ロシア政府の支援を受けるハッカーがアメリカ政府機関をハッキングしてメール内容などを監視していたことが判明

ロシアには政府機関の支援を受けるハッカーグループが存在し、2020年アメリカ大統領選挙や東京オリンピックの主催者・スポンサーへの攻撃を行っていたことが報じられています。新たに、アメリカの政府機関と契約を結ぶサイバーセキュリティ企業にロシアのハッカーがハッキングを仕掛け、アメリカ財務省をはじめとする国家機関の電子メールを監視していたと報告されました。

Suspected Russian hackers spied on U.S. Treasury emails - sources | Reuters
https://www.reuters.com/article/us-usa-cyber-amazon-com-exclsuive-idUSKBN28N0PG

Russian government spies are behind a broad hacking campaign that has breached U.S. agencies and a top cyber firm - The Washington Post
https://www.washingtonpost.com/national-security/russian-government-spies-are-behind-a-broad-hacking-campaign-that-has-breached-us-agencies-and-a-top-cyber-firm/2020/12/13/d5a53b88-3d7d-11eb-9453-fc36ba051781_story.html

Hacked: Top cybersecurity firm FireEye says 'nation-state' is culprit
https://www.usatoday.com/story/tech/2020/12/12/hacked-top-cybersecurity-firm-fireeye-says-nation-state-culprit/6511242002/

2020年12月、アメリカ政府の内部に詳しい情報提供者がロイター通信に対し、ロシア政府の支援を受けていると見られるハッカーがサイバーセキュリティ企業へ攻撃を仕掛け、アメリカ財務省やアメリカ商務省傘下の国家電気通信情報庁(NTIA)の電子メールを監視していると伝えました。

連邦捜査局(FBI)はこのハッキング攻撃が「APT29(CozyBear)」によるものだと見ており、調査を進めているとのこと。APT29はロシア対外情報庁(SVR)の支援を受けていると考えられており、オバマ政権時代にアメリカ国務省やホワイトハウスをハッキングしたほか、新型コロナウイルスワクチンの研究組織をハッキングしているともいわれています。

ロシア政府関与がささやかれるハッカー集団が新型コロナウイルスワクチンの研究組織をハッキングしているという報告 - GIGAZINE

ハッカーグループはアメリカの政府機関をハッキングするために、政府機関を顧客に持つサイバーセキュリティ企業を攻撃した可能性が指摘されています。2020年12月13日、テキサス州に本拠を置くSolarWindsは、3月と6月にリリースしたソフトウェアアップデートが「高度に洗練され、ターゲットが絞られた国家による手動のサプライチェーン攻撃によって、密かに改ざんされた可能性がある」と述べました。一連の問題に詳しい人物によると、SolarWindsがハッカーの侵入チャネルになったと考えられているそうです。

また、2020年12月上旬にはカリフォルニア州に本拠を置くFireEyeがハッカーにより攻撃を受け、顧客のシステムを調査してセキュリティ上の弱点を見つけるためのツールキットが盗まれたことを報告しています。FireEyeへのハッキングも一連のサイバー攻撃の一環だとみられており、ワシントン・ポストはこの攻撃がAPT29によるものである可能性が高いと報じました。

国家安全保障会議の広報担当者であるJohn Ullyot氏は、「アメリカ政府はこれらの問題を認識しており、この状況に関連して起こりうる問題を特定し、解決するために必要な全ての措置を講じています」とコメント。下部組織がハッキングされた商務省は、サイバーセキュリティやFBIに調査を依頼したと述べています。政府機関に対するハッキングは重大であり、12月12日にはホワイトハウスで国家安全保障会議が行われたと情報提供者はロイター通信に報告しました。

大規模なサイバー攻撃においては、当局がどの情報が盗まれ、何のために情報が使われたのかを特定するには数カ月～数年がかかる可能性があります。依然としてハッキング攻撃の全体的な範囲は不明ですが、情報提供者によるとハッカーはNTIAが使用するMicrosoftのOffice 365に侵入し、電子メールを数カ月にわたって監視していたとのこと。

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の広報担当者は、「政府ネットワークで最近発見されたハッキング活動に関して、エージェンシーのパートナーと緊密に協力してきました。CISAは影響を受ける機関が潜在的な侵害を特定し、影響を軽減するために技術支援を提供しています」と、ロイター通信に対して述べています。FBIや財務省、Microsoftはロイター通信に対してコメントしませんでした。