　米連邦政府機関や大手企業がSolarWindsの管理ソフト経由でサイバー攻撃を受けた事件は、調査が進むほど事態の深刻さと影響の大きさが浮かび上がっている。信頼できると思っていた取引先が踏み台にされたサプライチェーン攻撃は、厳重なセキュリティ対策に守られたはずの組織でさえ見抜けなかった。同じような弱点は至る所にある。

　一連の事件が発覚したのは2020年12月。だがSolarWindsのこれまでの調査によれば、最初の不正アクセスは2019年9月に発生していた。同年10月にリリースされた同社の管理ソフト「Orion」の更新版には実験的な攻撃コードが仕込まれ、2020年2月にはフル機能を装備したマルウェア「Sunburst」が導入されて、3月から同マルウェアの拡散が始まった。

SolarWindsの調査結果

　Sunburstマルウェアは、SolarWinds製品の一部として被害者のネットワーク上に展開され、攻撃者が不正アクセスするのための「裏口」を確立。これを足掛かりとして2020年5月から、第2弾のマルウェア「TEARDROP」「Raindrop」などを使った本格攻撃が開始された。

　この間、SolarWindsではOrionに存在するさまざまな脆弱性の調査や修正を行い、Sunburstが原因と思われる顧客のインシデント対応も行っていたが、不正な挙動は検出できなかった。Orionを使っていた米連邦政府機関や大手企業、セキュリティ企業も見抜くことはできなかった。

　SolarWindsは今回の事案を「史上最大級の複雑かつ高度なサイバー攻撃」と位置づける。調査を進めているMicrosoftも「攻撃者のスキルのレベルの高さと、発見を免れることを目的として細部に至るまで綿密な計画を立てていた実態」が明らかになったと報告している。

　Microsoftのブログ（1月20日付）によると、攻撃がSunburst（Microsoftは「Solorigate」と呼んでいる）からTEARDROPやRaindropへと引き継がれる過程で、この2種類のマルウェアはできる限り切り離して展開されていた。その目的は、たとえTEARDROPなどのマルウェアが検出されたとしても、SolarWindsに仕込んだ不正なコードとそれに先立つサプライチェーン攻撃が発覚しないようにすることにあった。