Windowsのソースコードが6200万円で売りに出されていることが発覚

Windowsのソースコードが6200万円で売りに出されていることが発覚

  • GIGAZINE
  • 更新日:2021/01/13
No image

2020年12月に発生した、ネットワーク監視ソフト「Orion Platform」への大規模なサイバー攻撃により、アメリカの政府機関や大企業など多くの組織が甚大な被害を受けました。さらに、このサイバー攻撃で盗み出されたデータを販売していると主張するサイト「SolarLeaks」が登場し、OrionやMicrosoft Windowsのソースコードを提供すると主張しています。

solarleaks.net/

http://solarleaks.net/

SolarLeaks site claims to sell data stolen in SolarWinds attacks

https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/

2020年12月に、セキュリティ会社SolarWindsのネットワーク監視ソフト「Orion Platform」のアップデートファイルにトロイの木馬が混入するサイバー攻撃が発生。被害を受けたMicrosoftは、他企業と連携してサイバー攻撃に関連したドメインを押収するなどの対応に追われました。この攻撃についてMicrosoftのブラッド・スミス社長は、「過去10年で最も深刻なサイバー攻撃の1つ」と位置づけています。

No image

Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE

ニュースサイト・BleepingComputerは、2021年1月12日に「SolarWindsへの攻撃で盗まれたデータを販売していると主張するサイトSolarLeaksが本日公開されました」と報じました。

実際にSolarLeaksのサイトにアクセスした結果が以下。「Happy new year!」のあいさつで始まる簡素なテキストメッセージには、「最近の冒険で見つけたデータを売り出し中です」と記載されています。また、Windowsのソースコードの一部とMicrosoftのリポジトリには、60万ドル(約6215万円)の値が付けられていました。

No image

Windowsのソースコードへのリンクとして掲載されているクラウドストレージサイトのURLにアクセスしてみると、以下のように復号キーの入力を求める画面が表示されました。この復号キーと引き替えに金銭を得ようというのが、SolarLeaksのねらいのようです。

No image

Microsoftは、Orion Platformを介した同社への攻撃によりMicrosoft製品のソースコードが盗まれた可能性があることを認めています

SolarLeaksでは、WindowsのほかMicrosoftと同様の被害を受けたネットワーク機器大手Ciscoや、攻撃に利用されたOrionの開発会社であるSolarWinds、著名なセキュリティ企業FireEyeのソースコードやデータが販売されています。また、末尾にはSolarLeaksへの連絡用とされるメールアドレスも記載されています。

No image

ただし、BleepingComputerが実際にこのメールアドレスにメールを送ろうとしたところ、メールアドレスは実在しないというメッセージが表示されました。

No image

漏えいしたパスワードの検索サービスScattered Secretsの設立者で、セキュリティ研究者でもあるリッキー・ジュベール氏によると、SolarLeaksのドメインはロシアの政府系ハッカー集団「ファンシーベア」などが重用しているドメイン登録サービスNjallaから登録されたものだとのこと。

The domain is 1 day old and registered through NJALLA. Njalla is a preferred registrar from Fancy Bear and Cozy Bear. This alone already shows the people behind this website have at least a little knowledge about Russian MO.
— Rickey Gevers (@UID_)
January 12, 2021
from Twitter

これまでの調査により、SolarWindsへの攻撃にはロシア政府機関の支援を受けているとの疑いがあるハッカー集団「UCN2452」が関与していることが分かっています。

No image

世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに - GIGAZINE

また、BleepingComputerがドメインの所有者を照会するサービスであるWHOISでSolarLeaksを検索したところ、「You Can Get No Info(君は何の情報も得られない)」と検索した人をあざけるような名前がつけられたサーバーが表示されました。

No image

SolarLeaksについてBleepingComputerは、「このサイトが本物かどうかや、サイト所有者が彼らが販売しているデータを実際に持っているかどうかは確認されていません」と述べました。

また、セキュリティ企業Rendition Infosecの設立者であるジェイク・ウィリアムズ氏はTwitterで「SolarLeaksのデータは商業的には魅力的ですが諜報(ちょうほう)面での価値はありません。財務省や商務省などの政府機関のデータが提供されていないという事実は、これが本物のグループによるものだという可能性を示唆しています」とコメント。実利を得ることに傾倒している姿勢から、偽物の可能性は小さいのではないかとの見方を示しました。

One more thought about #solarLeaks : the alleged sale is only for things are commercially interesting, not data of intelligence value. The fact that no intelligence data (Treasury, Commerce, etc.) was offered for suggests this could be the real group. 1/3
( https://t.co/vCaZOBsT9G )
— Jake Williams (@MalwareJake)
January 12, 2021
from Twitter

BleepingComputerはMicrosoftに連絡し、SolarLeaksの存在を把握しているかや、SolarLeaksの主張通りにデータが流出しているのかなどの確認をとっていますが、記事作成時点では返答は得られていないとのことです。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

  • このエントリーをはてなブックマークに追加