ロシア政府の支援を受けるハッキンググループによるアメリカ政府機関へのサイバー攻撃「Solorigate」は当初の予想以上の被害規模の可能性

ロシア政府の関与が疑われるハッキンググループが、アメリカ政府機関を含む多くの企業・団体に対してサイバー攻撃を実施したことが報じられています。このサイバー攻撃について、The New York Timesが「当初の予想よりも被害規模が大きな可能性がある」と報じました。

As Understanding of Russian Hacking Grows, So Does Alarm – The New York Times
https://www.nytimes.com/2021/01/02/us/politics/russian-hacking-government.html

SolarWinds hack may be much worse than originally feared – The Verge
https://www.theverge.com/2021/1/2/22210667/solarwinds-hack-worse-government-microsoft-cybersecurity

ロシア政府の支援を受けるハッカーグループ「CozyBear」が、新型コロナウイルス感染症(COVID-19)の研究に携わる企業や研究機関にサイバー攻撃を仕掛けていることが、2020年7月に報告されました。さらに2020年12月には、CozyBearがアメリカの政府機関に対してもサイバー攻撃を仕掛けていたことが発覚。この攻撃を受け、Microsoftはハッキング攻撃に使用されているドメインの押収などを実施し、徐々にその攻撃の実態が明らかになっていきました。

CozyBearによる攻撃は、セキュリティ企業のSolarWindsが提供するネットワーク監視ソフトウェア「Orion Platform」のアップデートをマルウェアを含むものに置き換えることで実施されました。Orion Platformはアメリカの財務省・国務省・国家核安全保障局といった省庁や、Microsoft・Ciscoなどの大企業を含む1万8000社に配布されたとみられているため、CozyBearによるサイバー攻撃の被害は広範にわたる可能性が示唆されています。なお、CozyBearによるOrion Platformのアップデートを介した攻撃は、「SunBurst」あるいは「Solorigate」と呼ばれています。

Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは？ – GIGAZINE

この「Solorigate」に関する続報をThe New York Timesが伝えており、当初の推定よりも被害規模は大きい可能性が報じられています。報道によると、約250もの政府機関や企業がサイバー攻撃の被害にあったと目されている模様です。

The New York Timesによると、アメリカサイバー軍およびアメリカ国家安全保障局(NSA)などの情報機関は、潜在的なサイバー攻撃を検出するためにアメリカ国外のネットワーク内に早期警戒センサーを設置しているとのこと。しかし、「Solorigate」はソフトウェアのサプライチェーン経由でアメリカ国内から実施されたため、アメリカサイバー軍やNSAの早期警戒センサーによる検出を逃れることに成功した模様。

中間おすすめ記事　（外部サイト）

また、Microsoftは2020年12月31日にセキュリティブログを更新し、「Microsoft内の環境を調査したところ、本番サービスや顧客データへのアクセスの痕跡は見つかりませんでした。進行中の調査の中でも、我々のシステムが他人を攻撃するために使用された兆候は見つかっていません」と報告し、SolorigateによりMicrosoftの提供するサービス経由で顧客にハッキング被害が広がった可能性は少ないとしています。

しかし、同時に内部アカウントの一部で異常なアクティビティが検出されており、確認したところ、ひとつのアカウントが多数のソースコードリポジトリでソースコードを表示するために使用されていたことが判明しています。この内部アカウントにはコードやエンジニアリングシステムを変更する権限がなく、変更が加えられた痕跡がないことも確認されているとのこと。

なお、Microsoftはオープンソースのソフトウェア開発が製品の機密性には依存しないと主張。さらに、サイバー攻撃を想定した多層セキュリティを構築していることもアピールしており、特権アカウントを保護するために特権アクセスワークステーションを実装するなどの業界のベストプラクティスを実行していると主張しています。

加えて、アメリカ上院情報特別委員会のメンバーであるマーク・ワーナー上院議員は、「(Solorigateについて)はるかに、はるかに悪い」「その被害規模は拡大し続けています」「このサイバー攻撃をアメリカ政府が見逃したことは明らかです」と語っています。