日経クロステック Special

ユーザーIDとパスワード認証ではサイバー攻撃を避けられない。SolarWinds事件から学ぶ

認証のあり⽅についてメンデス・ラウル氏が紹介
株式会社インターナショナルシステムリサーチ
代表取締役社⻑
メンデス・ラウル
2020年、世界が新型コロナウイルスの世界的な流⾏拡⼤に苦しんでいるとき、Sunburstというマルウェアが多くのシステムに侵⼊し被害を拡⼤していた。この歴史上最も⼤きなサイバー攻撃となったSolarWinds事件は、ファイア・アイ社が多要素認証によって検知し明らかとなった。本記事では、今回のサイバー攻撃の事例や、今後変化が必要な認証のあり⽅について、株式会社インターナショナルシステムリサーチ(ISR)代表取締役社⻑のメンデス・ラウル氏が紹介していく。

⽶政府機関のほか⽶⼤⼿企業を含む1万8000社に被害が拡⼤した事件の概要

メンデス氏:まずはじめに、今回のサイバー攻撃に関わる企業のブログをもとに事件の概要についてまとめます。

 ファイア・アイ社は12⽉8⽇、「同社が国家レベルの攻撃者に侵⼊され、⾃社製品のRed Teamという実際の攻撃シナリオに対する組織のセキュリティプログラムの能⼒をテストするための診断ツールを標的にアクセスされていたことが分かった」と発表。さらに12⽉13⽇にはマイクロソフト社、SolarWinds社と協⼒した調査結果を発表しています。攻撃を検知した2020年12⽉8⽇までの9ヶ⽉間、攻撃者は同社のほか複数の⽶政府機関や⽶⼤⼿企業を含む1万8000社のネットワークに侵⼊し、情報やデータなどを外国にあるサーバーへ転送していたのです。

 そして、12⽉17⽇にはマイクロソフト社プレジデントのブラッド・スミス⽒が同社ブログにて「この攻撃は審判の時をもたらします。私たちは拡⼤する脅威を直視し、サイバーセキュリティに対する強⼒で統制が取れた対応を⾏うために、政府と⽶国のテクノロジセクターと協⼒して効果的なリーダーシップを確⽴しなければなりません」と述べています。

 2021年1⽉7⽇には、SolarWinds社の新CEOが「Sunburst攻撃は、歴史上最も複雑で洗練されたサイバー攻撃の⼀つであると思われます」と述べています。また、SolarWinds社はSEC(⽶国証券取引委員会)への12⽉14⽇報告で、2020年初旬ロシア関与の疑いのある攻撃者の攻撃ベクトルとして、同社が利⽤していたMicrosoft Office 365 の電⼦メールの侵害から始まったとしています。そこから攻撃者は、オフィス⽣産性向上ツールの他データへアクセスし、同社製品Orionのソースコードを取得。ネットワークにあるサーバーを完全に乗っ取り、Sunburstマルウェアを埋め込み、利⽤者の正規アップデートを悪⽤し被害を広げました。そして、2021年1⽉6⽇CISAのインシデント対応調査から、いくつかのケースでパスワード推測やパスワードスプレー攻撃が使われていたことも分かりました。