パロアルトネットワークスによるラピッドレスポンス: SolarStorm攻撃に対処する

This post is also available in: English (英語) 简体中文 (簡体中国語) 繁體中文 (繁体中国語)

先週末にSolarWindsのサプライチェーン攻撃が発覚して以来、あらゆる場所でセキュリティチームは「SolarStorm」攻撃の侵害を受けていないかの確認に奔走しており、数時間ごとに新たな感染者が確認されています。

セキュリティチームが注意を払うのは正しいことです。これはじきに、歴史上最も深刻なサイバー攻撃の1つとして語られることになるでしょう。汚染されたSolarWinds Orionソフトウェアのアップデートは、特定まで数ヶ月にわたり配布されていたことから、攻撃者は管理者権限を取得し、ネットワークへの長期的なアクセスが可能となっていました。すなわち、組織は悪意のあるアクターによる完全な侵害を許してしまっていたおそれがあります。このような大規模な攻撃から身を守るために、私たちは団結しなければなりません。

より広いコミュニティを支援するため、SolarStorm攻撃を防ぐことに成功した私たちの経験を紹介したいと思います。

最近、ITのSolarWindsサーバーの1つで、Cobalt Strikeをダウンロードしようとする試みがありました。Cortex XDRは、行動脅威防御機能（BTP）でこの攻撃を即座にブロックしました。またSOCはこのサーバーを隔離し、インシデントを調査してインフラストラクチャを保護しました。この結果、顧客向けパロアルトネットワークス製品にも一揃いIOCをデプロイしました。

私たちはこれを孤立したインシデントと考えていましたが、12月13日に、SolarWindsソフトウェアのサプライチェーンが侵害されていたことが判明し、私たちが阻止したインシデントがSolarStorm攻撃の未遂であったことが明らかになりました。この新しい情報を受け、私たちはインフラ全体をもう一度徹底的に分析しました。SolarStorm攻撃の規模の大きさから、当社のインフラストラクチャを継続的に評価する必要がありますが、パロアルトネットワークスの安全性は引き続き確保されていると確信しています。

これまでの経験、業界情報、製品、サービスを活用し、これらの攻撃からお客様を保護することが弊社の最優先事項です。お客様の支援のため、弊社は専門家のリソースを確保し、次の2つの異なるプログラムをサポートします (※ 本サービスは英語によるリモートでのご提供となります)。

• SolarStormの迅速評価。この評価では、弊社のExpanseプラットフォームのクラス最高の機能と、Crypsisのインシデント対応チームを活用し、お客様がこの脅威により侵害を受けていないかどうかを迅速に判断します。この評価は無料で、お客様の安全を確保するための弊社の取り組みを反映しています。
• SolarStormのサイバーセキュリティへの取り組み。影響を受けたと思われるお客様は、弊社のインシデント対応チームが攻撃の封じ込めと回復を支援する短期リテイナーに直接参加できます。この期間中はCortex XDRとExpanseの両ライセンスが2ヶ月間提供されます。

今回のSolarStorm攻撃により、組織は、ますます巧妙化する脅威に対し、増加し続ける攻撃面を防御しなければならない、ということが改めて浮き彫りになりました。弊社は、企業、政府機関そのほかのセキュリティ コミュニティと協力し、この脅威に対する理解と防御の向上に努めてまいります。

SolarWindsのサプライチェーンの侵害に対処するためのこのほかのリソースについては、ラピッドレスポンスのリソースページをご覧ください。