米国と英国政府は今日、ロシアの悪名高いAPT 29(別名Cozy Bear)がSolarWinds Orion攻撃の背後にいたと発表した。米国はロシアの情報セキュリティ企業に制裁を課し、同国の米国大使館から外交官を追放した。
制裁対象となった企業の一つは、インテルのハードウェア・セキュリティ・アーキテクチャの脆弱性を暴く徹底的な調査などで西側諸国ではよく知られているポジティブ・テクノロジーズ社だ。
カスペルスキー研究所による暫定的な調査結果と一致する形で、米国財務省は本日午後に発表した声明で、SolarWind へのハッキングの正式な犯人特定を発表した。
この侵害では、ロシアの国家情報機関の工作員が、SolarWindsのネットワーク監視ソフトウェアOrionのビルドシステムを巧妙に侵害し、1万8000人の顧客にバックドアを配布しました。これらの顧客には、英国政府や米国政府をはじめ、多くの企業が含まれていました。
ロシアが我々の民主主義を弱体化させるために何をしているのか分かっている
「ロシア情報機関の第三機関であるSVRは、2020年にSolarWinds Orionプラットフォームおよびその他の情報技術インフラを攻撃した。この侵入により、数千もの米国政府および民間部門のネットワークが侵害された」と米国財務省は述べた。
英国政府も米国の犯行声明に同調し、ドミニク・ラーブ外相は声明で次のように述べた。「ロシアが我々の民主主義を弱体化させるために行っていることを我々は認識している。英国と米国は、国際的なパートナーや国内企業がこの種の行為に対してより適切に防衛し、備えをできるよう、ロシアの悪意ある行為を非難している。」
米国防総省は、「ロシアの最近のSVR活動には、SolarWinds Orionソフトウェアアップデートへの侵入、WellMessマルウェアの展開によるCOVID-19研究施設への攻撃、当時ゼロデイだったVMwareの脆弱性を悪用したセキュリティアサーションマークアップ言語(SAML)認証の悪用などが含まれている」と付け加えた。
NCSCはまた、公式声明で「SVRによるこのソフトウェアの悪用が英国に及ぼす全体的な影響は低い」と述べた。政府機関は、ホワイトホール内外で広く使用されているにもかかわらず、Orionの侵害の影響について話すことさえ拒否しており、UK.govが認めたい以上に広範囲に侵害の被害を受けたという見方に信憑性を与えている。
米国の核機関がロシアのSolarWindsスパイの疑いでハッキングされ、マイクロソフトもバックドアを設置
続きを読む
脅威情報企業IntSightsの脅威情報アドバイザリー責任者、ポール・プルドーム氏はThe Registerに対し、次のように述べた。「SolarWindsのサプライチェーン攻撃キャンペーンが、国家支援を受けたロシアのサイバースパイ集団によるものであるという結論は信憑性があります。このキャンペーンに見られる高度な洗練度、巧妙な手口、そしてステルス性は、これらのロシアの集団のものと一致するからです。しかしながら、どのようなデータポイントが、特にロシアのAPT29によるものとこれほど高い確信を持って特定できたのかは、依然として不明です。」
ポジティブテクノロジーズ制裁
米国は、ロシアによる西側諸国へのサイバー攻撃に関与したとして、ロシアのサイバーセキュリティ企業5社に制裁を科した。その筆頭はポジティブ・テクノロジーズで、同社は英国に相当規模の拠点を持ち、通信業界をはじめとする様々な業界を標的としている。
「ポジティブ・テクノロジーズは、ロシアの企業、外国政府、国際企業にコンピュータネットワークのセキュリティソリューションを提供しており、FSBやGRUの採用イベントとして利用される大規模な会議を主催している」と米財務省は述べた。
同社の国際ビジネスウェブサイトによれば、同社は「2019年にポジティブ・テクノロジーズの通信部門から分離し、スイスを拠点とし英国に本社を置く独立した事業体となった」という。
この会社は世界的に展開しており、西側諸国ではロシアとのつながりをあまり強調していないようだが、ウェブサイト上の会社説明資料には、2002年にモスクワで従業員6名とともに設立され、古いウイルス対策ツール「Xspider」が起源であると記されている。
同社はまた、西側諸国の基準に従って合法的なセキュリティ調査を実施し、誰でも読めるように公開している。その多くは、ライバルであるロシアの情報セキュリティ企業カスペルスキーのセキュリティソフトウェアの調査や、2Gデータ伝送プロトコルであるGPRSの長年の脆弱性の調査など、The Registerで取り上げられている。
Positiveが英国内で特に関心を持っている分野の一つは通信業界です。制裁対象企業が政治的な争いの渦中に巻き込まれることで、Huaweiのような事態が再び発生するのではないかと懸念されています。英国のすべてのモバイルネットワーク事業者に対し、Positiveの顧客であるかどうかを問い合わせており、回答が「はい」であれば、改めて報告する予定です。
我々はPositiveに制裁措置についてのコメントを求めており、回答があったらこの記事を更新します。
制裁を受けた他の組織には、ERAテクノポリス(別名パシット)、2010年にマイクロソフトに潜入したロシアのスパイの出身校でもある情報セキュリティ企業のネオビット、ロシアの国立コンピュータサイエンス研究機関、そしてロシアの企業アドバンスト・システム・テクノロジーAOなどがある。
米国人は上記のいずれの企業とも取引を行うことが禁止されています。®
