政府機関への大規模サイバー攻撃が核兵器関連の組織やMicrosoftにも迫っていたことが判明

SolarWinds製セキュリティソフト「Orion」のアップデートファイルが、サイバー攻撃集団によりマルウェアを含むものに置き換えられており、多数の政府機関を狙ったハッキングに利用されていた問題で、アメリカ合衆国エネルギー省と国家核安全保障局(NNSA)のネットワークにハッカーによるアクセスがあったことがわかりました。また、この攻撃に使用されているドメインの押収など対策を行っていたMicrosoftもSolarWinds製ソフトウェアを使っていたことが指摘されています。

Nuclear weapons agency breached amid massive cyber onslaught - POLITICO
https://www.politico.com/news/2020/12/17/nuclear-agency-hacked-officials-inform-congress-447855

Exclusive: Suspected Russian hacking spree reached into Microsoft - sources | Reuters
https://www.reuters.com/article/usa-cyber-breach-exclusive-int-idUSKBN28R3E2

エネルギー省とNNSAによると、ハッカーによるものとみられる不審な活動の痕跡が、連邦エネルギー規制委員会、サンディア国立研究所、ロスアラモス国立研究所、NNSA安全輸送局、エネルギー省リッチランド現地事務所のネットワーク内で確認されたとのこと。2つの研究所はいずれも核兵器開発に関わっており、輸送局も核兵器の輸送に携わる重要な部署ですが、エネルギー省によれば「重要な防衛システムには侵入されていない」そうです。

この大規模なサイバー攻撃に対してはFBI、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)、国家情報長官室(ODNI)によって結成された「サイバー統合調整グループ(UCG)」が対応にあたっています。

Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) | CISA
https://www.cisa.gov/news/2020/12/16/joint-statement-federal-bureau-investigation-fbi-cybersecurity-and-infrastructure

UCGでは全容解明のための取り組みを続けており、攻撃してきた集団が何者なのかは特定されていませんが、セキュリティ専門家はロシア政府の諜報機関から支援を受けている「UCN2452」と呼ばれるグループであると指摘しています。

世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに - GIGAZINE

本件に対してはMicrosoftが攻撃に使われるドメインの押収などを実施して対策を講じていますが、そのMicrosoft自身もSolarWinds製のネットワーク管理ソフトを使用していたことがわかっています。ただ、マルウェアを含むアップデートにより影響を受けるMicrosoftのユーザー数は「すぐには特定できない」とのこと。この一件について、Microsoftはコメントしていません。

今回の大規模なサイバー攻撃は、すでに明らかになっているSolarWinds製ソフトのアップデートを悪用した形によるマルウェア配布以外の手段も用いられていることから、CISAでは「『SolarWinds製ソフトのアップデートを適用していなければ大丈夫だろう』とは思わないで欲しい」と警鐘を鳴らしています。なお、「その他の手段」がどういったものなのかは調査中だとのことです。