アメリカのサイバーセキュリティ対応でサプライチェーンを強化せよと当時のバイデンが出した大統領令により、アメリカでは急速にサプライチェーン強化が進みましたが、そのきっかけとなったSolarWinds社のOrionへの攻撃手口がすさまじかった。

Orionというのはファームやミドルウェアの修正モジュールを作成し、配布するためのプラットフォームだが、この修正モジュールの中にバックドアを潜ませ、配布後に外部から侵入し、機微な情報を盗み出すもの。

どうやるのかというと、ビルド環境に侵入後に特権を奪取すると修正版を作成するのに使用されるWindows Visual Studioの挙動を監視し、作業ディレクトリや作成に必要なライブラリやモジュールを探し、そのソースの一部を改ざんする。ソースコードファイルを置き換え中にビルドエラーが引き起こされると、Orionの開発者が気づき攻撃者の発見につながるのでこれを回避するために、ハッシュ検証チェックを盛りこむといったものをはじめあれやこれやの対策が施される。

ファイル名や拡張子の書き換えなどいくつかの対処の後、バックドアされたソースファイルは、標準プロセスの一環としてコンパイルされ、その後で一時ファイル等の痕跡を削除する。ソースコードは、一般的な変数名やあらかじめ難読化された文字列が使用され、開発者のコメントや無効化されたコードがないかなどを消すなどのサニタイズまで行う。

この手口が興味深いのは、修正モジュールを作成している作業中に侵害行為を行っている点で、こうした手順でエラーが発生したり、あるいはセキュリティツールで検知され失敗しないかどうかをOrionの動作環境と同じものを作って事前に入念な動作検証をしているものと思われる。

こういう連中に的にされると、EDRやEPPでも挙動がおかしいと反応できるかも怪しく、そんじょそこらの事業会社では防御することは非常に難しい。

後で調査したところでは、SolarWinds社は最初の侵害を受けてから１年近くもわからなかった。SBOMでソフトウェアの管理をするにしても、修正版自体が巧妙に改ざんされるとなるとどうなるのだろうかと思ってしまう。