米国は2020年3月に、新型コロナウイルス感染症が甚大な被害をもたらし、大問題になりそうだと認識し始めた。しかし、ほぼ同じ頃に、ロシア政府がSolarWinds独自のネットワーク監視ソフトウェア「Orion」をハッキングし、米国の政府機関やIT企業のセキュリティを破壊していたことを知る米国人はそういないだろう。爆発や死者はなかったが、米国のITに対する攻撃だったと言えよう。
ロシア政府との関連性が指摘されているハッカーは、ハッキングしたSolarWindsのプログラムを利用して、少なくとも1万8000の政府および民間ネットワークに侵入した。ネットワーク内のデータ、つまりユーザーID、パスワード、財務記録、ソースコードなど、あらゆるものがロシアの諜報員の手にわたっていると考えても過言ではない。
ロシア政府系ハッカーは、Microsoftの「Windows」と「Office」のソフトウェアスタックも手に入れたかもしれない。ことがそれほど深刻でなければ、滑稽とも言えるが、Microsoftは仮にそうだとしても、大したことではないと主張している。
Microsoftによると、それは同社が「オープンソースソフトウェア開発のベストプラクティスやオープンソースのような文化を取り入れた、インナーソースというアプローチを採用し、社内でソースコードを見ることができるようにしている」からだという。
しかし、Microsoftの開発者ではなく、ハッカーがプロプライエタリーなコードにアクセスできるようになれば、攻撃の門戸が開かれることになる。同社の「脅威モデルは、攻撃者にソースコードの知識があると想定している。従って、ソースコードを見ることはリスクの上昇につながらない」というのも真実だろう。しかし、そうした仮定と、現実に対処することは、全く別ものである。
プロプライエタリーソフトウェアは何十年にもわたり、「隠ぺいによるセキュリティ」は機能するという愚かな仮定に立脚してきた。賢明な方法で使えば、たしかに助けにはなるが、プロプライエタリーコードの場合は当てはまらない。Microsoftが同社のプロプライエタリーコードをロックダウンするために、厳密なコードのレビューを本当に行っているかは疑問が残る。ほぼ毎週のように、同社のセキュリティホールや不手際が明らかになっているため、安心するには程遠い状況だ。
米サイバーセキュリティインフラストラクチャーセキュリティ庁(CISA)は、ハッキングが米国政府のあらゆるレベルに「重大なリスク」をもたらしたと述べている。
さらに悪いことが明らかになった。クリスマスシーズンの連休中に、CISAは全ての米国政府機関が2020年末までに、Orionの「2020.2.1HF2」にアップデートする必要があると発表した。それができない場合は、システムをオフラインに移行しなくてはならないという。
その理由は、Orionの脆弱性を悪用して、マルウェアの「SUPERNOVA」と「COSMICGALE」がインストールされたためだ。セキュリティホールの「2020-10148」により、攻撃者はOrion APIの認証を迂回して、Orion上でリモートコードを実行できるという。
筆者はOrionのアップデートよりも、もっと良い案がある。それはOrionを見限ることだ。それも今すぐに。そして、同社のセキュリティに関する記録を調査する必要がある。
時が経つにつれ、多数の政府機関や企業がハッキングされたことが明らかになっている。国務省、国土安全保障省、国立衛生研究所、国防総省、財務省、商務省、エネルギー省(核安全保障局を含む)などが含まれる。
上院情報委員会の幹部であるMark Warner上院議員は、ハッキングの被害は最初の予想よりも「はるかに、はるかに悪いようだ」とNew York Times紙に語っている。そして「その規模は拡大し続けている」という。
被害がどのくらいの規模になるのかは分からない。筆者は個人的に、自分の企業がSolarWindsのOrionを2020年に使用していたならば、ハッキングされたと想定するだろう。
国家機関や米国のフォーチュン500企業に対する今回の攻撃は、米国の安全とビジネスの繁栄に大きなダメージを与えるかもしれない。米国の開発者、システム管理者、システムマネージャーがこの難局を乗り越えるべく、システムを再構築できることを願うばかりだ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。