米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月14日(米国時間)、「CISA Publishes Eviction Guidance for Networks Affected by SolarWinds and AD/M365 Compromise|CISA」において、SolarWinds製品の脆弱性に起因するサイバーセキュリティインシデントの被害を受けた組織に対し、侵害されたオンプレミス環境やクラウド環境から侵入者を排除するための方法を示した分析レポートを公開したと伝えた。分析レポートでは侵入者を排除するための詳細な手順が示されている。
分析レポートは次のページで公開されている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は同日、影響を受けたバージョンのSolarWinds Orionを使用したネットワークがあり、かつ、脅威行為の証拠が見られるすべての連邦政府機関に対して次の緊急指令を公開した。
公開された分析レポートおよび緊急指令は連邦政府機関向けのものだが、CISAは重要インフラストラクチャ関連組織、州、地方、領土、部族政府組織、民間組織に対しても応用して適宜適用することを推奨している。
また、次の資料に関しても参照することが推奨されている。
- Remediating Networks Affected by the SolarWinds and Active Directory/M365 Compromise | CISA
- Supply Chain Compromise | CISA
- cyber.dhs.gov - Emergency Directive 21-01
- Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations | CISA
公開された資料は基本的に米国の組織を対象としたものだが、その内容は日本の組織においても利用することができる。SolarWindsサイバーセキュリティンシデントでは、影響を受けたネットワークやシステムから侵入者を完全に排除することが難しいと考えられており、該当するサイバーインシデントの攻撃を受けた痕跡がある場合には、公開されたドキュメントなどを参考にして対処を行うことが望まれる。