシステム、侵入される可能性が最も高い入口地点を即座に理解し、特定しました。
攻撃者が通常、コードを改ざんする場所であるソースコードシステム（SCCS）から調査が進められましたが、過去2年間のアクティビティを調査した結果、ソフトウェアのコード自体は、改ざんされていないことがわかりました。次に、Orionソフトウェアがどのようにコンパイルされているかを調べるべく、「TeamCityサーバ（ソーラーウィンズ社が利用しているサードパーティ製のCI/CDサーバ）」を調査しましたが、特に異常はありませんでした。

最終的に、攻撃者はコードをコンパイルしているマシンを標的にしていたことが判明しました。KPMGはフォレンジック調査により、「SUNSPOT」と呼ばれるマルウェアを発見しました。このマルウェアは、Orionソフトウェアをビルドする際にバックドアを秘密裏に埋め込んでいました。また、このマルウェアは、ソーラーウィンズ社のOrionソフトウェアのみを標的にするために設計されたものであることがわかりました。
SUNSPOTマルウェアは、ソーラーウィンズ社のOrion Platformソフトウェアビルドサーバーのバックグラウンドで動作し、ビルド時にコンパイラが使用する一時的なソースコードファイルにバックドア（「SUNBURST」と呼ばれる）を挿入するよう設計されていました。また、検出を免れるよう、ビルド終了時には一時的なソースコードファイルを削除する設計となっていました。SUNSPOTマルウェアによってコンパイルされたコードに「SUNBURST」バックドアが埋め込まれ、ソーラーウィンズ社のデジタル署名がなされた上で、更新ウェブサイトに公開されていました。
この調査の目的の1つは、攻撃範囲が限定的であることを検証することでした。詳細にマルウェアを調査すると、ソーラーウィンズ社の製品であるOrion Platformだけが標的になっており、その他のソーラーウィンズ社の製品は同マルウェアの標的とはなっていませんでした。

eDiscoveryに関しては、予想される規制当局からの問い合わせに迅速に対応するための情報収集プロセスを構築しました。KPMGの証拠開示管理に関する豊富な経験によって、関連する電子記録の特定、保存、処理、レビュー、分析を支援しました。
数百万ものの電子記録（中には複雑な種類のファイルや技術を含む）の迅速な収集と確認を可能にするプロセスを導入することで、ソーラーウィンズ社がサイバー攻撃後の問い合わせなどに対応できるよう、尽力しました。これは、同社が財務上およびレピュテーション上のさらなる損害を軽減するために重要なことでした。KPMGの eDiscovery チームが、米国議会や米国証券取引委員会（SEC）などの政府機関での公聴会、株主にかかわる訴訟手続きの問い合わせに対応するため、扱ったデータはテラバイトレベルに上りました。

多くのセキュリティイベントがアプリケーションレベルで発生しているため、アプリケーションセキュリティへの対応を行うことが重要です。現在、KPMGはソーラーウィンズ社と協力し、3つの異なるAppSecの強化に取り組んでいます。

1つ目はパイプライン・セキュリティです。多くのソフトウェア会社のコンパイルとビルドのプロセスでは、攻撃者による同様の悪用が可能だと考えられます。ソーラーウィンズ社は、配布されるコードの利用に対して顧客に不安を抱かせないよう、初期のコードチェックやコンパイルから顧客への配布までの各段階において、追加のセキュリティ手順と検出ポイントを導入しました。また、ソフトウェア開発プロセスを保護するため、ビルドパイプラインを再構築し、将来的な遠隔検証をプロセスに追加しています。

他の2つのアプリケーションセキュリティへの取組みは、認証情報とパスワードの奪取に焦点を当てています。サイバー攻撃により攻撃者によるネットワークへの侵入を許してしまった場合、一般的な対応として、ユーザーやサービスのアカウントリセットがあります。ただ残念ながら、単にアカウントをリセットするだけでは十分ではありません。そこで、KPMGは、攻撃者がどれくらいのパスワードや秘密鍵を奪取したのか、また潜在的にどれくらい使用することができるのかを特定しました。KPMGのAppSecチームが、数百万行のソースコードを検索し、公開された可能性のある認証情報の目録を作成後、ソーラーウィンズ社は認証情報をリセットしました。AppSecチームは、レガシーパスワード、レガシーOS、レガシーアプリケーションの特定と修復も行いました。

ビルド環境を検証した後、ソーラーウィンズ社のクラウドにも注目しました。KPMGのクラウド調査は大きく分けて以下の3点で行われました。

1点目は、ソーラーウィンズ社のメールホストであるMicrosoft 365です。アクセスログを精査し、攻撃者が何をしていたか、いつのタイミングで活動していたかを特定し、どこにアクセスしたのか、どのような影響を与えたかを調査しました。

2点目は、Microsoft Azureです。KPMGのチームは現在、ソーラーウィンズ社の特権アクセス管理（PAM）とアイデンティティアクセス管理（IAM）の支援に取り組んでおり、現状の評価、改善の余地がある箇所の把握、弱点や脆弱性の特定、ゼロトラストフレームワーク確立の促進を行っています。また、AzureにSPN（Surface Principal Name）が追加されていないことを確認することも重要でした。攻撃者は、サービスアカウントに認証情報を登録することで、ソーラーウィンズ社へのリモートアクセスを行っていました。KPMGは、攻撃者によって登録されたSPNが存在していないことを確認しました。

3点目は、アマゾン・ウェブ・サービス（AWS）です。ソーラーウィンズ社は、AWS環境におけるPAMとIAMの検証、セキュリティの現状の検証を行い、攻撃者が将来的に利用する可能性のある既知のアクティブな脆弱性がないかどうかを確認しています。

クラウド全般に関し、ソーラーウィンズ社は、今回のサイバー事件から得られた教訓に基づいてセキュリティを再構築するなど、業界をリードする安全なクラウドインフラストラクチャの構築に注力しています。

検知能力と同様に、侵入されたシステムの中で侵入者を隔離する能力も重要です。そこで、KPMGはソーラーウィンズ社に対して、アカウントを厳重に監視し、データの読み取りやシステムのコントロールを制限する、安全性の高いPAMモデルを実現する取組みを引き続き支援しています。このPAMモデルにより、ソーラーウィンズ社の攻撃対象を減らし、アカウントの乗っ取りによる被害を軽減することができます。
また、クラウドとオンプレミスの両方の環境でIAMを統一することで、ネットワーク内での攻撃者の動きを大幅に制限することが可能です。また、このアプローチを取ることで、ソーラーウィンズ社は自社の環境を1つの視点で監視するとともに、サイバー攻撃があった際には各環境をより迅速に隔離することが可能になります。

※本文中に記載されている会社名・製品名は各社の登録商標または商標です。

本レポートは、KPMGインターナショナルが2021年に発表した「Working together」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

原文はこちらから（英文）
Working together