メンデス氏:まずはじめに、今回のサイバー攻撃に関わる企業のブログをもとに事件の概要についてまとめます。
ファイア・アイ社は12⽉8⽇、「同社が国家レベルの攻撃者に侵⼊され、⾃社製品のRed Teamという実際の攻撃シナリオに対する組織のセキュリティプログラムの能⼒をテストするための診断ツールを標的にアクセスされていたことが分かった」と発表。さらに12⽉13⽇にはマイクロソフト社、SolarWinds社と協⼒した調査結果を発表しています。攻撃を検知した2020年12⽉8⽇までの9ヶ⽉間、攻撃者は同社のほか複数の⽶政府機関や⽶⼤⼿企業を含む1万8000社のネットワークに侵⼊し、情報やデータなどを外国にあるサーバーへ転送していたのです。
そして、12⽉17⽇にはマイクロソフト社プレジデントのブラッド・スミス⽒が同社ブログにて「この攻撃は審判の時をもたらします。私たちは拡⼤する脅威を直視し、サイバーセキュリティに対する強⼒で統制が取れた対応を⾏うために、政府と⽶国のテクノロジセクターと協⼒して効果的なリーダーシップを確⽴しなければなりません」と述べています。
2021年1⽉7⽇には、SolarWinds社の新CEOが「Sunburst攻撃は、歴史上最も複雑で洗練されたサイバー攻撃の⼀つであると思われます」と述べています。また、SolarWinds社はSEC(⽶国証券取引委員会)への12⽉14⽇報告で、2020年初旬ロシア関与の疑いのある攻撃者の攻撃ベクトルとして、同社が利⽤していたMicrosoft Office 365 の電⼦メールの侵害から始まったとしています。そこから攻撃者は、オフィス⽣産性向上ツールの他データへアクセスし、同社製品Orionのソースコードを取得。ネットワークにあるサーバーを完全に乗っ取り、Sunburstマルウェアを埋め込み、利⽤者の正規アップデートを悪⽤し被害を広げました。そして、2021年1⽉6⽇CISAのインシデント対応調査から、いくつかのケースでパスワード推測やパスワードスプレー攻撃が使われていたことも分かりました。