米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月15日(米国時間)、「NSA-CISA-FBI Joint Advisory on Russian SVR Targeting U.S. and Allied Networks|CISA」において、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: United States Computer Emergency Readiness Team)、米国家安全保障局(NSA: National Security Agency)、米連邦調査局(FBI: Federal Bureau of Investigation)から、ロシア対外情報庁(SVR)に帰属するとみられるサイバーセキュリティ攻撃に関するセキュリティアドバイザリが発行されたと伝えた。
発行されたセキュリティアドバイザリは次のページに掲載されている。
-
ssian Foreign Intelligence Service Exploiting Five Publicly Known Vulnerabilities to Compromise U.S. and Allied Networks > National Security Agency Central Security Service > Article View
ロシア対外情報庁に帰属するとみられるサイバー犯罪者は、脆弱性を見つけ出して悪用し、国家安全保障や政府関連システムを含む米国および関連ネットワークを危険にさらしていると指摘している。
同日、ホワイトハウスも次の声明を発表し、この活動およびSolorWinds製品の脆弱性に端を発するサイバーセキュリティインシデントがロシア対外情報庁に帰属するサイバー犯罪者によって引き起こされたものと発表した。あわせて、ロシア政府関係者や企業などを対象とした制裁措置も発表している。
このサイバー犯罪者が悪用している主な脆弱性は次のとおり。
- NVD - CVE-2018-13379
- NVD - CVE-2019-9670
- NVD - CVE-2019-11510
- NVD - CVE-2019-19781
- NVD - CVE-2020-4006
CISAはユーザーおよび管理者に対して、このサイバーセキュリティインシデントにおける戦略、戦術、手順、緩和方法などを知るためにCISA、NSA、FBIが共同で発行した上記セキュリティアドバイザリを確認することを推奨している。
- Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations | CISA
- Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments | CISA
- Detecting Post-Compromise Threat Activity Using the CHIRP IOC Detection Tool | CISA
- MAR-10318845-1.v1 - SUNBURST | CISA
- MAR-10320115-1.v1 - TEARDROP | CISA
- SolarWinds and Active Directory/M365 Compromise: Detecting Advanced Persistent Threat Activity from Known Tactics, Techniques, and Procedures
- Remediating Networks Affected by the SolarWinds and Active Directory/M365 Compromise | CISA
- cyber.dhs.gov - Emergency Directive 21-01
「Microsoftリモートデスクトップ」サポート終了、Windowsアプリへ移行を
