Vor aller Augen versteckt: Warum der SolarWinds-Angriff mehr als nur ein bösartiges Cyberrisiko aufgedeckt hat
この記事の一版は ダークリーディング.この記事はDark Readingに掲載されたものを更新し、ここにシンジケートされています。
サイバーセキュリティ業界のクリスマスを台無しにするものといえば、米国政府に影響を与えた過去最大のサイバースパイ活動になりそうな、壊滅的なデータ侵害でしょう。
SolarWindsの攻撃は広範囲に及んでおり、脅威の行為者は2019年半ばの時点で最初にソフトウェアに侵入していました。この数ヶ月に及ぶ強盗は、2020年12月に著名なサイバーセキュリティ企業であるFireEye社への侵入に使用されたことで発見され、そこから悪夢が解き明かされました。侵入の全容は現在も調査中ですが、主な侵入先には、米国の国務省、国土安全保障省、商務省、財務省のほか、国立衛生研究所などが含まれています。
今回の事件は、今後も余震が続くと思われますが、その巧妙さには驚かされます。技術的なレベルでは、カスタムの悪意のあるツール、バックドア、隠蔽されたコードを含む多層的な侵入であり、明らかなエラーを悪用するスクリプトキディのスキルをはるかに超えています。
最悪のコードロンダリング
CrowdStrike社は、さらに天才的な手法でこの不正プログラムを解析し、その結果を詳細に発表しました。その結果、ソーラーウインズは、システムアップデートに悪意のあるコードを注入することで、少なくとも4つの別々のマルウェアツールを使用して、脅威の行為者に前例のないアクセスを許してしまったということが明らかになっています。
この方法は秘密裏に行われ、ジェイソン・ボーンの小説に出てくるような戦略的な正確さを可能にしました。これにより、ソーラーウインズのネットワーク外にいる被害者の情報を収集し、計画を立て、必要なときに攻撃するという、包括的なサプライチェーン攻撃を行うことができました。しかも、これらはすべて、見た目にはまったく問題のないコードで実行されました。
サイバー攻撃は、多くの場合、単純でありながらコストのかかるミスの結果として起こります。例えば、ネットワークの設定が不十分であったり、パスワードが平文で保存されていたり、パッチが適用されていないソフトウェアが既知のエクスプロイトに対して脆弱であったりすることです。今回のケースでは、開発者やセキュリティエンジニアだけでなく、コードも全く目立ちませんでした。開発者やセキュリティエンジニアだけでなく、高価で複雑なさまざまなセキュリティ技術でも、このコードを検知することはできませんでした。
セキュリティモニタリングやペネトレーションテストのツールがほとんど使えなくなった
セキュリティの専門家は、馬の排泄物のように希少な存在です。そのため、膨大な量の企業データ、ソフトウェア、インフラのセキュリティを確保するためには、ビジネスのセキュリティニーズに合わせてカスタマイズされた技術スタックが必要となります。これは通常、ネットワーク・ファイアウォール、自動化されたペネトレーション・テスト、モニタリング、スキャン・ツールなどのコンポーネントの形をとっており、後者はソフトウェア開発プロセスにおいて多くの時間を費やしています。これらのツールはすぐにスパイラル化し、管理や実行が困難になり、多くの企業が300以上の異なる製品やサービスを使用しています。
ソーラーウインズは、コードのセキュリティバグ、不正なネットワークアクセスの試み、インフラのあらゆる部分における潜在的な危険性を発見して強調し、さらに検出回避の兆候を拾うための目を見張るようなツールを備えています。このような脅威の担い手が、最先端のセキュリティスタックでも発見されない悪意のあるコードを注入できたことは前例がありません。
インフラの堅牢化、特にアクセス制御は、一般的なサイバーセキュリティのベストプラクティスの基本的な要素ですが、攻撃者がわずかな機会を静かに利用することができれば、ネットワークは、スタンドアロンのソフトウェアの脆弱性と同様に侵害される可能性があります。
今回の問題は、一般的に、ネットワークインフラやソフトウェアのセキュリティをツールだけに頼る企業は、非常に大きなリスクを負っていることを示しています。コードを保護するだけでは十分ではなく、コードを保存し、実行し、コンパイルするすべてのものを同様に保護する必要があります。理想的な状態は、ツールと人材のバランスを取り、潜在的な攻撃対象を深く評価して削減する強固な戦略を実行することです。
チームを超えたセキュリティ意識が脅威のモデル化を促進する
ソーラーウインズ社の情報漏えい事件は、特に政府レベルでのセキュリティ対策に大きな影響を与え始めています。専門家の間では、これによってサイバーセキュリティのあり方が永遠に再構築される可能性があると喧伝されています。
私たちの生活を支えているのは、ますます増加するデジタルインフラです。細心の注意を払って管理しなければ攻撃を受けてしまう可能性がありますが、私たちの一般的な戦略には欠陥があります。私たちは、セキュリティに関する専門知識を持つ人材が圧倒的に不足しているにもかかわらず、そのギャップを埋めるために多くの努力をしていません。人が主体となってセキュリティを意識することは、サイバーセキュリティにおいて十分に活用されていない要素であり、対応ではなく予防を優先させることが重要です。
インフラのセキュリティは、様々な要素が絡み合う複雑な作業ですが、ソフトウェア開発における開発者の位置づけと同様に、適切なトレーニングを受けてセキュリティ意識を高めれば、構造的なリスクを軽減するための資産となります。
この種の攻撃は、現在の技術では防ぐことが難しい重要なリスクであることが2012年の時点で指摘されていたにもかかわらず、脅威モデルではサプライチェーン攻撃がほとんど考慮されておらず、多くの企業が十分な備えをしていません。ソフトウェア開発者は、予防に絶対的な役割を果たすことができます。そのためには、開発者がスキルアップし、コードの完全性を内側から評価できるようにすることから始めます。アップデートの仕組みは安全に構築されているか?ソフトウェアは、悪意のある侵入を容易にするような不必要な接続を行っていないか?
セキュリティがソフトウェアの品質と同義であるとすれば、セキュリティを意識したエンジニアがもたらす価値は計り知れないものがあります。
Wenn es jemals etwas gab, das Weihnachten in der Cybersicherheitsbranche ruinieren könnte, dann ist es eine verheerende Datenschutzverletzung, die auf dem besten Weg ist, das größte Cyberspionageereignis zu werden, von dem die US-Regierung je betroffen ist.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
この記事の一版は ダークリーディング.この記事はDark Readingに掲載されたものを更新し、ここにシンジケートされています。
サイバーセキュリティ業界のクリスマスを台無しにするものといえば、米国政府に影響を与えた過去最大のサイバースパイ活動になりそうな、壊滅的なデータ侵害でしょう。
SolarWindsの攻撃は広範囲に及んでおり、脅威の行為者は2019年半ばの時点で最初にソフトウェアに侵入していました。この数ヶ月に及ぶ強盗は、2020年12月に著名なサイバーセキュリティ企業であるFireEye社への侵入に使用されたことで発見され、そこから悪夢が解き明かされました。侵入の全容は現在も調査中ですが、主な侵入先には、米国の国務省、国土安全保障省、商務省、財務省のほか、国立衛生研究所などが含まれています。
今回の事件は、今後も余震が続くと思われますが、その巧妙さには驚かされます。技術的なレベルでは、カスタムの悪意のあるツール、バックドア、隠蔽されたコードを含む多層的な侵入であり、明らかなエラーを悪用するスクリプトキディのスキルをはるかに超えています。
最悪のコードロンダリング
CrowdStrike社は、さらに天才的な手法でこの不正プログラムを解析し、その結果を詳細に発表しました。その結果、ソーラーウインズは、システムアップデートに悪意のあるコードを注入することで、少なくとも4つの別々のマルウェアツールを使用して、脅威の行為者に前例のないアクセスを許してしまったということが明らかになっています。
この方法は秘密裏に行われ、ジェイソン・ボーンの小説に出てくるような戦略的な正確さを可能にしました。これにより、ソーラーウインズのネットワーク外にいる被害者の情報を収集し、計画を立て、必要なときに攻撃するという、包括的なサプライチェーン攻撃を行うことができました。しかも、これらはすべて、見た目にはまったく問題のないコードで実行されました。
サイバー攻撃は、多くの場合、単純でありながらコストのかかるミスの結果として起こります。例えば、ネットワークの設定が不十分であったり、パスワードが平文で保存されていたり、パッチが適用されていないソフトウェアが既知のエクスプロイトに対して脆弱であったりすることです。今回のケースでは、開発者やセキュリティエンジニアだけでなく、コードも全く目立ちませんでした。開発者やセキュリティエンジニアだけでなく、高価で複雑なさまざまなセキュリティ技術でも、このコードを検知することはできませんでした。
セキュリティモニタリングやペネトレーションテストのツールがほとんど使えなくなった
セキュリティの専門家は、馬の排泄物のように希少な存在です。そのため、膨大な量の企業データ、ソフトウェア、インフラのセキュリティを確保するためには、ビジネスのセキュリティニーズに合わせてカスタマイズされた技術スタックが必要となります。これは通常、ネットワーク・ファイアウォール、自動化されたペネトレーション・テスト、モニタリング、スキャン・ツールなどのコンポーネントの形をとっており、後者はソフトウェア開発プロセスにおいて多くの時間を費やしています。これらのツールはすぐにスパイラル化し、管理や実行が困難になり、多くの企業が300以上の異なる製品やサービスを使用しています。
ソーラーウインズは、コードのセキュリティバグ、不正なネットワークアクセスの試み、インフラのあらゆる部分における潜在的な危険性を発見して強調し、さらに検出回避の兆候を拾うための目を見張るようなツールを備えています。このような脅威の担い手が、最先端のセキュリティスタックでも発見されない悪意のあるコードを注入できたことは前例がありません。
インフラの堅牢化、特にアクセス制御は、一般的なサイバーセキュリティのベストプラクティスの基本的な要素ですが、攻撃者がわずかな機会を静かに利用することができれば、ネットワークは、スタンドアロンのソフトウェアの脆弱性と同様に侵害される可能性があります。
今回の問題は、一般的に、ネットワークインフラやソフトウェアのセキュリティをツールだけに頼る企業は、非常に大きなリスクを負っていることを示しています。コードを保護するだけでは十分ではなく、コードを保存し、実行し、コンパイルするすべてのものを同様に保護する必要があります。理想的な状態は、ツールと人材のバランスを取り、潜在的な攻撃対象を深く評価して削減する強固な戦略を実行することです。
チームを超えたセキュリティ意識が脅威のモデル化を促進する
ソーラーウインズ社の情報漏えい事件は、特に政府レベルでのセキュリティ対策に大きな影響を与え始めています。専門家の間では、これによってサイバーセキュリティのあり方が永遠に再構築される可能性があると喧伝されています。
私たちの生活を支えているのは、ますます増加するデジタルインフラです。細心の注意を払って管理しなければ攻撃を受けてしまう可能性がありますが、私たちの一般的な戦略には欠陥があります。私たちは、セキュリティに関する専門知識を持つ人材が圧倒的に不足しているにもかかわらず、そのギャップを埋めるために多くの努力をしていません。人が主体となってセキュリティを意識することは、サイバーセキュリティにおいて十分に活用されていない要素であり、対応ではなく予防を優先させることが重要です。
インフラのセキュリティは、様々な要素が絡み合う複雑な作業ですが、ソフトウェア開発における開発者の位置づけと同様に、適切なトレーニングを受けてセキュリティ意識を高めれば、構造的なリスクを軽減するための資産となります。
この種の攻撃は、現在の技術では防ぐことが難しい重要なリスクであることが2012年の時点で指摘されていたにもかかわらず、脅威モデルではサプライチェーン攻撃がほとんど考慮されておらず、多くの企業が十分な備えをしていません。ソフトウェア開発者は、予防に絶対的な役割を果たすことができます。そのためには、開発者がスキルアップし、コードの完全性を内側から評価できるようにすることから始めます。アップデートの仕組みは安全に構築されているか?ソフトウェアは、悪意のある侵入を容易にするような不必要な接続を行っていないか?
セキュリティがソフトウェアの品質と同義であるとすれば、セキュリティを意識したエンジニアがもたらす価値は計り知れないものがあります。
この記事の一版は ダークリーディング.この記事はDark Readingに掲載されたものを更新し、ここにシンジケートされています。
サイバーセキュリティ業界のクリスマスを台無しにするものといえば、米国政府に影響を与えた過去最大のサイバースパイ活動になりそうな、壊滅的なデータ侵害でしょう。
SolarWindsの攻撃は広範囲に及んでおり、脅威の行為者は2019年半ばの時点で最初にソフトウェアに侵入していました。この数ヶ月に及ぶ強盗は、2020年12月に著名なサイバーセキュリティ企業であるFireEye社への侵入に使用されたことで発見され、そこから悪夢が解き明かされました。侵入の全容は現在も調査中ですが、主な侵入先には、米国の国務省、国土安全保障省、商務省、財務省のほか、国立衛生研究所などが含まれています。
今回の事件は、今後も余震が続くと思われますが、その巧妙さには驚かされます。技術的なレベルでは、カスタムの悪意のあるツール、バックドア、隠蔽されたコードを含む多層的な侵入であり、明らかなエラーを悪用するスクリプトキディのスキルをはるかに超えています。
最悪のコードロンダリング
CrowdStrike社は、さらに天才的な手法でこの不正プログラムを解析し、その結果を詳細に発表しました。その結果、ソーラーウインズは、システムアップデートに悪意のあるコードを注入することで、少なくとも4つの別々のマルウェアツールを使用して、脅威の行為者に前例のないアクセスを許してしまったということが明らかになっています。
この方法は秘密裏に行われ、ジェイソン・ボーンの小説に出てくるような戦略的な正確さを可能にしました。これにより、ソーラーウインズのネットワーク外にいる被害者の情報を収集し、計画を立て、必要なときに攻撃するという、包括的なサプライチェーン攻撃を行うことができました。しかも、これらはすべて、見た目にはまったく問題のないコードで実行されました。
サイバー攻撃は、多くの場合、単純でありながらコストのかかるミスの結果として起こります。例えば、ネットワークの設定が不十分であったり、パスワードが平文で保存されていたり、パッチが適用されていないソフトウェアが既知のエクスプロイトに対して脆弱であったりすることです。今回のケースでは、開発者やセキュリティエンジニアだけでなく、コードも全く目立ちませんでした。開発者やセキュリティエンジニアだけでなく、高価で複雑なさまざまなセキュリティ技術でも、このコードを検知することはできませんでした。
セキュリティモニタリングやペネトレーションテストのツールがほとんど使えなくなった
セキュリティの専門家は、馬の排泄物のように希少な存在です。そのため、膨大な量の企業データ、ソフトウェア、インフラのセキュリティを確保するためには、ビジネスのセキュリティニーズに合わせてカスタマイズされた技術スタックが必要となります。これは通常、ネットワーク・ファイアウォール、自動化されたペネトレーション・テスト、モニタリング、スキャン・ツールなどのコンポーネントの形をとっており、後者はソフトウェア開発プロセスにおいて多くの時間を費やしています。これらのツールはすぐにスパイラル化し、管理や実行が困難になり、多くの企業が300以上の異なる製品やサービスを使用しています。
ソーラーウインズは、コードのセキュリティバグ、不正なネットワークアクセスの試み、インフラのあらゆる部分における潜在的な危険性を発見して強調し、さらに検出回避の兆候を拾うための目を見張るようなツールを備えています。このような脅威の担い手が、最先端のセキュリティスタックでも発見されない悪意のあるコードを注入できたことは前例がありません。
インフラの堅牢化、特にアクセス制御は、一般的なサイバーセキュリティのベストプラクティスの基本的な要素ですが、攻撃者がわずかな機会を静かに利用することができれば、ネットワークは、スタンドアロンのソフトウェアの脆弱性と同様に侵害される可能性があります。
今回の問題は、一般的に、ネットワークインフラやソフトウェアのセキュリティをツールだけに頼る企業は、非常に大きなリスクを負っていることを示しています。コードを保護するだけでは十分ではなく、コードを保存し、実行し、コンパイルするすべてのものを同様に保護する必要があります。理想的な状態は、ツールと人材のバランスを取り、潜在的な攻撃対象を深く評価して削減する強固な戦略を実行することです。
チームを超えたセキュリティ意識が脅威のモデル化を促進する
ソーラーウインズ社の情報漏えい事件は、特に政府レベルでのセキュリティ対策に大きな影響を与え始めています。専門家の間では、これによってサイバーセキュリティのあり方が永遠に再構築される可能性があると喧伝されています。
私たちの生活を支えているのは、ますます増加するデジタルインフラです。細心の注意を払って管理しなければ攻撃を受けてしまう可能性がありますが、私たちの一般的な戦略には欠陥があります。私たちは、セキュリティに関する専門知識を持つ人材が圧倒的に不足しているにもかかわらず、そのギャップを埋めるために多くの努力をしていません。人が主体となってセキュリティを意識することは、サイバーセキュリティにおいて十分に活用されていない要素であり、対応ではなく予防を優先させることが重要です。
インフラのセキュリティは、様々な要素が絡み合う複雑な作業ですが、ソフトウェア開発における開発者の位置づけと同様に、適切なトレーニングを受けてセキュリティ意識を高めれば、構造的なリスクを軽減するための資産となります。
この種の攻撃は、現在の技術では防ぐことが難しい重要なリスクであることが2012年の時点で指摘されていたにもかかわらず、脅威モデルではサプライチェーン攻撃がほとんど考慮されておらず、多くの企業が十分な備えをしていません。ソフトウェア開発者は、予防に絶対的な役割を果たすことができます。そのためには、開発者がスキルアップし、コードの完全性を内側から評価できるようにすることから始めます。アップデートの仕組みは安全に構築されているか?ソフトウェアは、悪意のある侵入を容易にするような不必要な接続を行っていないか?
セキュリティがソフトウェアの品質と同義であるとすれば、セキュリティを意識したエンジニアがもたらす価値は計り知れないものがあります。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
この記事の一版は ダークリーディング.この記事はDark Readingに掲載されたものを更新し、ここにシンジケートされています。
サイバーセキュリティ業界のクリスマスを台無しにするものといえば、米国政府に影響を与えた過去最大のサイバースパイ活動になりそうな、壊滅的なデータ侵害でしょう。
SolarWindsの攻撃は広範囲に及んでおり、脅威の行為者は2019年半ばの時点で最初にソフトウェアに侵入していました。この数ヶ月に及ぶ強盗は、2020年12月に著名なサイバーセキュリティ企業であるFireEye社への侵入に使用されたことで発見され、そこから悪夢が解き明かされました。侵入の全容は現在も調査中ですが、主な侵入先には、米国の国務省、国土安全保障省、商務省、財務省のほか、国立衛生研究所などが含まれています。
今回の事件は、今後も余震が続くと思われますが、その巧妙さには驚かされます。技術的なレベルでは、カスタムの悪意のあるツール、バックドア、隠蔽されたコードを含む多層的な侵入であり、明らかなエラーを悪用するスクリプトキディのスキルをはるかに超えています。
最悪のコードロンダリング
CrowdStrike社は、さらに天才的な手法でこの不正プログラムを解析し、その結果を詳細に発表しました。その結果、ソーラーウインズは、システムアップデートに悪意のあるコードを注入することで、少なくとも4つの別々のマルウェアツールを使用して、脅威の行為者に前例のないアクセスを許してしまったということが明らかになっています。
この方法は秘密裏に行われ、ジェイソン・ボーンの小説に出てくるような戦略的な正確さを可能にしました。これにより、ソーラーウインズのネットワーク外にいる被害者の情報を収集し、計画を立て、必要なときに攻撃するという、包括的なサプライチェーン攻撃を行うことができました。しかも、これらはすべて、見た目にはまったく問題のないコードで実行されました。
サイバー攻撃は、多くの場合、単純でありながらコストのかかるミスの結果として起こります。例えば、ネットワークの設定が不十分であったり、パスワードが平文で保存されていたり、パッチが適用されていないソフトウェアが既知のエクスプロイトに対して脆弱であったりすることです。今回のケースでは、開発者やセキュリティエンジニアだけでなく、コードも全く目立ちませんでした。開発者やセキュリティエンジニアだけでなく、高価で複雑なさまざまなセキュリティ技術でも、このコードを検知することはできませんでした。
セキュリティモニタリングやペネトレーションテストのツールがほとんど使えなくなった
セキュリティの専門家は、馬の排泄物のように希少な存在です。そのため、膨大な量の企業データ、ソフトウェア、インフラのセキュリティを確保するためには、ビジネスのセキュリティニーズに合わせてカスタマイズされた技術スタックが必要となります。これは通常、ネットワーク・ファイアウォール、自動化されたペネトレーション・テスト、モニタリング、スキャン・ツールなどのコンポーネントの形をとっており、後者はソフトウェア開発プロセスにおいて多くの時間を費やしています。これらのツールはすぐにスパイラル化し、管理や実行が困難になり、多くの企業が300以上の異なる製品やサービスを使用しています。
ソーラーウインズは、コードのセキュリティバグ、不正なネットワークアクセスの試み、インフラのあらゆる部分における潜在的な危険性を発見して強調し、さらに検出回避の兆候を拾うための目を見張るようなツールを備えています。このような脅威の担い手が、最先端のセキュリティスタックでも発見されない悪意のあるコードを注入できたことは前例がありません。
インフラの堅牢化、特にアクセス制御は、一般的なサイバーセキュリティのベストプラクティスの基本的な要素ですが、攻撃者がわずかな機会を静かに利用することができれば、ネットワークは、スタンドアロンのソフトウェアの脆弱性と同様に侵害される可能性があります。
今回の問題は、一般的に、ネットワークインフラやソフトウェアのセキュリティをツールだけに頼る企業は、非常に大きなリスクを負っていることを示しています。コードを保護するだけでは十分ではなく、コードを保存し、実行し、コンパイルするすべてのものを同様に保護する必要があります。理想的な状態は、ツールと人材のバランスを取り、潜在的な攻撃対象を深く評価して削減する強固な戦略を実行することです。
チームを超えたセキュリティ意識が脅威のモデル化を促進する
ソーラーウインズ社の情報漏えい事件は、特に政府レベルでのセキュリティ対策に大きな影響を与え始めています。専門家の間では、これによってサイバーセキュリティのあり方が永遠に再構築される可能性があると喧伝されています。
私たちの生活を支えているのは、ますます増加するデジタルインフラです。細心の注意を払って管理しなければ攻撃を受けてしまう可能性がありますが、私たちの一般的な戦略には欠陥があります。私たちは、セキュリティに関する専門知識を持つ人材が圧倒的に不足しているにもかかわらず、そのギャップを埋めるために多くの努力をしていません。人が主体となってセキュリティを意識することは、サイバーセキュリティにおいて十分に活用されていない要素であり、対応ではなく予防を優先させることが重要です。
インフラのセキュリティは、様々な要素が絡み合う複雑な作業ですが、ソフトウェア開発における開発者の位置づけと同様に、適切なトレーニングを受けてセキュリティ意識を高めれば、構造的なリスクを軽減するための資産となります。
この種の攻撃は、現在の技術では防ぐことが難しい重要なリスクであることが2012年の時点で指摘されていたにもかかわらず、脅威モデルではサプライチェーン攻撃がほとんど考慮されておらず、多くの企業が十分な備えをしていません。ソフトウェア開発者は、予防に絶対的な役割を果たすことができます。そのためには、開発者がスキルアップし、コードの完全性を内側から評価できるようにすることから始めます。アップデートの仕組みは安全に構築されているか?ソフトウェアは、悪意のある侵入を容易にするような不必要な接続を行っていないか?
セキュリティがソフトウェアの品質と同義であるとすれば、セキュリティを意識したエンジニアがもたらす価値は計り知れないものがあります。
目次
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード入門リソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
