「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明

ネットワーク・マネージメント・ソフトウェアを開発するSolarWindsの提供するソフトウェア「Orion Software」を利用してアメリカ政府やMicrosoft・Ciscoといった大企業が大規模なハッキング攻撃にあった件について、2021年2月26日にアメリカ合衆国下院による公聴会が開かれました。この中でSolarWindsのサーバーが「solarwinds123」というセキュリティ性の低いパスワードで保護されていた件について議員に質問されたSolarWindsのCEOは、「インターンの間違い」に関連した出来事と説明しました。

Oversight and Homeland Security Committees Discussed Next Steps for Government and Private Tech Following SolarWinds Breach | House Committee on Oversight and Reform
https://oversight.house.gov/news/press-releases/oversight-and-homeland-security-committees-discussed-next-steps-for-government

Former SolarWinds CEO blames intern for "solarwinds123" password leak - CNNPolitics
https://edition.cnn.com/2021/02/26/politics/solarwinds123-password-intern/index.html

Former SolarWinds CEO Blames Intern for Password Security Breach
https://www.makeuseof.com/former-solarwinds-ceo-blames-intern-for-password-security-breach/

2020年12月、サイバーセキュリティ企業のFireEyeが製品のテストに利用されるハッキング用内部ツールが何者かに盗まれたことを報告しました。発表の中でFireEyeは「攻撃は一流の攻撃能力を持つ国によるものだ」と結論付けました。

サイバーセキュリティ企業のFireEyeが「一流の攻撃能力を備えた国」にハッキングされる - GIGAZINE

調査が進められた結果、FireEyeへの攻撃は、より広範なハッキング攻撃の一部であることが判明しました。この一連のハッキング攻撃ではアメリカ財務省を始めとする国家機関の電子メールが監視され……

ロシア政府の支援を受けるハッカーがアメリカ政府機関をハッキングしてメール内容などを監視していたことが判明 - GIGAZINE

Microsoft Windowsのソースコードが6200万円で売りに出されるといった事態のほか、ネットワーク機器開発企業のCiscoへの被害も報告されており、Microsoftのブラッド・スミス社長は「過去10年に見た中で最も深刻なサイバー攻撃の1つ」だと位置付けました。

Windowsのソースコードが6200万円で売りに出されていることが発覚 - GIGAZINE

この原因になったのが、ネットワーク・マネージメント・ソフトウェアの開発企業・SolarWindsの提供するソフトウェア「Orion Software」です。攻撃者はOrion Softwareにバックドアを追加するマルウェアを仕込み、ハッキングを実施しました。このバックドアは「SunBurst」あるいは「Solorigate」と呼ばれれています。

そして2021年2月26日、アメリカ合衆国下院監視委員会・国土安全委員会が合同公聴会を実施し、Orion Softwareを利用して実施された大規模なサイバー攻撃について議論を行いました。公聴会にはSolarWindsの社長・CEOであるスダカール・ラーマクリシュナ氏や元CEOであるケビン・トンプソン氏、そして内部テストツールを盗まれたセキュリティ企業・FireEyeのCEOであるケヴィン・マンディア氏、Microsoft社長のブラッド・スミス氏も出席しました。

セキュリティ研究者のビノス・クマール氏は2020年12月に、SolarWindsのサーバーの一部はパスワードが「solarwinds123」のようなセキュリティの甘い、推測が容易なものだったと指摘。

US cyber-attack: Cybersecurity agency warns suspected Russian hacking campaign broader than previously believed - CNNPolitics
https://edition.cnn.com/2020/12/17/politics/us-government-hack-extends-beyond-solarwinds/index.html

このことを議員から指摘されたトンプソン氏は「パスワードはポリシーに違反しており、インターンが間違いを犯したことに関連しています」「インターンが内部アカウントにパスワードを投稿したことがありましたが、セキュリティチームが気づくとすぐに取り下げられました」と説明しました。またラーマクリシュナ氏はこの件について「インターンがGithubサーバーでそのパスワードを利用していたのは2017年のことで、報告が上がるとすぐに削除されました」と述べました。

このパスワードがハッキング攻撃に利用されたかどうかは定かではありませんが、クマール氏によると、少なくとも2018年6月以降はサーバーが一般からアクセス可能だったとのこと。クマール氏は漏えいしたパスワードを使ってサーバーにログインしファイルを保存可能だと実験で確認しており、SolarWindsへのメールで「悪意あるハッカーがプログラムをSolarWindsにアップロード可能な状態である」と伝えています。なお、この問題は2019年11月に修正されたとのこと。

SolarWindsは「インターンの間違い」だと述べたことについて、「3つの大きな問題があります」と技術系ライターのギャヴィン・フィリップス氏は指摘しています。

1：企業がインターンにパスワードの変更を許可するシステム
2：パスワードの変更といったプラットフォームに影響を与えることをインターンが行っているかチェックしていないこと
3：パスワードの変更が2017年にあってから、そのほかの場所にパスワード漏れが発生いなかったか、修正が行われる2019年まで3年も未調査だった点

公聴会の中でMicrosoftのスミス社長は「アメリカ国防総省が実際にロシアのスパイ活動の影響を受けた証拠はありません」と発言しました。一方でFireEyeのマンディアCEOは「被害を全て知ることはできません。また、盗まれた情報が敵によってどのように利用されるかについて、その程度と範囲を全て知ることもできません」と述べました。