「文字通り爆発的な一週間だった」:テクノロジーセキュリティのスタートアップ企業はSolarWindsの余波に苦慮している
ああ、休暇前の1週間。大変な一年を過ごした後、一息ついて、早めに仕事を切り上げ、オンラインショッピングをして、家族と過ごすには最高の時間だ。
エンタープライズ セキュリティ テクノロジーの世界では、少なくとも今週はそうではなく、おそらくしばらくはそうではないでしょう。
「この1週間は文字通り爆発的な変化でした」と、ワシントン州ベルビューに拠点を置くセキュリティテクノロジー企業Polyverseの創業者兼CEO、アレックス・グーナレス氏は述べた。「SolarWindsの侵害の影響は計り知れません。直接的な影響については多くの記事が書かれていますが、それ以上に懸念されるのは、これから発生するであろう被害です。攻撃者は何ヶ月もの間、SolarWindsの顧客に自由にアクセスできていました。他に何をしたというのでしょうか?これらの組織には、さらにいくつのバックドアが仕掛けられているのでしょうか?」
これらは、ロシア政府と関係があるとみられるハッカーが、広く使用されているITインフラ管理製品のソフトウェア更新にマルウェアを不正に挿入し、企業や米国政府機関のコンピュータシステムに侵入したSolarWindsの侵害に関する、未解決の疑問と広範囲にわたる影響のほんの一部に過ぎない。
米サイバーセキュリティ・インフラセキュリティ庁によると、この攻撃は12月8日に発見され、3月から気づかれずに実行されていたという。
シアトルのスタートアップ企業CI Securityの共同創業者兼最高情報セキュリティ責任者であるマイケル・ハミルトン氏は、今回の攻撃の規模と巧妙さは「驚異的」だと述べた。「私が学んだのは、国家レベルの攻撃者が用いる戦術が今や政府や企業界に広く浸透し、その手口がいよいよ厳しくなっているということです。」
テキサス州オースティンに本社を置くソーラーウィンズは、約1万8000人の顧客が侵害されたソフトウェアをインストールした可能性があると述べた。
「SolarWindsで起きたことは、サイバー攻撃がいかに高度化しているか、そして一度システムに侵入されるとその影響がいかに広範囲に及ぶかを物語っています」と、認証テクノロジー企業Auth0のCEO兼共同創業者であるエウジェニオ・ペース氏は述べています。「残念ながら、被害の全容はしばらくは明らかにならないでしょう。この種の攻撃は、最も備えの整った企業でさえも影響を受ける可能性のある、高度化と範囲の拡大が常に存在することを証明しています。」
Auth0自体はSolarWindsの顧客ではないが、それでも予防措置を講じており、顧客に代わって積極的に脅威を監視しているとPace氏は指摘した。
セキュリティ関連の新興企業は、企業顧客がシステム内の悪意のあるコードの存在を検出できるよう支援するために長時間働いています。
「このマルウェアは検知が困難です。長期間潜伏状態になります」と、シアトルに拠点を置くネットワークセキュリティ企業ExtraHopの共同創業者兼最高技術責任者(CTO)であるジェシー・ロススタイン氏は述べています。「大きな活動は見られません。…だからこそ、この攻撃の影響を理解し始めたばかりなのではないかと懸念しています。」
もう一つの課題は、バックドア攻撃の秘密性です。
「このバックドアは多くの組織にインストールされ、無防備な状態だったことは間違いありません」とロススタイン氏は述べた。「難しいのは、誰かがそのバックドアから侵入したのか、そして誰かが貴重品を持ってバックドアから立ち去ったのかということです。…他のドアも施錠せずに放置したのか、あるいは他の手段で侵入経路を確保したのかは分かりません。」
クラウドによって複雑化
企業内でのクラウド コンピューティングと SaaS アプリケーションの普及により、攻撃の検出プロセスはさらに複雑化しています。
「あらゆるものが自宅に電話をかけ、クラウドコンピューティングを活用するようになった今、それが意図された動作なのか、それとも悪意のある、あるいは不正な動作なのかを判断することはさらに困難になっています」とロススタイン氏は述べた。「SaaS型ビジネスインテリジェンスプラットフォームにデータをアップロードすることと、機密データを攻撃者に持ち出すことの間には、非常に微妙な境界線があります。」
さらに厄介なことに、悪意のあるコードはデジタル署名されたSolarWindsのソフトウェアアップデートに挿入されており、ロススタイン氏は水曜日、アップデートの作成に使用されたサーバーが侵害されたことを示唆していると述べた。これはその後、ReversingLabsによる分析で確認された。
「それは非常に懸念すべきことです」とロススタイン氏は述べた。「私たち自身もソフトウェアベンダーでありサプライヤーでもありますが、私が最も懸念しているのは、ビルドシステムの完全性とサプライチェーンの完全性です。」
SolarWindsへの攻撃が週末に報じられた後、ExtraHopは脅威インテリジェンスフィードを通じてアップデートを公開し、顧客が攻撃に関連する可能性のあるネットワーク上のアクティビティを検出できるようにしました。さらに、同社のリサーチチームは、独自のツールとオープンソースインテリジェンスを駆使し、攻撃に使用されたとみられるドメインの初期リストを分析し、約550件の固有IPアドレスからなる、はるかに大規模なリストを特定しました。
マイクロソフトは今週、主要ドメインの一つに対して措置を講じました。しかし、レドモンドの同社で長年勤務した経験を持つPolyverseのCEO、グーナレス氏は、別の例えで状況を説明しました。「マイクロソフトの迅速な対応は称賛に値しますが、これはまるで自宅で凍った水道管が破裂したようなものです」と彼は言います。「確かに水道管の修理は非常に重要です(マイクロソフトに感謝します!)。しかし、壁や床、その他目に見えない箇所の水害はどうでしょうか?」
セキュリティ技術に対する「巨大な」需要
技術セキュリティのスタートアップ企業は、事件を利用して利益を得ていると見られないよう注意しているが、多くの場合、こうした状況は、彼らが提供する技術やサービスの必要性を証明している。
例えば、ExtraHopのロススタイン氏は、悪意のあるコードが潜伏状態にあることから、ExtraHopの専門分野であるネットワーク検知は、ハッキングの兆候を察知する最良の方法の一つだと指摘しました。この分野の進歩は、SolarWindsの侵害のような新たな脅威に直面しているロススタイン氏に、最終的に楽観的な見方を抱かせている要因の一つです。データサイエンスと機械学習を応用して大規模なデータセットやネットワークトラフィックを分析し、不審な行動を検出することは「大きな進歩であり、非常に大きな成果をもたらします」。
グナレス氏は、SolarWinds のハッキング事件のように、ソフトウェア サプライ チェーンを通じて侵入してくる攻撃から身を守るために、Polyverse の主力製品であるソフトウェア スタックを企業が完全に管理することの重要性を挙げた。
ウェドブッシュのアナリスト、ダン・アイブス氏は木曜日の調査ノートで、今回の攻撃はサイバーセキュリティの「巨大な」市場規模を浮き彫りにしたと述べた。「重要なクラウド環境を保護し、統合された高度なソリューションセットを通じてオンプレミスおよびパブリック/ハイブリッドのワークロードとシームレスに連携できるソリューションセットを持つベンダーにとって、今後5年間でクラウドセキュリティ分野で2,000億ドルの成長機会が『手に入る』と考えています」とアイブス氏は記している。
シアトル地域にはエンタープライズテクノロジー企業が集中しており、クラウド大手の Amazon Web Services や Microsoft Azure も存在するため、この地域のテクノロジーコミュニティはサイバーセキュリティの新興企業の温床にもなっています。
SolarWindsを超えて
重要なポイントの一つは、この攻撃が新たな時代の幕開けであり、まだ始まりに過ぎないということだ。
「ITセキュリティにとってより大きな影響は、今回の事件がスパイ活動から犯罪へと焦点を移しつつあることです」と、CI Securityのハミルトン氏は述べています。「一部の国では国家と犯罪者の間に明確な境界線がなく、SolarWindsを利用したネットワークで得られた持続性が組織犯罪へと移行する可能性があります。つまり、被害を受けた企業は間もなくランサムウェアによる恐喝を受ける可能性があるということです。」
グナレス氏は、現在の攻撃が終わっていないだけでなく、この種の攻撃の最後でもないことは確かだと語った。
「私たちは次の攻撃を警戒しています。SolarWindsへの侵入を企んだ攻撃者は非常に洗練された世界クラスの攻撃者でしたが、技術的な詳細を掘り下げてみると、実際の技術的な仕組みがいかに単純だったかが注目に値します」とグナレス氏は述べた。
「今後数ヶ月、数年のうちに、模倣型の攻撃が数多く発生するだろう」と彼は述べた。「他の有能な国家組織も今回の攻撃に勇気づけられ、自らも攻撃を仕掛けるだろう。そして、他の悪意ある攻撃者も、その技術的な詳細を見て、自分たちにも実行可能だと気づくだろう。」
