2019~2020年に大規模なサイバー攻撃を受けた米SolarWindsが6月24日、日本のメディア向けにインシデントの状況や対応など経緯について説明した。最高情報セキュリティ責任者(CISO)兼セキュリティ担当バイスプレジデントのTim Brown氏と最高収益責任者(CRO)のDavid Gardiner氏が取材に応じ、今回のインシデントの経験や対応などを通じて得た教訓をIT業界の安全性の向上や、同社の信頼回復につなげたいと語った。
米SolarWinds 最高情報セキュリティ責任者(CISO)兼セキュリティ担当バイスプレジデントのTim Brown氏
マルウェア攻撃の経緯
インシデントは、米国時間2020年12月12日にセキュリティ企業のFireEyeがSolarWindsに同社製品でのマルウェア感染を通知して発覚した。SolarWindsのネットワーク監視ソフトウェア製品「Orion Platform」のうちバージョン「2019.4 HF 5」「2020.2」「2020.2 HF 1」にバックドア型のマルウェア「Sunburst」が仕掛けられていた。
Sunburstが製品に仕掛けられる最初の原因は特定されていないが、社長 最高経営責任者(CEO)のSudhakar Ramakrishna氏は、2021年5月7日公開のブログで、(1)Orion Platformで利用していたサードパーティー製品の未知の脆弱性の悪用、(2)標的型フィッシングやソーシャルエンジニアリング、(3)認証情報を奪う無差別型攻撃――の3つの可能性を挙げている。
通知を受けてSolarWindsは、米国当局やITベンダー各社(後述)と共同で調査を行い、5月7日にその結果を公表した。Brown氏が説明した経緯は下記の通り(日付は米国時間)となる。
- 2019年1月:攻撃者が最初に侵入した痕跡
- 2019年9月12日:攻撃者がマルウェア「Sunspot」を使って、Orion Platformをビルドするための一時的な仮想マシンにマルウェアのテストコードを挿入し、実行などを試す
- 2019年11月4日:攻撃者がマルウェアのテストコードの挿入を停止
- 2020年2月20日:攻撃者がSunburstのコンパイルと展開を実行
- 2020年3月26日:ユーザーが利用可能な「Hotfix 5 DLL」
- 2020年6月4日:攻撃者が仮想マシンからマルウェアを削除および攻撃活動の痕跡を消去。これまでの間にOrion Platform 2019.4 HF 5、2020.2、2020.2 HF 1が攻撃を受けた可能性あり
- 2020年12月12日:FireEyeがSolarWindsに通知
- 2020年12月14日:SolarWindsが顧客などに周知を行い、最初の修正版をリリース
- 2020年12月15日:SolarWindsが追加の修正版をリリース
- 2020年12月17日:米国土安全保障省サイバーセキュリティインフラストラクチャーセキュリティ庁(CISA)が注意喚起を発表
- 2021年1月11日:SolarWindsがSunspotに関する追加情報を公開
- 2021年2月:SolarWindsが米国の上院および議会で証言を行う
- 2021年5月7日:調査がほぼ完了し、結果を公開
顧客などへの影響
Brown氏によれば、マルウェアが埋め込まれたOrion Platform 2019.4 HF 5、2020.2、2020.2 HF 1の総ダウンロード数は約1万8000回だった。しかし、製品をオンプレミス環境で利用している顧客企業が多く、また、顧客が同社に影響の有無をフィードバックしていない場合もあり、同社では正確な影響規模を把握できないという。
また同社は、米国および各国のサイバーセキュリティ当局の要請を受けて、攻撃の影響を受けた可能性のある顧客に関する情報を提供。各機関からの応答などを踏まえ、影響を受けた可能性のある組織は、複数の米国政府機関と民間企業で、総数は100組織未満になるという。民間企業では、調査にも協力しているMicrosoftが影響があった事実を公表している。
日本メディアとの質疑応答で、「(同社への)攻撃が世界的に拡大しているランサムウェア攻撃などにも波及したのか?」との質問に、Brown氏は「ランサムウェア攻撃などへの波及を(直接的に)示す情報は持ち合わせていないが、今回当社が経験した国家が背後にいると見られる攻撃がこれから深刻な脅威になることを懸念している」と述べた。
日本の顧客の被害状況についてGardiner氏は、ZDNet Japanに「情報が侵害されたといった被害の報告は受けていない」と回答した。
調査の取り組み
調査は、米国連邦捜査局(FBI)やCISAなどの米国当局とCrowdStrike、Microsoft、KPMGなどの民間企業が協力し、攻撃活動に関するものだけでなく、製品開発環境を含む同社の広範なリソースを対象に、現在も継続中だという。また、CISA元長官のChristopher Krebs氏らが設立したコンサルティング会社やFacebookの元CISOのAlex Stamos氏がコンサルタントを務めている。
攻撃者の素性
SolarWindsに攻撃を仕掛けた人物・組織については、FBI、CISA、米国家安全保障局(NSA)、米国家情報長官室(ODNI)が2021年1月5日に、連名でロシア 対外情報庁(SVR)による攻撃との見方を発表し、英国立サイバーセキュリティセンター(NCSC)も同様の見方をしていると報じられた。
Brown氏は、米国機関などの見解があるとした上で、同社としては攻撃者の素性を特定できないと説明した。また、Gardiner氏は日本のメディアへのコメントの中で、「(今回の攻撃の)以前は、当社が(ITインフラ管理製品の)市場のリーダーと認知されており、顧客の課題を解決し得る存在として信頼を得ていた。当社のこうした立場を踏まえて標的にされたのではないか」と述べている。
顧客への対応
Brown氏は、インシデントが発覚してすぐに顧客などへ告知するとともに、攻撃の影響を受けた製品のアップデートのリリースと追加情報の公開などを頻繁に行い、各種製品のデジタルコード署名を改めて行うなどの対応を実施したと説明する。
攻撃の影響を受けた顧客に対しては、該当製品の保守契約を締結する顧客に、ホットフィックスのサポートの無償提供や、同社パートナーのサポートを受けることができる「Orion Assistance Program(OAP)」を提供している。Gardiner氏によれば、現在までに75の顧客にOAPを提供したという。製品の安全な実装や利用方法に関するガイダンスも随時行っているという。
再発防止への取り組み
Brown氏は、調査と並行してインシデントの再発を防ぐべく「セキュアバイデザイン」を基本として、幾多の施策を「社内環境」「製品開発環境」「ソフトウェアの安全性」の3つの観点から取り組んでいると説明した。セキュアバイデザインのアプローチは、「プラットフォームを侵入から守り、侵害に対する製品の堅牢性を高め、万一の場合でも顧客を脅威から防ぐことにつなげるため」(Brown氏)という。
社内環境については、調査で協力するCrowdStrikeやKPMGなどのリソースも活用しながら全ユーザーのパスワードリセット、多要素認証の実施、サービスやシステムに対するアクセスの見直し、リモートアクセスとクラウドへのアクセスの統合、内部・外部監査の強化、脅威検出・保護対策の強化などを実施しており、極めて高い安全性を確保したとする。
製品開発環境では、アプローチを根本的に変更し、MicrosoftやGoogleら外部リソースを活用した新たな環境を整備し、製品を開発するようにしたという。ソースコードや開発環境などにおける内部監査の体制を大幅に強化し、ビルドプロセスにおいても統合的な監査の仕組みを組み込むようにしたという。
ソフトウェアの安全性では、開発コード、ビルドコード、製品コードについて双方向に完全性を確保する体制を整備するとともに、ソースコードのセキュリティ検査の強化、外部専門機関によるペネトレーションテストの強化、第三者機関のよる監査の徹底などに取り組む。Brown氏は、「セキュリティコミュニティーとの関係の強化、外部のセキュリティ専門家への資金提供によるソフトウェアの安全性向上のための活動支援なども進めており、一連の取り組みをステップバイステップで推進することで信頼を取り戻し、より安全な製品の提供を実現させていく」と表明した。
インシデントを踏まえて
同社での今回のインシデントは、企業が製品を市場に提供するためのサプライチェーンにおけるサイバーセキュリティリスクを世界中に強く認識させることにもなった。今回の経験を踏まえてBrown氏は、リスクや脅威などの被害からのレジリエンス(回復、復元)がいかに重要であるかを説いた。
「開発者にアドバイスできることは、一つ一つのプロセスにおいてレジリエンスが大事だということ。自社の製品にサードパーティーのものがどのように、どれだけ使われているのかもきちんと把握しておく。開発プロセス全体に監査を組み込み、また、製品のビルド作業も、人手を介すことなくBuild as a Codeのアプローチで自動化する。あらゆるプロセスにおいて脅威が侵入する可能性を前提に対応できるようにすべきだ。ユーザーも、あらゆるソフトウェアにおいて(SolarWindsが経験したような)リスクがあることを認識し、備えを講じてレジリエンスを確保していく。特にオンプレミス環境で利用するソフトウェアについては、実装段階から安全性の確保に努めていただきたい」
米SolarWinds 最高収益責任者(CRO)のDavid Gardiner氏
Gardiner氏は、一連の取り組みを踏まえて次のようにコメントした。
「外部機関によって当社製品の安全性が確認されており、顧客は安心して製品をご利用いただきたい。また、当社製品に限らず顧客の安全を確保するための支援を広く提供していく。今後も顧客に安全で高いセキュリティレベルの製品を提供する努力を続け、情報の公開、共有を徹底し透明性を確保していくことにより顧客からの信頼を回復したい」
「残念ながら当社が攻撃を受けたことは事実である。攻撃は機密情報が盗まれるといった以上の深刻な脅威であり、(報道されている)1000人以上のリソースと巨額の資金を投じる国家的な支援を得た巨大なサイバー攻撃に狙われて、これを防ぐことができる企業はないだろう。われわれの経験を(業界全体のセキュリティや安全保障などに)生かしていきたい」
