Windowsのソースコードが6200万円で売りに出されていることが発覚
2020年12月に発生した、ネットワーク監視ソフト「Orion Platform」への大規模なサイバー攻撃により、アメリカの政府機関や大企業など多くの組織が甚大な被害を受けました。さらに、このサイバー攻撃で盗み出されたデータを販売していると主張するサイト「SolarLeaks」が登場し、OrionやMicrosoft Windowsのソースコードを提供すると主張しています。
solarleaks.net/
http://solarleaks.net/
SolarLeaks site claims to sell data stolen in SolarWinds attacks
https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/
2020年12月に、セキュリティ会社SolarWindsのネットワーク監視ソフト「Orion Platform」のアップデートファイルにトロイの木馬が混入するサイバー攻撃が発生。被害を受けたMicrosoftは、他企業と連携してサイバー攻撃に関連したドメインを押収するなどの対応に追われました。この攻撃についてMicrosoftのブラッド・スミス社長は、「過去10年で最も深刻なサイバー攻撃の1つ」と位置づけています。
Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE
ニュースサイト・BleepingComputerは、2021年1月12日に「SolarWindsへの攻撃で盗まれたデータを販売していると主張するサイトSolarLeaksが本日公開されました」と報じました。
実際にSolarLeaksのサイトにアクセスした結果が以下。「Happy new year!」のあいさつで始まる簡素なテキストメッセージには、「最近の冒険で見つけたデータを売り出し中です」と記載されています。また、Windowsのソースコードの一部とMicrosoftのリポジトリには、60万ドル(約6215万円)の値が付けられていました。
Windowsのソースコードへのリンクとして掲載されているクラウドストレージサイトのURLにアクセスしてみると、以下のように復号キーの入力を求める画面が表示されました。この復号キーと引き替えに金銭を得ようというのが、SolarLeaksのねらいのようです。
Microsoftは、Orion Platformを介した同社への攻撃によりMicrosoft製品のソースコードが盗まれた可能性があることを認めています。
SolarLeaksでは、WindowsのほかMicrosoftと同様の被害を受けたネットワーク機器大手Ciscoや、攻撃に利用されたOrionの開発会社であるSolarWinds、著名なセキュリティ企業FireEyeのソースコードやデータが販売されています。また、末尾にはSolarLeaksへの連絡用とされるメールアドレスも記載されています。
ただし、BleepingComputerが実際にこのメールアドレスにメールを送ろうとしたところ、メールアドレスは実在しないというメッセージが表示されました。
漏えいしたパスワードの検索サービスScattered Secretsの設立者で、セキュリティ研究者でもあるリッキー・ジュベール氏によると、SolarLeaksのドメインはロシアの政府系ハッカー集団「ファンシーベア」などが重用しているドメイン登録サービスNjallaから登録されたものだとのこと。
The domain is 1 day old and registered through NJALLA. Njalla is a preferred registrar from Fancy Bear and Cozy Bear. This alone already shows the people behind this website have at least a little knowledge about Russian MO.
— Rickey Gevers (@UID_) January 12, 2021
これまでの調査により、SolarWindsへの攻撃にはロシア政府機関の支援を受けているとの疑いがあるハッカー集団「UCN2452」が関与していることが分かっています。
世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに - GIGAZINE
また、BleepingComputerがドメインの所有者を照会するサービスであるWHOISでSolarLeaksを検索したところ、「You Can Get No Info(君は何の情報も得られない)」と検索した人をあざけるような名前がつけられたサーバーが表示されました。
SolarLeaksについてBleepingComputerは、「このサイトが本物かどうかや、サイト所有者が彼らが販売しているデータを実際に持っているかどうかは確認されていません」と述べました。
また、セキュリティ企業Rendition Infosecの設立者であるジェイク・ウィリアムズ氏はTwitterで「SolarLeaksのデータは商業的には魅力的ですが諜報(ちょうほう)面での価値はありません。財務省や商務省などの政府機関のデータが提供されていないという事実は、これが本物のグループによるものだという可能性を示唆しています」とコメント。実利を得ることに傾倒している姿勢から、偽物の可能性は小さいのではないかとの見方を示しました。
One more thought about #solarLeaks: the alleged sale is only for things are commercially interesting, not data of intelligence value. The fact that no intelligence data (Treasury, Commerce, etc.) was offered for suggests this could be the real group. 1/3
— Jake Williams (@MalwareJake) January 12, 2021
(https://t.co/vCaZOBsT9G)
BleepingComputerはMicrosoftに連絡し、SolarLeaksの存在を把握しているかや、SolarLeaksの主張通りにデータが流出しているのかなどの確認をとっていますが、記事作成時点では返答は得られていないとのことです。
・関連記事
ロシア政府の支援を受けるハッキンググループによるアメリカ政府機関へのサイバー攻撃「Solorigate」は当初の予想以上の被害規模の可能性 - GIGAZINE
大規模な政府機関へのサイバー攻撃についてアメリカ政府が公式声明でロシアを非難 - GIGAZINE
政府機関への大規模サイバー攻撃が核兵器関連の組織やMicrosoftにも迫っていたことが判明 - GIGAZINE
世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに - GIGAZINE
Microsoftが大規模な政府機関へのハッキング問題に対応して攻撃に使われるドメインの押収などを実施 - GIGAZINE
Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE
ディズニーや任天堂、Microsoftなど50社以上の企業のソースコードがリークされる - GIGAZINE
日産の機密情報であるソースコードがインターネット上に流出 - GIGAZINE
・関連コンテンツ
