SolarWinds製品に対するハッキングがもたらした被害の範囲は、依然として明らかになっていない。ただ、100を超える企業や米政府機関が攻撃者の手に落ちたということは分かっている。MicrosoftのプレジデントBrad Smith氏は、「史上最大規模の最も高度な攻撃」だったとし、この攻撃に1000人を超える開発者が関与した可能性があると述べていた。しかしSolarWindsの元最高経営責任者(CEO)Kevin Thompson氏は、すべては1人のインターンが重要なパスワードを「solarwinds123」に設定したことが発端だった可能性があると述べている。さらに、このインターンはそのパスワードをGitHubで共有していたという。
しかし、危機対応時の広報などを手がける企業Goldin Solutionsの担当者によると、SolarWindsは「このパスワードを用いる認証がサードパーティーベンダーのアプリケーション向けのものであり、SolarWindsのITシステムにアクセスするためのものではないと判断した」という。また、この担当者によると、このアプリケーションは実際のところ、SolarWindsのITシステムには接続されてもいなかったという。そのため、このパスワードを用いる認証はSolarWindsのITシステムに対する「SUNBURST」攻撃やその他の侵入行為とは一切無関係だという主張になる。しかしこれは、米議会公聴会におけるSolarWinds幹部の証言から受ける印象とは異なっている。
Thompson氏は、米下院監視委員会と米国土安全保障省による合同公聴会で、このパスワードは「インターンが犯した過ち」だったと述べ、「われわれのパスワードポリシーに背き、そのパスワードを内部で自らが使用しているプライベートなGitHubアカウントに投稿していた。われわれのセキュリティチームは、このことを確認した際に速やかにパスワードを削除した」とした。
SolarWindsの幹部らは、このことが明らかになった後、数日以内に対応されたと述べたものの、現CEOのSudhakar Ramakrishna氏はこのパスワードが2017年から使われていたことを認めた。漏えいしたパスワードを発見したセキュティリサーチャーのVinoth Kumar氏は、SolarWindsが2019年11月までこの問題を修正しなかったと述べている。
今後に目を向けると、MicrosoftのSmith氏は、米連邦政府が今後、「民間セクターの事業体に通知義務」を課すべきだと上院議員らに提案した。SolarWindsのような事件が発覚するまで、企業のセキュリティ侵害について誰も知らないという事例があまりにも多すぎる。Smith氏は、「誰かが『自らに新たな法制度を課してほしい』と声を上げるのは一般的な流れ」ではないと認めつつも、「私は国家を守る上でこれが唯一の方法だと考えている」と述べた。
一方、セキュリティ企業FireEyeのCEOであるKevin Mandia氏は下院の公聴会で、「結論を述べると、われわれが被害の範囲やその度合いをすべて把握することはないかもしれず、盗まれた情報が敵対者にもたらす利益の範囲や度合いをすべて知ることもないかもしれない」と述べた。
さらに同氏は、「どのような標準化規制や法律を用いたとしても、コンプライアンスによってロシア対外情報庁による組織への侵入を食い止めることができるとは考えていない」とした。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
