SolarWinds製品の脆弱性に端を発するサイバーインシデントに関する情報は毎日更新されている。ここ最近の動きをまとめると次のようになる。

  • SolarWinds製品の脆弱性に端を発するサイバーインシデントはかなり大規模なサイバー攻撃の一端だった可能性がある。
  • 製品の脆弱性を悪用してシステムを侵害した後、Sunburstと呼ばれるバックドアが仕込まれる(Sunburstとは別の名称を使っているベンダーもあり)。
  • Sunburstとは別にSupernovaと呼ばれるマルウェアを使った攻撃が他のグループによって行われている可能性がある。

このサイバーインシデントの目的、全容、被害組織、被害内容などは不明な点が多いが、インシデントの影響でマルウェアの感染が確認された組織が明らかになる数が増える状況が続いている。

The Hacker Newsは12月22日(米国時間)、「A Second Hacker Group May Have Also Breached SolarWinds, Microsoft Says」において、これまでにSolarWindsサイバーインシデントの影響を受けた企業としてMicrosoft、Cisco、Equifax、General Electric、Intel、NVIDIA、Deloitte、VMwareを挙げている。実際には米国政府機関も影響を受けている。

影響を受けた組織の全容は明らかになっていないが、Truesecは「The SolarWinds Orion SUNBURST supply-chain Attack - TRUESEC Blog」において、分析した結果からバックドアを仕掛けた後さらに内部侵害を実行するために標的とした組織のリストを公開した。このリストにはCiscoやDeloitteなど影響を受けたことが報じられた組織のURLが含まれており、現状と一致している。

分析を行ったTruesecは、SolarWinds製品のセキュリティ脆弱性に端を発するサイバーインシデントが歴史上最も深刻なサイバー攻撃の一旦だろうと説明するとともに、政府組織や医療機関、サイバーセキュリティ、金融関連機関などから気密性の高いデータが大量に漏洩した可能性が高いと指摘している。