Cybersecurity and Infrastructure Security Agency (CISA)は12月30日(米国時間)、米国政府機関に対して2020年内にSolarWinds Orion Platformのアップデートを要求した緊急指令「Emergency Directive 21-01」を更新し、補助ガイダンスを追加した。追加部分には「Emergency Directive 21-01 - Supplemental Guidance v2 - Mitigate SolarWinds Orion Code Compromise」というタイトルがつけられている。

  • cyber.dhs.gov - Emergency Directive 21-01

    cyber.dhs.gov - Emergency Directive 21-01

CISAは補助ガイダンスで、SolarWinds Orion Platformに関して次の2つの説明を追加している。

  • SolarWinds Orion Platformのバージョン2019.4 HF5、2020.2 RC1、2020.2 RC2、2020.2、2020.2 HF1を使っている場合、電源を落とすか、ネットワークから切断すること。継続して利用してはならない。
  • 上記以外のバージョンを使っている場合、SolarWinds Orion Platform 2020.2.1HF2へアップデートすること。アップデートした後は利用してもよい。

利用しても問題がないバージョンを明示することで、問題を抱えたバージョンを特定しやすくするとともに、どのバージョンへアップデートすべきかをわかりやすくしたものと見られる。

SolarWinds Orion Platformの脆弱性に端を発するサイバー攻撃はまだ全容が明らかになっていないが、影響範囲が広い上、完全な排除が困難だと指摘するセキュリティベンダーもいるなど、難しい状況が続いている。CISAはよりわかりやすく情報を発信することで、関連機関や組織に対して迅速な対応を促すことを狙っていると思われる。