どの程度ハッキングされるのか?SolarWindsへのサイバー攻撃をより深く理解するための「ハッキングスケール」
クリストファー・バッド著
「SolarWinds攻撃により、Microsoft、FireEye、米国財務省がハッキング被害に遭った。」
この発言は真実だが、全体像を正確に伝えているわけではない。
ほとんどの人が理解しているように、これらの組織はハッキングされたため、これは事実です。しかし、それぞれの組織が「ハッキング」によってそれぞれ異なるレベルの深刻な影響を受けているため、全体像を正確に伝えることはできません。
これがなぜ重要なのかを示す良い例は、がんについての私たちの話し方です。何年も前、「がんに罹る」ということは二元的なものでした。「がんに罹って」死ぬか、そうでないかのどちらかでした。そして、がんについて語られることはしばしば「Cワード」という婉曲的な言葉で、ひっそりと声を潜めて語られることが多かったのです。
医学の進歩により、もはやこれは当てはまりません。人はがんを生き延びることができ、実際に生きています。そのため、今ではがんについて、がんの種類やステージという現実を反映した形で、よりオープンに話し合うようになりました。これにより、治療可能で生き延びられるがんなのか、それとも治療不可能で末期のがんなのかを理解するのに役立ちます。
ハッキングに関しても同じことが言えます。ハッキングの中には壊滅的な被害をもたらすものもあれば、生き残れるものもあります。「SolarWindsハッキング」に関する様々な報告書からも、この現実が見て取れます。深刻な影響を受ける組織もあれば、それほどでもない組織もあります。しかし、すべてが「ハッキングされた」と一概に言ってしまうと、こうした重要なニュアンスは失われてしまいます。
専門家が使う「ハックされたスケール」は存在しません。ましてや、一般の人が使えるものなど存在しません。これが、私たちが「ハックされた」という言葉だけを耳にし続ける理由の一つです。
SolarWindsの事例におけるニュアンスをより深く理解するには、尺度を定義する必要があります。ハッキングにおいて最も重要なのは拡散と重症度であるため、がんのステージングシステムは、拡散と重症度を5段階で追跡するため、適応に適したモデルとなります。ハッキングについても同様のことが言えます。
- ステージ 0: 攻撃者はシステムまたはネットワークへのエントリ ポイントを発見または作成しましたが、それを使用していないか、何もアクションを起こしていません。
- ステージ I: 攻撃者はシステムを制御していますが、システムを超えてより広範なネットワークに移動していません。
- ステージ II: 攻撃者はより広範なネットワークに移動し、「読み取り専用」モードになります。つまり、データを読み取って盗むことはできますが、変更することはできません。
- ステージ III: 攻撃者はより広範なネットワークに移動し、ネットワークへの「書き込み」アクセス権を持つため、データの読み取りや盗難だけでなく、変更も可能になります。
- ステージ IV: 攻撃者はより広範なネットワークの管理権限を持ち、アカウントやネットワークへの新しい侵入手段を作成できるほか、データを変更、読み取り、盗むことも可能になります。
これらのレベルにおける重要な要素は、攻撃者のアクセスと制御です。それぞれが少ないほど良く、多いほど悪くなります。
例えば、SolarWindsは18,000社の顧客が影響を受けたと述べています。しかし、これは18,000社の顧客のネットワークがステージIVの攻撃を受け、攻撃者によって完全に制御されていることを意味するものではありません。
SolarWinds が提供している情報では、これらのお客様がステージ 0 の攻撃を受けたことしか分かりません。つまり、攻撃者はネットワークにさらに深く侵入する手段を持っていた可能性があります。攻撃者がさらに深く侵入し、お客様がより深刻な影響を受けたかどうかを知るには、さらなる調査が必要です。
12月17日、マイクロソフトは「当社の環境内で悪意のあるSolar Windsバイナリを検出し、隔離・削除したことを確認いたしました。…本番環境サービスや顧客データへのアクセスの証拠は見つかりませんでした。現在も継続中の調査では、当社のシステムが他者への攻撃に使用された兆候は一切見つかっておりません」と述べました。この情報を額面通りに受け取ると、マイクロソフトはステージ0またはステージIの攻撃を受けたと示唆しているように思われます。
FireEyeは12月8日、SolarWindsへの攻撃の一部であることが判明した自社のセキュリティ侵害について公表しました。この情報によると、攻撃者は情報の窃取に成功したものの、データの改ざんやネットワークの管理権限の取得に成功したという兆候は見られず、同社が経験した攻撃はステージIIに該当する可能性が高いと考えられます。
米国財務省への攻撃の詳細は、間接的、あるいは間接的に得た情報しか得られていないため、必ずしも明確ではありません。ニューヨーク・タイムズ紙の報道によると、攻撃者は少なくともネットワーク上で「読み取り」権限を持っていたことが明確に示されており、これはステージIIに該当します。しかし、攻撃者がクラウド資産へのアクセスをどのように取得したかについて明らかになった詳細の一部は、攻撃者がネットワーク上でステージIVに到達した可能性を示唆しています。
あらゆる尺度の目的は、物事をシンプルにすることですが、単純化しすぎることではありません。しかし、完璧な尺度などありません。尺度によっては、重要な詳細が見落とされてしまう可能性が常に存在します。このような尺度において重要なのは、状況の相対的な深刻度を容易かつ簡潔に理解できるようにすることです。私たちが知っている限りでは、財務省の状況はMicrosoftやFireEyeの状況よりも深刻です。この点において、この尺度は正確かつ有用です。
今、誰にとっても重要なのは、「ハッキング」は単純な二者択一ではなく、様々なレベルがあることを理解することです。これを理解することで、状況の深刻度と、それに対して私たちが取るべき対応をより適切に評価できるようになります。
