米下院の監視・政府改革委員会と国土安全委員会は米国時間2月26日、SolarWindsの製品アップデートを悪用した現在進行中のハッキング攻撃について議論する合同公聴会を開催した。出席した議員や参考人は、この攻撃にはサイバーセキュリティ分野のさまざまな問題が関係していると述べた。
提供:Angela Lang/CNET
公聴会では、SolarWinds 現最高経営責任者(CEO)のSudhakar Ramakrishna氏、前CEOのKevin B. Thompson氏、Microsoft プレジデントのBrad Smith氏、FireEye CEOのKevin Mandia氏がハッキングが可能になった要因について証言した。
今回の攻撃は複雑なもので、攻撃者はSolarWindsの製品「Orion」のソフトウェアアップデートに悪質なコードを仕組んでいた。汚染されたアップデートは数千の組織にダウンロードされ、ハッカーはその中から一部の組織を選んで侵入していた。ただし、2月24日に米上院の情報特別委員会でも議論されたように、標的となった組織の約30%では、SolarWinds以外の企業のサービスも悪用されていた。
Smith氏とMandia氏は、企業にシステムへの侵入に関する情報を連邦政府と共有するよう義務付けることに対して支持を表明した。米サイバーセキュリティ・インフラセキュリティ庁(CISA)には、現在このような報告書が多数提出されており、議員はその情報が政府の他の機関とも共有されるよう、情報の流れを改善するよう主張した。さらに、SolarWindsのRamakrishna氏は、ソフトウェアアップデートを保護するシステムの改善につながるとして、同社が得た情報を他の企業とも共有したいと述べた。
Ramakrishna氏はまた、特に巧妙な攻撃手段が用いられた際に素早く対応するために、政府機関とIT企業の間で連絡を取るための明確な手続きを迅速に強化する必要があると述べた。
Smith氏もRamakrishna氏の主張に賛同し、Microsoftが関係機関にSolarWinds製品のハッキングについて知らせようとした際に、さまざまな障害に遭遇したと語った。
「このような状況では、Microsoftやその他の請負企業は政府契約によってさまざまな制約を受ける」とSmith氏は述べた。「今回、当社は実際に被害を受けた政府機関にしか情報を伝えられず、その機関に政府の他の担当者や組織との連絡を依頼するしかないことが明らかになった」
今後の対策について尋ねられたSmith氏は、この規模のハッキング被害に対応できる法律を作ることを含めて、政府はよりよい「交通ルール」を確立すべきだと述べた。
米国のBiden政権は攻撃の容疑者に制裁を科すことを検討していると報じられている。しかし、どのような諜報機関によるハッキングを許されないものとするかについて、国際社会の合意が取れる見込みは立っていない。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。