先月明らかにされたSolarWindsのセキュリティ侵害は、ロシアが発端で少なくとも1万8000の組織が侵害されたと米当局は考えているが、この侵害の一部はJetBrainsのソフトウェアによって可能になった可能性がある。
ロシアのソフトウェア開発者によって設立され、チェコ共和国に拠点を置くこの企業は、ソフトウェア開発ツールを開発しています。その一つであるビルド管理および継続的インテグレーションシステム「TeamCity」は、SolarWindsのアプリケーションビルドプロセスの一部として使用されています。
ニューヨーク・タイムズ紙は水曜日、ソーラーウィンズ捜査に詳しい匿名の情報筋の話として、捜査当局がジェットブレインズのソフトウェアが関与していたかどうかを調査していると報じた。また、ロイター通信は、FBIがTeamCityを精査し、同ソフトウェアがソーラーウィンズのビルドシステムへの侵入に関与していたかどうかを調査していると報じた。
これらの報告は、JetBrainsの担当者が今回の侵害に意図的に関与したことを示唆するものではありません。むしろ、捜査官は、セキュリティが不十分、設定が不適切、あるいは脆弱なTeamCityインスタンスが、攻撃者がソフトウェアサプライチェーンのどこかに悪意のあるコードを埋め込むのを助長した可能性を懸念しているようです。TeamCityは、他のソフトウェアと同様に、脆弱性に対するパッチが定期的に適用されています。
ああ、まさにその時:ハッカー攻撃を受けたSolarWindsが怒った株主に訴えられる
続きを読む
ジェットブレインズのCEOマキシム・シャフィロフ氏は水曜日の声明で、同社はいかなる不正行為も告発されていないことを強調した。
「まず第一に、JetBrainsはこの攻撃に一切関与していません」と彼は述べた。「SolarWindsは当社の顧客であり、ソフトウェア開発の一環として継続的インテグレーション・デプロイメントシステムであるTeamCityを使用しています。SolarWindsは侵害に関する詳細について当社に一切連絡しておらず、当社が把握している情報は公開されている情報のみです。」
シャフィロフ氏は、ジェットブレインズはいかなる政府や安全保障機関からも接触を受けていないとし、同社は捜査については把握していないものの、接触があれば協力する用意があると述べた。
誰が責任を負いますか?
SANS Technology Instituteの研究学部長ヨハネス・ウルリッヒ氏は、The Registerへの電子メールの中で、JetBrains自身はこの出来事に対して責任を負わないと主張した。
「私の知る限り、JetBrains は SolarWinds の侵害の影響を受けておらず、また SolarWinds の侵害に使用されたこともない」と Ullrich 氏は述べた。
Solarwindsへの侵入にJetBrain社の開発ツールが使用された可能性が示唆されていますが、JetBrains社は、もし当該ツールが関与していたとしても、それはツールの設定ミスによるものであり、JetBrains社自体のセキュリティ侵害の問題ではないと述べています。JetBrains社は非常に人気のある開発ツールを製造しています。JetBrains社への侵入は、サプライチェーン型攻撃の新たな大規模攻撃となるでしょう。
同社と攻撃者の間に共謀の証拠がない限り、焦点は、SolarWinds がセキュリティ対策を徹底していたかどうかに留まることになるだろう。同社のセキュリティ対策は、必ずしもすべてが完璧だったわけではない。
SolarWindsは先月、セキュリティ侵害には2つの別々の攻撃が関係していることを認めた。1つはSupernova攻撃で、これはSolarWinds Orion Platformのビルドシステムを標的とした悪意のあるライブラリと、マルウェアの展開を可能にする脆弱性を利用したもの。もう1つはSunburst攻撃で、これはSolarWindsのOrion Platformソフトウェアのビルドに脆弱性を挿入するサプライチェーン攻撃である。
水曜日に米国司法省は、SolarWindsへの攻撃の結果、Microsoft Office 365のメールシステムが侵害されたと発表した。司法省報道官のマーク・ライモンディ氏は声明の中で、「現時点では、アクセスされた可能性のあるOffice 365のメールボックスは約3%に限定されており、機密システムに影響が及んだという兆候はない」と述べた。
ライモンディ氏によると、司法省のCIOは2020年12月24日にメール侵害を知り、連邦情報セキュリティ近代化法に基づき重大インシデントとして扱っているという。必要に応じて、連邦機関、議会、そして国民への更なる報告が行われる可能性がある。®
