マイクロソフトの社長で首席弁護士のブラッド・スミス氏は、民間部門は自社のシステムに対するあらゆる重大なハッキングを公表する法的義務を負うべきだと述べている。
火曜日の上院情報委員会の公聴会で、ロシアの工作員とみられる人物が米政府機関やフォーチュン500企業のコンピューターに侵入した原因となったソーラーウィンズのバックドアについて講演したスミス氏は、「民間部門の組織に何らかの通知義務を適切に課すために、議論するだけでなく、行動を起こす方法を見つける時だ」と主張した。
同氏は、企業が米国議会に自社と顧客に対する新しい法律を課すよう要請するのは「典型的な措置ではないが、それが国を守る唯一の方法であり、世界を守る唯一の方法だと思う」と述べた。
それが私たちの国を守る唯一の方法であり、世界を守る唯一の方法だと考えています
この招待は確かに異例だったが、公聴会の他のパネリスト、つまりSolarWindsのCEO、改ざんされたネットワーク監視ソフトウェアを最初に発見し、暴露したセキュリティ専門家FireEyeのCEO、そしてCrowdStrikeのCEOらが異議を唱えなかったことは注目に値する。全員が企業と政府の間でより多くの情報共有が必要であることに同意したが、実際に法的義務を課すことを提案したのはスミス氏だけだった。
専門家たちは、ハッキングに関する他の多くの点でも意見が一致した。それは、ハッキングは「非常に高度な」チームによって実行され、間違いなく国家の支援を受けているという点だ。クラウドストライクのCEO、ジョージ・カーツ氏は、ハッカーたちの「卓越した技術」と「非常にユニークな」アプローチを指摘した。ロシアによる犯行だと断言したのはスミス氏だけだったが、ファイア・アイのCEO、ケビン・マンディア氏は、膨大な量の逆コンパイルされたコードから手がかりを探すなど、同氏のチームによる徹底的な調査の結果、ハッキングは「中国、北朝鮮、イランの犯行とは一致せず、ロシアの犯行と最も一致する」という結論に至ったと述べた。
また、ハッカーがSolarWindsのOrionソフトウェアのビルド段階に侵入し、ユーザーがダウンロードしてインストールできる状態にリリースされる前にバックドアを潜ませたという攻撃手法自体が問題であったことにも両氏は同意した。スミス氏とSolarWindsのCEOであるスダカール・ラマクリシュナ氏はともに、この手法は多数の企業を危険にさらしただけでなく、ソフトウェアの定期的なアップデートとパッチ適用という重要なプロセスに対する人々の信頼を損なうものであり、「無謀」だと批判した。
スミス氏は、こうしたハッキングの犯人を特定し処罰し始める時期が来ていると主張し、ホワイトハウスは今週、ロシアの行為を名指しして処罰することを検討していることを認めた。
慎重に計画された
マンディア氏は、ハッカーらが他の目的よりも発見されないことを優先していたことを明確にし、ロシア政府も危険な一線を越えていることを認識していたことを示唆した。
例えば、隠されたバックドアは、汚染されたOrionがインストールされてから約11日後に起動します。これは、将来発見されたとしても、SolarWindsのアップデートとの関連付けを困難にするためです。また、実際のハッキングの数ヶ月前にSolarWindsのシステムに対してテスト実行を行い、自分たちの手法が発見されるかどうかを待っていました。さらに、攻撃ごとに異なるIPアドレスが使用されましたが、いずれも以前の攻撃では使用されていませんでした。
バックドアを仕込んだOrionビルドをインストールした組織のネットワークに侵入した犯罪者は、疑いを最小限に抑えるため、本物の従業員としてシステムにアクセスする方法を模索しました。また、Amazon Web Servicesのサーバーから被害者のネットワークに接続することも試みました。Amazon Web Servicesのクラウドプラットフォームとの間のトラフィックは、正規のものに見えやすいためです。
明るい面としては、SolarWindsのサンバースト攻撃はサイバーセキュリティ分野を再び進化させるきっかけとなるだろう。
続きを読む
言い換えれば、これは綿密に計画された攻撃だった。マイクロソフトの調査チームは、この攻撃を成功させるには1,000人以上の「非常に熟練したエンジニア」のチームが必要だったと結論付けた。マンディア氏はハッキングは「非常に検知が困難だった」と述べ、スミス氏は攻撃全体がこれまでのハッキングとは「別次元」だと述べた。確かに、スミス氏は以前の1,000人という推定を覆した。つまり、レドモンドは大きく外れているものの、主張を曲げない、あるいは、米国の諜報機関は、決して小さくない規模のソフトウェア企業のエンジニアリングと運用能力を効果的に運用する他国に不意を突かれたかのどちらかだ。
スミス氏はまた、マイクロソフトが顧客60社に対し、SolarWindsのハッカーによる侵入の可能性が高いと警告したと述べた。スミス氏によると、ハッカーは「過去1年間で、被害者のネットワークに侵入するために最大12種類の異なる手段を用いた可能性がある」という。少なくとも一部のケースでは、マイクロソフトのウイルス対策テレメトリが侵入の兆候を検知していたとみられる。
こうした状況は必然的に、将来の侵略を防ぐために何をすべきかという議論へと発展しました。情報共有が不可欠であること、そして政府や民間部門において、現在あまりにも多くの情報が「サイロ化」されているという点については、全員が同意しました。こうした議論、そして誰もがより多くの情報を共有すべきだという呼びかけ自体に、目新しい点はありません。
しかし、企業がそのアイデアを好まない理由は、SolarWinds 社の Ramakrishna 氏が原稿を読み上げ、当たり障りのない一般論しか述べなかったことから明らかだ。これはほぼ間違いなく、同社が訴訟によって破滅の危機に瀕しており、弁護士らが公聴会での同氏の発言を一切禁じたためだ。
将来の頭痛の種
だからこそ、スミス氏は強制開示法の制定を提案した。具体的な運用方法は未定だった。例えば、限定的な責任保護と引き換えに、政府レベルの監視機関に情報開示するといったことも可能だ。また、必ずしも完全な公開である必要もないかもしれない。スミス氏は、「民間組織が、確認された重大なインシデントの影響を受けた場合、明確かつ一貫した情報開示義務を負う」ことを求めた。
また、コンピュータセキュリティの性質は変化するため、リリース前にコードが改ざんされていないことを確認するためにソフトウェアビルドプロセスにさらに重点を置く必要があるとも言われ、さらに、頭痛の種になりそうな提案としては、ハッカーがネットワーク内を飛び回るのを防ぐために、ユーザーが内部または外部のサービスやマシン間を移動するたびに再認証を要求するべきだとも言われました。
非開示の危険性?中国はNSAのゼロデイ脆弱性を公開される何年も前から「複製して使用」していた
続きを読む
しかし、スミス氏は自社の利益を主張せずにはいられなかった。ハッキングの規模と範囲を考えると、誰もがコンピューティングをクラウドに移行することがこれまで以上に重要だと主張した。今回のハッキングはすべて、オンプレミスサーバーから始まり、その後マイクロソフトのクラウドシステムに移行したとスミス氏は指摘した。世界的なクラウド移行は、マイクロソフトにとってまさに好都合だ。
しかし、マイクロソフトの栄光を訴えるこの主張は、クラウドストライクのカーツ氏によって打ち砕かれた。同氏は、ハッキングの拡大は主に「Windows のシステム的な脆弱性」によるものであり、「従来の認証方法と旧来のセキュリティ技術」が最大の問題であると指摘した。
「マイクロソフトが Active Directory と Azure Active Directory に関する認証アーキテクチャの制限に対処するか、まったく別の方法論に移行すれば、世界で最も広く使用されている認証プラットフォームの 1 つから、相当な脅威ベクトルが完全に排除されることになるだろう」と同氏は強調した。
ハッキングに巻き込まれたもう一つの大手IT企業、アマゾン・ウェブ・サービスからの見解については、同社の代表者が公聴会への出席を拒否した。これは不快感を抱かせ、委員会の委員長や副委員長を含む上院議員らが繰り返し取り上げた。®
編集者注:この記事は出版後に改訂され、スミス氏の開示法に関する提案を拡張しました。
