この記事の一版は ダークリーディング.この記事はDark Readingに掲載されたものを更新し、ここにシンジケートされています。
サイバーセキュリティ業界のクリスマスを台無しにするものといえば、米国政府に影響を与えた過去最大のサイバースパイ活動になりそうな、壊滅的なデータ侵害でしょう。
SolarWindsの攻撃は広範囲に及んでおり、脅威の行為者は2019年半ばの時点で最初にソフトウェアに侵入していました。この数ヶ月に及ぶ強盗は、2020年12月に著名なサイバーセキュリティ企業であるFireEye社への侵入に使用されたことで発見され、そこから悪夢が解き明かされました。侵入の全容は現在も調査中ですが、主な侵入先には、米国の国務省、国土安全保障省、商務省、財務省のほか、国立衛生研究所などが含まれています。
今回の事件は、今後も余震が続くと思われますが、その巧妙さには驚かされます。技術的なレベルでは、カスタムの悪意のあるツール、バックドア、隠蔽されたコードを含む多層的な侵入であり、明らかなエラーを悪用するスクリプトキディのスキルをはるかに超えています。
最悪のコードロンダリング
CrowdStrike社は、さらに天才的な手法でこの不正プログラムを解析し、その結果を詳細に発表しました。その結果、ソーラーウインズは、システムアップデートに悪意のあるコードを注入することで、少なくとも4つの別々のマルウェアツールを使用して、脅威の行為者に前例のないアクセスを許してしまったということが明らかになっています。
この方法は秘密裏に行われ、ジェイソン・ボーンの小説に出てくるような戦略的な正確さを可能にしました。これにより、ソーラーウインズのネットワーク外にいる被害者の情報を収集し、計画を立て、必要なときに攻撃するという、包括的なサプライチェーン攻撃を行うことができました。しかも、これらはすべて、見た目にはまったく問題のないコードで実行されました。
サイバー攻撃は、多くの場合、単純でありながらコストのかかるミスの結果として起こります。例えば、ネットワークの設定が不十分であったり、パスワードが平文で保存されていたり、パッチが適用されていないソフトウェアが既知のエクスプロイトに対して脆弱であったりすることです。今回のケースでは、開発者やセキュリティエンジニアだけでなく、コードも全く目立ちませんでした。開発者やセキュリティエンジニアだけでなく、高価で複雑なさまざまなセキュリティ技術でも、このコードを検知することはできませんでした。
セキュリティモニタリングやペネトレーションテストのツールがほとんど使えなくなった
セキュリティの専門家は、馬の排泄物のように希少な存在です。そのため、膨大な量の企業データ、ソフトウェア、インフラのセキュリティを確保するためには、ビジネスのセキュリティニーズに合わせてカスタマイズされた技術スタックが必要となります。これは通常、ネットワーク・ファイアウォール、自動化されたペネトレーション・テスト、モニタリング、スキャン・ツールなどのコンポーネントの形をとっており、後者はソフトウェア開発プロセスにおいて多くの時間を費やしています。これらのツールはすぐにスパイラル化し、管理や実行が困難になり、多くの企業が300以上の異なる製品やサービスを使用しています。
ソーラーウインズは、コードのセキュリティバグ、不正なネットワークアクセスの試み、インフラのあらゆる部分における潜在的な危険性を発見して強調し、さらに検出回避の兆候を拾うための目を見張るようなツールを備えています。このような脅威の担い手が、最先端のセキュリティスタックでも発見されない悪意のあるコードを注入できたことは前例がありません。
インフラの堅牢化、特にアクセス制御は、一般的なサイバーセキュリティのベストプラクティスの基本的な要素ですが、攻撃者がわずかな機会を静かに利用することができれば、ネットワークは、スタンドアロンのソフトウェアの脆弱性と同様に侵害される可能性があります。
今回の問題は、一般的に、ネットワークインフラやソフトウェアのセキュリティをツールだけに頼る企業は、非常に大きなリスクを負っていることを示しています。コードを保護するだけでは十分ではなく、コードを保存し、実行し、コンパイルするすべてのものを同様に保護する必要があります。理想的な状態は、ツールと人材のバランスを取り、潜在的な攻撃対象を深く評価して削減する強固な戦略を実行することです。
チームを超えたセキュリティ意識が脅威のモデル化を促進する
ソーラーウインズ社の情報漏えい事件は、特に政府レベルでのセキュリティ対策に大きな影響を与え始めています。専門家の間では、これによってサイバーセキュリティのあり方が永遠に再構築される可能性があると喧伝されています。
私たちの生活を支えているのは、ますます増加するデジタルインフラです。細心の注意を払って管理しなければ攻撃を受けてしまう可能性がありますが、私たちの一般的な戦略には欠陥があります。私たちは、セキュリティに関する専門知識を持つ人材が圧倒的に不足しているにもかかわらず、そのギャップを埋めるために多くの努力をしていません。人が主体となってセキュリティを意識することは、サイバーセキュリティにおいて十分に活用されていない要素であり、対応ではなく予防を優先させることが重要です。
インフラのセキュリティは、様々な要素が絡み合う複雑な作業ですが、ソフトウェア開発における開発者の位置づけと同様に、適切なトレーニングを受けてセキュリティ意識を高めれば、構造的なリスクを軽減するための資産となります。
この種の攻撃は、現在の技術では防ぐことが難しい重要なリスクであることが2012年の時点で指摘されていたにもかかわらず、脅威モデルではサプライチェーン攻撃がほとんど考慮されておらず、多くの企業が十分な備えをしていません。ソフトウェア開発者は、予防に絶対的な役割を果たすことができます。そのためには、開発者がスキルアップし、コードの完全性を内側から評価できるようにすることから始めます。アップデートの仕組みは安全に構築されているか?ソフトウェアは、悪意のある侵入を容易にするような不必要な接続を行っていないか?
セキュリティがソフトウェアの品質と同義であるとすれば、セキュリティを意識したエンジニアがもたらす価値は計り知れないものがあります。