分析: SolarWindsハッキングによる爆発的な被害の残骸が飛び散り続ける中、米国政府機関と同様に、誰もが爆発に巻き込まれていないか調べようと奔走するなど、慌ただしい48時間となりました。さて、現状はどうなっているのでしょうか?
ニュースの流れとしては、先週半ばにFireEyeから始まりました。多国籍企業が大規模なハッキング被害に遭った際に依頼された専門ITセキュリティ企業であるFireEyeは、先週、自らもハッキング被害に遭ったことを認めました。
それだけでなく、クレムリンの支援を受けたロシアのハッカーと強く疑われる悪意ある集団がFireEyeのサーバーに侵入し、同社の最重要ツールである他社のセキュリティ対策をテストするためのツールを盗み出しました。これらの侵入ツールを武器に、ハッカーたちはFireEyeに検知されずに侵入できる攻撃手法を特定できる可能性があります。
盗まれたツールが悪意ある者の手に渡ることを予測し、FireEyeは、自社のテストソフトウェアが実際に使用されているかどうかを検知するための様々な資料を公開しました。そして、自社のネットワーク防御がどのように侵害されたかを調査しました。
週末に話が進み、米国政府機関の複数組織もハッキング被害に遭っていたことが判明しました。当局はロシアのAPT29(別名Cozy Bear)による攻撃だと疑っています。商務省、財務省、国防総省、国務省、国立衛生研究所、そして国土安全保障省のシステム(メールを含む)が、ある程度の侵害を受けました。これは、おそらく米国政府のデータネットワークに対する、公に知られているハッキングとしては史上最大規模かつ重大なものでしょう。
米国政府のハッキングに関係するバックドア付きSolarWindsソフトウェアが英国の公共部門で広く使用されている
続きを読む
これらのコンピューターは、Microsoft Windows用のネットワーク監視ツールであるSolarWinds Orionを介して感染したのではないかとすぐに疑われました。どうやら何者か(ここでもモスクワが標的となっています)がSolarWindsのウェブサイトからのダウンロードを改ざんし、コードにリモート操作可能なバックドアを仕込んだようです。このバックドアがコンピューターに侵入すると、遠く離れた悪意のある人物がコマンドを実行したり、コンピューターを乗っ取ったり、データを盗んだりすることが可能になります。米国政府のネットワークが侵害されたのは、おそらくこの方法でしょう。つまり、汚染されたダウンロードをインストールすることでした。本稿執筆時点では、SolarWindsのウェブサイトからまだ入手可能ですが、リンクは削除されているとのことです。この不正なアップデートは、今年の3月から6月の間にサイトに忍び込んだと言われています。
アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)は日曜日の夜、すべての連邦民間機関に対し、ネットワークを直ちに点検し、Orionソフトウェアを使用している場合は使用を停止するよう求める緊急指令を発令しました。この製品を使用しているすべての人は、修正版にアップグレードし、脆弱性を前提として、そこから作業を進めることが強く推奨されています。
一方、FireEye は、SolarWinds コードに密かに侵入したバックドアを調査し、その調査結果をここに詳しく記録しました。
FireEyeへの侵入と情報流出が、Orionのインストールミスに直接起因しているかどうかは明らかではない。FireEyeは、12月初旬にハッキングを受けたとする公式声明と、「ソフトウェアサプライチェーンを通じて公的機関および民間組織のネットワークに侵入する世界的なキャンペーン」と称する活動に関する調査結果を、不可解な形で結びつけている。
この作戦はトップレベルの作戦技術を実証している
「今回の侵害は、広く普及しているITインフラ管理ソフトウェア、SolarWindsのネットワーク監視製品Orionのアップデートを通じてもたらされました」と、FireEyeのCEOであるケビン・マンディア氏は付け加えた。「この攻撃キャンペーンは、国家支援の脅威アクターによる最高レベルの運用技術とリソース投入を実証しています。」
分析の結果、2020年春に遡る侵害の兆候が見られる複数の組織を特定し、現在、これらの組織に通知を行っています。分析によると、これらの侵害は自己増殖するものではなく、それぞれの攻撃には綿密な計画と手動による操作が必要です。
我々はFireEyeに対し、SolarWindsのアップデートによってハッキングされたのかどうかを直接尋ねたところ、広報担当者はただ「調査はまだ進行中です」とだけ答えた。
ハッカーは誰で、どうやって侵入したのでしょうか?
Orionは、米国と英国の公共部門、そして世界有数の大企業に特に人気の高いネットワーク監視プラットフォームです。長い歴史と実績を誇り、米国で設立され、現在も米国に拠点を置いています。慎重な買収とプラットフォームの段階的な拡張を通じて着実に成長し、システムの継続的な追加とアップデートを行っています。30万社以上の顧客を誇ります。
後から考えてみると、これはスパイにとって格好の標的だった。信頼できる機密システムにバックドアを仕掛ける絶好の機会であり、ネットワークトラフィックの可視性も高かった。しかも、その計画は非常に綿密に組織化され、洗練されており、何ヶ月もの間、見破られずにいたようだ。ハッカーたちはSolarWindsのプラットフォーム専用に悪意のあるコードを作成し、そのすべてを含んだ.dllファイルを作成した。
米国財務省と商務省へのハッキングは、SolarWindsのIT監視ソフトウェアのサプライチェーン攻撃に関連している
続きを読む
顧客がアップデートをダウンロードした際に、意図せずバックドアがダウンロードされ、同時にインストールされてしまいました。悪意のあるコード自体も巧妙に設計されており、コマンドを実行し、リモート管理者アクセスを提供します。ハッカーたちはこれを足掛かりに、必要なセキュリティトークンを作成し、暗号署名することで、システムを欺き、その後の他のアカウントやリソースへのアクセスが正当なものであると信じ込ませました。
このプロセスが完了すると、ハッカーたちはOrionプラットフォームを導入したあらゆる組織のネットワークを自由に巡回できるようになりました。「SAMLトークンは独自の信頼できる証明書で署名されているため、組織は異常を見逃す可能性があります」と、マイクロソフトはこの攻撃の技術分析で指摘しています。つまり、警報は全く、あるいはほとんど鳴らなかったということです。
侵入者が最も保護されたアカウントにアクセスすると、提供されているインターフェースを使って基本的に何でもできる状態になりました。これは非常に巧妙で多段階的なプロセスでしたが、最終的にはロシア政府が米国政府の最高権力機関のメールをかなり前から読んでいた可能性が高いという結果になりました。誰がこれを実行したのかというと、ロシアの対外情報機関に所属する「コージー・ベア」と呼ばれるグループによる犯行であることはほぼ間違いありません。クレムリンはいつものように、いかなる関与も否定しています。
ハッカーはどれくらいの間内部にいたのですか?
時系列から判断すると、ハッカーたちは春にコードが改ざんされて以来、ほぼ9か月間、Orionの顧客ネットワークにアクセスしていた可能性があります。実際には、それよりも短い期間だった可能性があります。多くの組織はバックドア付きのアップデートをすぐにダウンロードしてインストールしなかったでしょう。このような知名度の高い標的を念頭に置いていたため、ハッカーたちは警戒を招かないよう極めて慎重に行動し、侵入先の重要組織を慎重に選定したと考えられます。
いずれにせよ、プライベート ネットワーク経由で流れる重要な情報にアクセスできるようになるには、これは非常に長い時間です。
彼らは何を発見したのでしょうか?
何が盗まれたのかは不明であり、米国政府がその情報を多く公表する可能性は極めて低い。しかし、情報機関が数ヶ月前から、他国(ほぼ常にロシア)によるシステムへの侵入を積極的に試みていることについて警告を発していることは注目に値する。11月の米国大統領選挙や、最近ではCOVID-19ウイルスのワクチン開発に関する勧告も出されている。
これらの警告は、ロシアがどこかのネットワークから情報を入手したことを示唆する通信を諜報機関が拾った結果である可能性が高い。これらのハッキングは、オリオンへのハッキングから注意をそらすための、意図的に騒々しい試みだった可能性もある。あるいは、ロシアがあらゆるものを攻撃し、SolarWindsへのハッキングが功を奏した可能性もある。
いずれにせよ、ハッカーたちが何をして逃げおおせたのか、そして何をしていたのかを本当に知っているのは彼ら自身だけだ。そして、ハッカーたちも、ハッキングの標的となった人々も、今のところ、少なくとも漠然とした概要以上の情報は一切提供するつもりはない。
それは政府機関だけだったのでしょうか?
いいえ、政府機関だけではありません。SolarWindsは証券報告書[PDF]で、アップデートをダウンロードした顧客は「1万8000人未満」であり、そのため侵害を受けた可能性があると述べています。悪夢のような規模の侵害を軽視する姿勢は、実に喜ばしいものです。
同じ提出書類には、SolarWinds の Office 365 アカウントがハッキングされ、メールにアクセスされたことが、不正なダウンロードにつながった可能性もあると記されている。
これが国家主導の攻撃だったと仮定すると(そして、その巧妙さと断固たる決意から、ほとんどの人がそう推測するでしょう)、当然のことながら政府機関が標的となり、集中攻撃の対象になったはずです。しかし、9ヶ月という時間的余裕があったことを考えると、ハッカーたちが他の数千ものネットワークにも手を伸ばしていたことはほぼ確実です。おそらく、フォーチュン500企業の多くもその標的だったでしょう。
EU医薬品庁がハッキング被害に遭い、ビオンテックとファイザーのコロナウイルスワクチンの書類が盗まれ、調査開始
続きを読む
標的にされていたのはアメリカだけではない。前述の通り、英国政府もオリオンの大ファンであり、ロシアにとっても非常に魅力的な標的だったはずだ。
どの企業や政府機関が侵入を受けたことを認め、どの機関がなかったことにするのか、興味深いところです。ハッキングを受けたことを公表しなければならないと感じた人々は、誰にも気づかれないように、クリスマス期間中はできるだけひっそりと、曖昧な言葉で公表するでしょう。
潜在的な損害はどのくらいですか?
本当の影響が何であるかは神のみが知っており、知識は力です。
プーチン率いるロシアが、その実力と資源を踏まえると、世界情勢に不釣り合いなほどの影響を与えているのではないかと疑問に思ったことがあるなら、この驚くべきハッキング活動を見れば一目瞭然だ。2016年に民主党全国委員会から流出したメールがドナルド・トランプ氏の大統領選出の背後にあり、ヒラリー・クリントン氏に反対する票をわずかに増やし、結果に変化をもたらした可能性もある。しかし、この選挙には他にも多くの変数があり、モスクワだけの力ではなかった。そして、これらの最新の陰謀は、月曜日に選挙人団がジョー・バイデン氏を1月20日に次期米国大統領に選出すると発表した直前に明らかになった。
プーチン率いるロシアは、米国政府機関や大企業から盗み出したと思われる数ヶ月分のメールやその他の情報をどう扱うのだろうか?残念ながら、その真相は今後1年以内に明らかになるだろう。®
