全3969文字
PR

2020年12月に判明した米ソーラーウインズ製品へのサイバー攻撃。ロシアによるサイバー攻撃の1つとされ、米ロ間の外交問題にまで発展した。攻撃の目的は情報窃取で、専門家は非常に洗練されていると指摘する。複数のツールを駆使し、検知や追跡を回避する仕掛けが随所に施されていた。日本企業の被害報告はないが、国家レベルの脅威から得る教訓は大きい。

 2021年6月、バイデン米大統領とプーチン・ロシア大統領はスイス・ジュネーブで会談し、核軍縮と並んでサイバー犯罪についても新たな対話の枠組みを設けることなどで合意した。

 米国はその2カ月前の2021年4月にロシアの駐米外交官10人の国外追放をはじめとした制裁措置を発表している。米国の政府機関や主要企業がロシアからとみられるサイバー攻撃にさらされていたからだ。米国はロシアがサイバー攻撃を仕掛けた集団を黙認していると見るが、プーチン大統領はロシア政府の関与を否定したという。

 こうした米ロ間の外交問題にまで発展したロシアによるサイバー攻撃の1つとされるのが、米ソーラーウインズ(SolarWinds)のネットワーク管理ソフト「Orion Platform」を悪用したサイバー攻撃だ。米国の財務省や商務省、国土安全保障省、航空宇宙局といった政府機関のほか、通信やエネルギー、自動車、IT、ヘルスケアなどの主要企業が標的となった。

 いち早くサイバー攻撃を検知したのは、多くの政府機関を顧客に抱えるセキュリティー大手の米ファイア・アイだった。同社は2020年12月に事態を公表し、ロシアによる攻撃との断定は避けながらも、「高度な技術や豊富なリソースを持つ国家支援型のグループ」と指摘した。

 ソーラーウインズの調査報告やセキュリティー大手の分析などから、知られざる事件の全容を振り返る。

被害を受けた顧客は100件以下

 一連のサイバー攻撃はサプライチェーン攻撃と呼ばれる。攻撃者はソーラーウインズが正規のサーバーから配布する更新プログラムに悪意のあるコードを仕込んでいた。いわば「トロイの木馬」と呼ばれる攻撃方法の1つであり、防御が極めて難しいとされる。悪意のあるコードはバックドアの作成などシステム内部の情報を窃取する複数のツールを組み込んでいた。米政府やセキュリティー大手などはソーラーウインズ製品へのサイバー攻撃について「非常に洗練されている」と口をそろえる。

 ソーラーウインズが2020年12月に開示した資料によると、悪意のあるコードが埋め込まれたのは同社が2020年3~6月に配信した更新プログラム。Orion製品の約3万3000件の顧客のうち、最大1万8000件がインストールした可能性があるとしていた。その後、米連邦捜査局(FBI)や米マイクロソフトなどと協力して調査を進めてきた。

 ソーラーウインズのティム・ブラウン最高情報セキュリティ責任者(CISO)兼セキュリティ担当バイスプレジデントは2021年6月24日に開いた日本向けのオンライン記者説明会で「5月7日まで調査を続けた結果、被害は政府機関を含め100件以下だった」と明かした。日本企業の被害報告はないという。現在は開発環境のセキュリティー対策強化や外部のセキュリティー研究者らとの関係強化などを進めている。デイビッド・ガーディナー最高収益責任者(CRO)は「製品は安全だと断言できる」と強調した。