SolarWindsハッキング事件について現在までわかっていること

  • 6,211

SolarWindsハッキング事件について現在までわかっていること
Images: Jim Watson/Getty Images

過去最悪に近いアタックかも。

テキサスに本部を置くネットワーク・マネージメント・ソフトウェア会社、SolarWindsに侵入したエリートハッカー集団は、同社の中でもっとも利用されている製品をトロイの木馬に変えてしまいました。その結果はこれ以上ない大成功で、判明しているだけでも米政府の6つの機関、そして米国の無数の大企業が彼らにアクセスを与えてしまったのです。

先日まで、ITに関わっている人たち以外でSolarWindsの名前を聞いたことのある人はほぼいなかったでしょうが、実は、米国のあらゆる産業の何百というトップ企業が顧客だったのです。国家安全保障局 (NSA) を含む、政府でも有数のセキュリティを誇る機関が同社のネットワーク・マネージメント・プラットフォームを利用しており、米軍に至っては、機密情報を扱うコミュニケーション・ネットワークにまで導入していました。Orion Platformと呼ばれるこのソフトウェアは、マルウェアをこっそりクライアントに配布し、今年の3月あたりからインストールされたコンピュータを監視して、情報の盗み出しを行なっていたと考えられています。

SolarWindsによると、Orionの顧客3万3千件のうちおよそ半分に影響しているそうですが、過去9ヶ月、誰も気づかなかったのでしょうか。

Washington Postによると、現時点で被害にあったとわかっている政府関係の機関は、国務省、商務省、財務省、国土安全保障省、さらに、政府のために生物学的研究を行なう国立衛生研究所です。また、Politicoが報じたところによると、核兵器の保全を担当しているエネルギー省と国家核安全保障局にも被害が及んでいるそうです(エネルギー省は、「ビジネスネットワーク」のみに影響したと発表しています)。

何が、どこに盗まれ、どれだけの被害があったのかはまだ分かっていません。

匿名の政府関係者がWashington Postに語ったところによると、ハッキングを行なったのはロシア対外諜報庁 (SVR) で、SolarWindsへの侵入は「非常に高度な」サプライチェーンアタックの第一段階なのだそうです。ハッキングは、Sunburstと呼ばれる悪意のコードをOrion Platformに仕込むことから始まりました。SolarWindsは、Orionのソースコードはクリーンなものの、「Orionソフトウェアのビルド中に仕込まれたようだ」としています。

ハッカーは、SolarWindsが同社のウェブサイトに投稿した複数のバージョンのOrionにSunburstを仕込みました。そして企業や政府機関の顧客がサイトからソフトウェアをアップデートした時にネットワークに忍び込んだのです。その後は数日から数週間ほど息を潜めて時を待ちます。ひとたび活動を開始すると、まずは新しい環境を偵察し、その詳細をマルウェアの主に送信します。クレバーなことに、ハッカーたちはSunburstとの通信をOrionのトラフィックに偽装していたため、普通のIT系職員のアクセスと見分けがつかないようになっていました。ここからもレベルの高さが伺えます。

またSunburstは、独自にダウンロード、転送、ファイルの実行ができます。ハッカーが中心となるターゲットを見つけたら、Sunburstに命じてさらなる武器を使うことができるのです。その一つのTeardropは、カスタムされたネットワーク侵入ソフトウェア、Cobalt Strikeを実行しているところが観察されています。これらの機能によって、Sunburstはユーザー資格情報を収集したり、キーストロークをモニターしたりして、ネットワーク内での権限を強める方法を探すことができるのです。

ライバル国からと思われる攻撃に対し、数え切れない企業と政府の高官は、実被害の検証に右往左往しています。Bloombergが取材した専門家たちは、アタックの複雑さに加え、徹底してIT職員に偽装しようとしたハッカーの執念が原因で、被害の調査は困難を極めると考えています。

政府の高官によると、連邦捜査局 (FBI)、Cybersecurity and Infrastructure Security Agency (CISA) 、国家情報長官室は合同タスクフォースを設置し、政府一体の体制での対応が決まりました。元局長であるChris Krebs氏を始め、局の上層部がホワイトハウスにより辞任に追い込まれたCISAは、アタックが未だ国家に対して非常に危険であると警告しています。また、ハッカー達に対しては彼らの「忍耐力、オペレーション上の安全管理、複雑な技術」を認めました。

ロシアはサイバーアタックへの関与を一切否認しています。

国家安全保障局と監視委員会や共同声明を出し、国家のシステムに対する攻撃に関して捜査を開始したと宣言しました。情報機関の高官複数が、先週の金曜日にはホワイトハウスでの機密会議に召喚されたそうです。一方、 上院情報委員会の副委員長であるMark Warner氏は、「事態を十分深刻にとらえていない」とホワイトハウスを厳しく批判しました。また彼は、トランプ大統領が「状況の重大さに行動するどころか、認めようとすらしていない」としています。

記事を執筆している時点で、トランプ大統領はアタックに関する声明を出していません。

    あわせて読みたい