大規模な政府機関へのサイバー攻撃についてアメリカ政府が公式声明でロシアを非難

2020年12月、アメリカの政府機関が大規模なサイバー攻撃を受け、メール内容が監視されるなどの被害が出たと報じられました。これまでアメリカ政府はハッカーを支援する特定の国について正式な言及を避けてきましたが、新たに発表された公式声明の中でハッカー集団がロシアによって組織されたと非難しています。

Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the Director of National Intelligence (ODNI), and the National Security Agency (NSA) | CISA
https://www.cisa.gov/news/2021/01/05/joint-statement-federal-bureau-investigation-fbi-cybersecurity-and-infrastructure

U.S. intelligence community says Russia is ?likely? behind major, ongoing cyberhacks of federal agencies - The Washington Post
https://www.washingtonpost.com/national-security/us-intelligence-community-says-russia-is-likely-behind-major-ongoing-cyber-hacks-of-federal-agencies/2021/01/05/f2d4b318-4f94-11eb-bda4-615aaefd0555_story.html

US government formally blames Russia for SolarWinds hack | ZDNet
https://www.zdnet.com/article/us-government-formally-blames-russia-for-solarwinds-hack/

12月に報告された大規模なサイバー攻撃では、ハッカー集団が政府機関などを顧客に持つサイバーセキュリティ企業・SolarWindsのITインフラ管理システムである「Orion」のアップデートに、トロイの木馬である「SUNBURST(Solorigate)」というマルウェアを仕込んでいたことが判明しています。

SUNBURSTはHTTPを介して外部のサーバーと通信するバックドアを含んでおり、ファイル転送やファイル実行、システムのプロファイリング、マシンの再起動、システムサービスの無効化などを実行し、Orionの正常な動作に見せかけてデータを盗み出していたとのこと。SolarWindsはハッカーの攻撃について、「高度に洗練され、ターゲットが絞られた国家による手動のサプライチェーン攻撃」であると述べています。

セキュリティ企業のFireEyeによると、2020年3月～5月にSUNBURSTが仕込まれた複数のアップデートファイルが出回っており、いずれのファイルもSolarWindsによる正規のデジタル署名が含まれていたそうです。こうした事態を受けて、アメリカ政府がOrionの使用を今すぐやめるように緊急警報を発したほか、Microsoftがハッキングに使用されるドメインの押収を行うなどの対応に追われています。

問題のマルウェアはおよそ1万8000もの機関や企業に配布された可能性があり、アメリカ合衆国財務省、国家電気通信情報庁(NTIA)、アメリカ国立衛生研究所、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、アメリカ合衆国国土安全保障省、アメリカ合衆国国務省などの国家機関が被害を受けたとのこと。Microsoftのブラッド・スミス社長は、「過去10年に見た中で最も深刻なサイバー攻撃の1つ」であると述べました。

Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは？ - GIGAZINE

一連の攻撃について、ワシントン・ポストなどの報道機関やセキュリティ企業は、以前からロシア政府の支援を受けているハッカー集団の「CozyBear(APT29)」との関連を指摘してきました。また、マイク・ポンペオ国務長官も「サイバー攻撃にはロシアが関与している」と個人的な見解を述べた一方で、アメリカ政府が公式にハッカー集団と特定の国を結びつけて言及することはありませんでした。

ところが、今回のサイバー攻撃を受けてアメリカ国家安全保障会議が設立した連邦捜査局(FBI)・CISA・国家情報長官局(ODNI)・国家安全保障局(NSA)からなる統合タスクフォースは、2021年1月5日に発表した公式声明で「私たちの調査結果はロシアを起源とする可能性が高いAPT攻撃アクターが、政府と民間のネットワークで発見されたサイバー侵害のほとんど、あるいは全てに責任があることを示しています」と述べ、初めて公式にロシアをハッカー集団と関連付けました。

海外メディアのZDNetは今回の声明について、「2016年の大統領選挙でトランプ大統領がロシアから支援を受けたため、公式にロシアを非難できないのではないか」とのウワサを否定するものだと述べています。

by Dmitry Djouce

今回の声明では、Orionプラットフォームのアップデートを行った1万8000に上る団体のうち、データを盗み出す上で重要な第2段階の侵害を受けた数は少ないことも指摘されています。これまでのところ、データ侵害の標的となったアメリカの政府機関は10未満だとみられており、政府と民間部門の職員がクリスマスや年末年始の休暇を返上して被害の調査や問題の修復作業を行っているとのこと。

また、ZDNetやワシントン・ポストは今回の声明でSolarWindsを通じたハッキングが「情報収集の取り組みだった」と述べられている点にも注目。ハッキングが情報収集目的だったと明確に主張した背景には、「一連のハッキングが2020年の大統領選挙の結果を左右するために行われたのではないか」との陰謀論に終止符を打ちたいという思惑があると、各メディアは述べています。