持続的標的型攻撃はどのように実行されたか――CISAが対応した事例の分析レポートを公開

VPNアプライアンスの脆弱性を突き、リスクある「SolarWinds Orion」サーバに侵入してWebシェル「Supernova」を仕込む――。直近で実際に発生した実際の持続的標的型攻撃について、対応にあたったCISAがレポートをまとめた。どのように侵入され攻撃されたのかが簡潔にまとまっている。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2021年4月22日（現地時間）、「ある企業のネットワークに対して仕掛けられた持続的標的型攻撃」に対応した際の内容を分析レポートとしてまとめ、公開した。サイバー犯罪者がどのように企業ネットワークに侵入し、長期に渡って潜伏してサイバー攻撃を実施するかが分かりやすくまとまっている。

　分析レポートによれば、攻撃者は企業ネットワークに侵入する最初の段階で、Pulse SecureのVPNアプライアンスを利用し、侵入後には「SolarWinds Orion」サーバへ移動した。さらに「Supernova」と呼ばれる「.NET Framework」向けのWebシェルを仕込んで認証情報を収集していたとされる。

レポートの公表を伝えるCISAのWebサイト（出典：CISAのWebサイト）

企業に推奨される対策方法は