Microsoftは、インターネットに公開されたSolarWinds Web Help Desk(WHD)インスタンスの脆弱性を悪用し、初期アクセスを獲得した後、組織ネットワーク内を横方向に移動して高価値資産に到達する多段階攻撃を観測したことを明らかにしました。この攻撃は、パッチ未適用のサーバーを狙った巧妙な手法であり、企業のセキュリティ体制に重大な課題を突きつけています。
この記事のポイント
- SolarWinds Web Help Deskのインターネット公開インスタンスがリモートコード実行(RCE)の攻撃対象に
- 攻撃者は初期アクセス後、ネットワーク内を横方向に移動し高価値資産を標的化
- Microsoft Defender Security Research Teamが多段階侵入の詳細を公表
SolarWinds Web Help Deskとは何か
SolarWinds Web Help Desk(WHD)は、IT部門向けのヘルプデスク・チケット管理ソフトウェアです。多くの企業や組織で、IT資産管理、インシデント追跡、サービスリクエスト管理などに利用されています。その性質上、組織内の機密情報やインフラ構成に関するデータを多く保持しており、攻撃者にとっては非常に魅力的なターゲットとなります。
過去にもSolarWinds製品は大規模なサプライチェーン攻撃の標的となった経緯があり(2020年のSolarWinds Orion事件)、同社の製品に対するセキュリティ意識は業界全体で高まっています。しかし今回の攻撃は、Web Help Deskという比較的注目されにくい製品を狙ったものであり、攻撃者が多角的にSolarWinds製品群を調査していることを示唆しています。
多段階攻撃の手法と流れ
Microsoft Defender Security Research Teamの報告によると、今回観測された攻撃は複数の段階を経て実行されました。
第1段階:初期アクセスの獲得
攻撃者はまず、インターネットに直接公開されているSolarWinds WHDインスタンスを発見し、既知の脆弱性を悪用してリモートコード実行(RCE)を達成しました。これにより、対象サーバー上で任意のコマンドを実行できる状態を確立しています。
第2段階:ラテラルムーブメント(横方向移動)
初期アクセスを確保した後、攻撃者はネットワーク内を横方向に移動し、より価値の高い資産やシステムへのアクセスを試みました。ヘルプデスクシステムには、認証情報やネットワーク構成に関する情報が含まれていることが多く、これらの情報が横方向移動の足がかりとして利用された可能性があります。
なお、Microsoftは今回の攻撃が最近公開された特定の脆弱性を武器化したものかどうかについては、現時点では明確にしていません。これは調査が継続中であることを示しており、今後追加の情報が公開される可能性があります。
インターネット公開サーバーのリスク
今回の事例は、内部管理用のソフトウェアをインターネットに直接公開することの危険性を改めて浮き彫りにしています。Web Help Deskのようなヘルプデスクツールは、本来は組織内部でのみアクセスされるべきものですが、リモートワークの普及や運用上の利便性から、インターネットに公開されるケースが後を絶ちません。
攻撃者はShodanやCensysなどのインターネットスキャンツールを使って、公開されたWHDインスタンスを容易に発見できます。一度発見されれば、既知の脆弱性を自動化されたツールで試行し、パッチ未適用のサーバーに対して迅速に攻撃を仕掛けることが可能です。
企業が取るべき対策としては、まずヘルプデスクシステムをVPNやゼロトラストネットワーク経由でのみアクセス可能にすることが最優先です。やむを得ずインターネットに公開する場合は、WAF(Web Application Firewall)の導入やIP制限の適用が不可欠です。
防御策と推奨事項
この種の攻撃から組織を守るためには、以下の多層的なアプローチが重要です。
パッチ管理の徹底:SolarWinds WHDを含むすべてのソフトウェアに対して、セキュリティパッチを迅速に適用することが基本です。特にインターネットに公開されているシステムは、脆弱性公開から攻撃開始までの時間が極めて短いため、優先的に対応する必要があります。
ネットワークセグメンテーション:ヘルプデスクシステムと重要資産を異なるネットワークセグメントに配置し、仮に初期侵入を許しても横方向移動を困難にする設計が有効です。
監視と検知の強化:Microsoft DefenderをはじめとするEDR/XDRソリューションを活用し、不審なプロセス実行やラテラルムーブメントの兆候を早期に検知できる体制を整えることが推奨されます。
最小権限の原則:ヘルプデスクシステムのサービスアカウントに必要最小限の権限のみを付与し、万が一侵害された場合の被害範囲を限定することが重要です。
知っておくと便利なTips
- SolarWinds WHDを運用している場合は、SolarWinds Security Advisoryページを定期的に確認し、最新のセキュリティアドバイザリに目を通すことを習慣化しましょう
- インターネットに公開されている自組織の資産を把握するために、定期的な外部攻撃面(Attack Surface)の棚卸しを実施することが効果的です
- Microsoft Defender for Endpointを利用している場合、今回の攻撃パターンに対応する検知ルールが提供される可能性があるため、定義ファイルを最新に保ちましょう
まとめ
今回のMicrosoftによる報告は、SolarWinds Web Help Deskのインターネット公開インスタンスを狙った多段階攻撃の実態を明らかにしました。攻撃者はRCE脆弱性を悪用して初期アクセスを獲得し、ネットワーク内を横方向に移動して高価値資産を標的にしています。内部管理ツールの不用意なインターネット公開がいかに危険であるかを示す好例であり、パッチ管理の徹底、ネットワークセグメンテーション、監視体制の強化といった基本的なセキュリティ対策の重要性を改めて認識させる事例です。調査は継続中であり、今後さらなる詳細が明らかになる可能性があります。
📎 元記事: https://thehackernews.com/2026/02/solarwinds-web-help-desk-exploited-for.html
コメント