SolarWinds 侵害 ── ロシア SVR が更新サーバごと汚染したサプライチェーン攻撃

2020年12月8日、 米国のサイバーセキュリティ大手 FireEye（CEO は Kevin Mandia） は、 自社が国家アクターによる高度な侵害を受け、 攻撃者が同社の Red Team ツール（侵入テスト用攻撃ツール群）を窃取したことを異例の早期開示で公表した。 続いて12月13日、 同社は侵害ルートを特定し公開する ── ネットワーク監視ソフト SolarWinds Orion の正規ビルドに紛れ込んでいた SUNBURST バックドア を経由していた。

同日、 Microsoft、 そして米国土安全保障省 CISA も連名で警告を発令。 やがて明らかになったのは、 米国連邦政府の少なくとも9省庁、 そして Fortune 500 の主要企業群が、 数か月にわたり同じ攻撃者の支配下にあったという事実だった。

攻撃の構造 ── ビルドパイプラインへの侵入

通常のマルウェアは、 顧客のシステムに侵入してから動く。 SolarWinds 攻撃の異常さは、 攻撃者が SolarWinds 社の社内ビルドサーバそのものを掌握 し、 公式の Orion ビルド成果物（DLL SolarWinds.Orion.Core.BusinessLayer.dll）にバックドアコードを埋め込んだ点にあった。

その結果、

1. SolarWinds は、 自社が正規にコード署名した「悪意ある Orion 更新」を、 何の不自然さもなく顧客に配布した。
2. 顧客側のセキュリティ製品（EDR、 アンチウイルス、 NDR）は、 「正規署名された SolarWinds 製品が振る舞っている」 と認識し、 警告を出さなかった。
3. SUNBURST は感染後 12〜14日間は完全に休眠 し、 検知用サンドボックスの観察期間を超えてから、 攻撃者の C2 サーバ（DNS で avsvmcloud.com の動的サブドメイン）に通信を開始する設計だった。

この「正規ビルド経由・休眠期間・正規署名」の3要素により、 2020年3月から12月までの約9か月、 侵入は完全にステルス で継続した。

影響範囲

汚染された Orion 更新をダウンロードした組織は 約18,000 と推定される（SolarWinds 自身の SEC への報告書）。 ただし攻撃者が「興味深い被害者」を選別して深い侵入を行ったのは数百組織に絞られたとみられている。 公表された主要被害組織は以下を含む。

• 米連邦機関: 財務省、 国土安全保障省（CISA を擁する省）、 国務省、 司法省、 商務省、 エネルギー省（核セキュリティ局 NNSA を含む）、 国立衛生研究所（NIH）、 NTIA、 そして米核安全保障庁。
• 民間: Microsoft、 Cisco、 Intel、 NVIDIA、 FireEye、 Mimecast、 Belkin、 Palo Alto Networks、 VMware など多数（自社申告ベース）。
• その他: 英国、 欧州、 中東諸国の政府機関・企業。

Microsoft は2020年12月31日の追補で、 攻撃者が同社の ソースコードリポジトリの一部 を閲覧していたことを認めた（編集はされていない、 とした）。

帰属 ── ロシア対外情報庁 SVR / Cozy Bear

2021年1月5日、 FBI、 CISA、 ODNI（国家情報長官室）、 NSA の4機関合同声明で、 米政府は 「ロシア起源の APT（高度持続的脅威）アクター」 による国家後援のスパイ作戦と断定。 4月15日、 バイデン政権はより踏み込んで ロシア対外情報庁 SVR を実行主体と名指しし、 ロシア外交官10名追放、 32の機関・個人への新規制裁、 SVR フロント企業6社の制裁指定 ── という対応を発動した。

このアクターは米英の追跡名でいう APT29 / Cozy Bear（Microsoft は後に脅威アクターの命名規則を変更し、 同グループを「Midnight Blizzard」と再命名）。 2014年の米民主党全国委員会（DNC）侵入、 2014〜2015年の米国務省・ホワイトハウス侵入、 2020年の COVID-19 ワクチン研究機関への諜報活動 ── と続く、 ロシア最古参の対外スパイ部隊である。

なぜ FireEye の自社侵害が事件を解いたか

攻撃者は FireEye 社内の SolarWinds Orion インスタンスを経由して FireEye 環境へ侵入し、 そこから Red Team ツールを盗もうとした。 だが FireEye のセキュリティチームは、 自社環境内で動く新規 MFA トークン登録の異常 ── 既知の従業員端末以外から、 新たに MFA デバイスが登録された ── という、 一見些細なログを検知した。

この異常追跡から SUNBURST が掘り起こされた。 もし攻撃者の標的が一流セキュリティ企業を含まなければ、 侵入はさらに数か月〜年単位で気づかれなかった可能性が高い ── これは事件後の数多くのインタビューで Mandia 自身が認めている。

政策効果 ── EO 14028 と SBOM

事件は、 ジョー・バイデン政権発足直後の主要サイバー政策アジェンダを規定した。

• 大統領令 14028（2021年5月12日 発令）: 連邦調達ソフトウェアに対する Software Bill of Materials（SBOM） の提出義務化、 ゼロトラスト・アーキテクチャへの移行義務化、 サイバーインシデント報告の強化を規定。
• CISA の権限拡大: CISA は同事件後、 連邦民間機関全体への「能動的なネットワーク監査」権限を強化された。
• OMB Memorandum M-22-09 / M-22-18: ゼロトラスト戦略と OSS セキュリティ確保の具体実装ガイダンス。

産業界では、 ソフトウェア配布パイプライン（CI/CD）に対するセキュリティ強化、 再現可能ビルド（Reproducible Builds）、 SLSA（Supply-chain Levels for Software Artifacts） などの取り組みが加速。 「サプライチェーンセキュリティ」が独立した市場カテゴリとして確立した。

残したもの

SolarWinds 攻撃が示したのは、 防御側の伝統的な前提 ── 「正規署名された、 正規ベンダーが配布したソフトウェアは、 信頼できる」 ── が崩壊した瞬間だった。 ソフトウェアサプライチェーンのどこに信頼の根を置くか、 という問題は、 以後すべての企業 IT 設計の前提として組み込まれることになる。

「敵は、 あなたのサーバを攻撃しない。 あなたが信頼するベンダーを攻撃する」 ── サプライチェーン攻撃時代の標語として定着したこの一行は、 2020年12月の SolarWinds を起点とする。