過去最大級のハッキング被害、米政府機関復旧までに最長18カ月
コネクティビティ

Recovering from the SolarWinds hack could take 18 months 過去最大級のハッキング被害、米政府機関復旧までに最長18カ月

数万社に導入されているネットワーク管理ツールにバックドアを仕込み、組織内に侵入するという大規模なハッキング被害から米政府機関が復旧するには、最長で1年半の期間がかかるという。 by Patrick Howell O'Neill2021.03.05

「ソーラーウィンズ(SolarWinds)」に対するハッキングから米政府機関が完全に復旧するには、1年から1年半の期間が必要だという。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)のブランドン・ウェールズ長官代行によると、ロシアのハッカーによって侵害を受けた政府ネットワークの完全復旧は2022年になるという。被害を受けたネットワークには、国土安全保障省や国務省をはじめ、少なくとも9つの連邦政府機関が含まれている。被害の全容を把握するだけでも、数カ月が必要と見られる。

「事件は、単純ではありません」とウェールズ長官代行は言う。「対応には2つの段階があります。ひとつは短期的な復旧措置で、ネットワークから攻撃者を排除し、攻撃者がコントロールしているアカウントを停止し、ネットワークへのアクセスに利用された侵入口を封鎖します。しかし、攻撃者が数カ月にわたってネットワーク内部にアクセスしていたことを考えると、戦略的な回復には長い時間がかかるでしょう」。

「攻撃者が数カ月にわたってネットワーク内部にアクセスしていたことを考えると、戦略的な回復には長い時間がかかるでしょう」
ブランドン・ウェールズ長官代行(CISA)

これほどまでに徹底的かつ長期間にわたるハッカーによる活動が成功している場合、ネットワークをゼロから完全に再構築する方が正解な場合もある。ハッカーは、標的となったネットワークの信頼性を損い、IDを盗み、被害者のマイクロソフト 365やアジュール(Azure)アカウントに自由にアクセスするために、一見正当なユーザーになりすましたり、ユーザーを作成したりする権限を得ようとしていた。トラスト(互いに信頼できる状態)とアイデンティティのコントロールを奪われたことで、ハッカーの追跡は極めて困難になった。

「そうしたレベルから再建しなければならない大半の機関は、適切な防護を確立するために12~18カ月近くかかるでしょう」(ウェールズ長官代行)。

世界中に顧客を抱えるソーラーウィンズへのハッキングが最初に発覚したのは、2020年11月だった。だが米国の情報機関によると、ロシアのハッカーが最初に侵入したのは2019年だ。その後の調査により、ハッカーはソーラーウィンズ製品を利用して2020年3月までにマルウェアの拡散を開始し、同年初夏に連邦政府へ最初の侵入を成功させたことが明らかになった。ハッカーの活動は相当な長期間にわたっており、ハッキング被害を捜査するために多くの機関が記録しているフォレンジック・ログ(法的な証拠を探し出すためのログ)保存期間よりも長い間発見されずにハッキングが続いていたことになる。

標的にされたネットワーク管理製品「ソーラーウィンズ・オリオン(SolarWinds Orion)」は数万社もの企業や政府機関に導入されており、1万7000以上の組織がソーラーウィンズ・オリオンを通じてバックドアをダウンロードして感染していた。ハッカーの発見とハッキング被害の把握にこれほどまでに時間がかかっているのは、攻撃のステルス性が極めて高く、対象となるターゲットを明確に絞り込んでいたからだ。

被害の範囲を明らかにする難しさについて、2月末に開催された議会公聴会でマイクロソフトのブラッド・スミス社長がその要点を簡潔に述べている。

「何が起きたのか、その全体像を把握しているのは誰でしょうか。今のところ、攻撃者以外に全体像を知る者はいません」。

今回の攻撃に関する警告を最初に発したセキュリティ企業、ファイアアイ(FireEye)のケビン・マンディアCEO(最高経営責任者)は、ハッカーがなによりもステルス性を優先していたと議会で述べた。

「混乱を起こすだけならもっと簡単だったはずです。彼らは焦点を定め、統率の取れた形で情報を盗みました。ただ強引にすべて削除して、様子を見る方が簡単です。彼らは実際のところ、破壊以上の仕事をしたのです」。

「希望もある」

CISAにこの件に関する情報が初めて入ったのは、ファイアアイがハッキングを受け、それを報告した時のことだった。ファイアアイは米国政府と定期的に緊密な協力をしており、報告すべき法的義務はなかったものの、機密性の高い企業ネットワークへの不正アクセスがあった事実をすぐに共有した。

連邦政府のネットワークに不正アクセスがあったことを、米国政府に報告したのはマイクロソフトだった。ウェールズ長官代行は取材に対し、マイクロソフトから2020年12月11日に報告を受けたと述べている。マイクロソフトは、多くの政府機関が利用しているマイクロソフト365クラウドにハッカーが侵入したことを確認した。翌日、ファイアアイはCISAに対して、ソーラーウィンズにバックドアが仕込まれていたと報告した。

これは、ハッキングの被害が甚大である可能性を示すものだった。CISAの捜査員はネットワーク内のハッカー追跡のため、休日返上で作業に取り組んだ。

「選挙が盗まれた」とするホワイトハウスによる発表をデマだと繰り返し否定したクリス・クレブスCISA長官がドナルド・トランプ大統領(当時)に解任され、ウェールズが長官代行に就任したのが、調査が始まるわずか数日前だったことも事態をより一層複雑化させた。

クレブス長官解任のニュースは直近の選挙のセキュリティに関する話題に集中していたが、ウェールズ長官代行が対処すべき課題はそれだけではなかった。

CISAを新たに率いることになったウェールズ長官代行は、彼の言うところのCISAが直面する「これまでで最も複雑かつ困難な」ハッキング事件に向き合うことになった。

今回のハッキングにより、予算、権限、支援の強化によってすでに明らかになっていたCISAの地位向上が加速化することはほぼ確実だ。

CISAは先日、連邦政府全体に対するサイバー空間の脅威を徹底的に追跡するための法的権限を得たが、そのミッションを実行するためのリソースと人員が不足しているとウェールズ長官代行は言う。またCISAは、悪意のある行為を検知するために、連邦政府全体のコンピューターにエンドポイント検知システムを配置、管理する権限も必要だとウェールズ長官代行は主張している。そして最後に、ハッカーがマイクロソフト 365のクラウド内を自由に移動していた事実を指摘したウェールズ長官代行は、今後サイバー空間におけるスパイ活動を検知するために、CISAがクラウド環境の可視化の強化を推進していく必要があると述べた。

2020年、CISAの支援者たちは、CISAを、米国を率いるサイバーセキュリティ機関にするための活動を続けてきた。前代未聞のサイバーセキュリティに関するこの大惨事は、その活動を後押しするきっかけになるかもしれない。

サイバー空間における将来的な国家戦略を描くために超党派で設立された議会プロジェクト「サイバースペース・ソラリウム委員会(Cyberspace Solarium Commission)」のマーク・モンゴメリー事務局長は、電話での取材に対し「希望はあります」と話した。「今回の事件は米国政府を標的とした、最も悪意のあるサイバー行為です。今後数カ月で何が起きたのかが明確に見えてくる中で、より深刻化していくでしょう。だから、バイデン政権はこの問題に注力しやすくなるはずです。ホワイトハウスには課題の優先順位がたくさんあるので、サイバー問題がそうした課題の中で簡単に埋もれてしまう可能性もありました。今や、そうならないはずです」。