Cybersecurity and Infrastructure Security Agency (CISA)は1月6日(米国時間)、SolarWinds Orion Platformを悪用したサイバー攻撃に関する緊急指令「Emergency Directive 21-01」(以下、ED21-01)を更新し、必須アクション4および「補助ガイダンスv3を追加した。

同時に、2020年12月17日に発令されたセキュリティアラート「Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations」(AA20-352A)も更新した。ED21-01が更新されるのは2020年12月13日の発令以来4回目で、特に今回追加された補助ガイダンスv3は、これまでに公開された補助ガイダンスv1およびv2や、新たに追加された必須アクション4よりも優先度が高いとされている。

  • ED21-01 必須アクション4

    ED21-01 必須アクション4

  • ED21-01 補助ガイダンスv3

    ED21-01 補助ガイダンスv3

AA20-352Aは、サイバー犯罪グループがSolarWindsが提供するネットワーク製品「Orion Platform」に対してトロイの木馬型のマルウェアを埋め込み、これを米政府機関への攻撃に利用しているとして警告したもの。ED21-01ではこの問題への政府関連期間の対応方針が指示されている。

補助ガイダンスv3では、この問題の影響を受けるSolarWinds Orionのバージョンが明確にされ、運用を再開するための条件などがまとめられている。現時点で敵対的なアクティビティが観測されていない機関については、少なくともSolarWinds Orion Platform 2020.2.1HF2にアップグレードした上で、運用の再開やバックアップからの構成の復元が許可される。

一方で後続のアクティビティの証拠がある機関については、影響を受けるバージョンを切断したままにした上で、フォレンジック分析を実施するよう指示されている。さらに、影響を受けるプラットフォームおよびホストOSを再構築または再イメージングする前に、CISAに相談する必要がある。

緊急指令は連邦の行政機関にのみ適用されるものではあるが、CISAでは、州政府や地方政府、重要なインフラを担う組織、およびその他の民間の組織に対しても、ED20-01の補足ガイダンスv3に従ってolarWinds Orion Platformの運用に関する対策を行うことを推奨している。