全米を震撼させたサイバー攻撃事件の全貌から、
2022年、企業に求められるセキュリティ対策を考える

　2020年、新型コロナウイルス感染症が拡大し、リモートワークをせざる得ない環境へと働き方が急速に変革していく中で、全米を震撼させたサイバー攻撃、SolarWinds事件が起きました。この事件は、サイバーセキュリティビジネスに大きな影響を与えただけでなく、アメリカのサイバーセキュリティレベルを上げるための大統領令発令に至ったきっかけとなる歴史上最大のサプライチェーン攻撃として周知されています。

　この事件で攻撃者は、2020年12月8日までの9ヶ月間水面下で侵攻を続け、アメリカの主な政府機関に侵入していました。偶然にもダイナミックサイバーディフェンスとレスポンスのリーダーであるMandiant（旧 FireEye）社のエンジニアが、同社のネットワークに攻撃者がログインしアクセスしたことに目を向けたことで、今回のサイバー攻撃の検知に至りましたが、同社が発見していなかったら長期間継続していた可能性が大いにあります。さらに、このMandiant社への侵入ではアメリカのIAMでトップ3に入るDuo社が提供するサービスまでもが突破されていました。

　この事件は、新型コロナウイルスによる環境変化、そして、国家が支援する攻撃者による高度な技術という要因もあり攻撃を止められなかったかもしれません。しかし、どのように攻撃されたのかを紐解いていくと、今後私たち企業がセキュリティ対策として実施していくべき対策がみえてきました。今回はSolarWinds事件を振り返りながら、今後のセキュリティ対策をご紹介していきます。

SolarWinds事件を知る

事件の概要
　SolarWinds社は数十万社の顧客へ様々なネットワーク監視ツールを提供しています。この事件で攻撃者は、同社製品のOrionという監視ツールを導入していた17,000社へ、2020年3月の自動更新時にSUNBURSTというバックドアのマルウェアが配布されるよう仕込んでいました。この時、攻撃者は多くの組織への侵入を可能にしていましたが、実際にバックドアを利用して侵入した組織は主なアメリカ政府機関を含めて100弱の組織にとどまっています。

　攻撃者は侵入した際にOrionの管理者権限を使い、ADサーバーやADFSサーバーに登録されていた社員の個人情報を取得できており、組織によって、人・プロジェクト・製品などピンポイントで検索を行い、取得したデータをアメリカ国内のサーバー経由で外国へ転送していました。

攻撃者がリモートで新規スマートフォン登録に成功、事件を発見
　事件発見のきっかけになったのは、Mandiant社のある営業担当のプロファイルになりすました攻撃者が新規端末でログインに成功していたことでした。攻撃者は新しいスマートフォンを偽造登録し、スマートフォンのOTP（One Time Password：ワンタイムパスワード）アプリが生成したDuoコードをパスワードと一緒に入力、Mandiant社のネットワークにログインしていましたが、そのアクセスに偶然に目を向けた同社のエンジニアによって検知に至りました。

　新規端末の登録は、理想として企業では従業員と対面にて作業を行うべきかもしれませんが、アメリカでは2020年3月から爆発的に新型コロナウイルス感染者の数が増え、ほとんどの大手IT企業では在宅勤務へと働き方をシフトしていました。そのため、企業は新規スマートフォンの登録を対面で行うことができなくなり、限定した従業員には止むを得ずリモートでの自己登録を認めている企業も多かったのではないでしょうか。しかし、攻撃者がその従業員のシステムプロファイルにある氏名、従業員ID、電話番号などの個人情報を用いて、新規端末として自身のスマートフォンの追加登録を行うことができれば、リモートでの新規端末登録が完了できてしまいます。

　今回発見したMandiant社では、iPhoneの新シリーズが発売されたことで、端末登録依頼が急激に増えたこと、またアメリカで新型コロナウイルス第3波が到来していたこともあり、特定の社員のみにリモートでの自己端末登録を認めていました。驚いたことに攻撃者は、SUNBURST経由でその特定された社員の情報も手に入れ、新しいiPhoneを同社営業担当のプロファイルにどのようにして追加できたのか詳しい方法は分かっていませんが、登録に成功していました。

　攻撃者はさも同社の営業社員かのようになりすましていたにも関わらず、またも驚いたことに攻撃者が同社のネットワークにログインした直後に同社のエンジニアが、MFA（多要素認証）として新規端末登録が行われていることを不審に思い、該当する営業担当に電話をし、「追加の端末登録はしていない」と確認したことで発見に至りました。

SolarWinds事件の発見に至った要因から今後のセキュリティ対策を考える

　今回のSolarWinds事件では、偶然にも一人のエンジニアの賢明な行動により発見に至りましたが、すべての企業のエンジニアがこのように発見することができるとは限りません。では、どうセキュリティ対策を行えば良いのでしょうか。まずは発見に至った攻撃を受けた要因を考えます。

要因
　国家が支援する攻撃者がDuo社のサービスを破り、Mandiant社への侵入に加担してしまったのは、新型コロナウイルスによる特別な環境変化があったため、セキュリティルールを緩めるという経営判断をしたからではないかと考えています。

　民間企業であるDuo社のサービスは国家が支援する攻撃者の攻撃に耐えられないことは当たり前に思われるかもしれませんが、今回攻撃者を援助した特別な事情がありました。この事件は新型コロナウイルス感染の拡大が生み出した在宅勤務という異常な環境の中で起きており、その中で、同社のアクセス制限システムのエンドユーザーでもあったMandiant社の経営が新規端末登録ルールを一時的に緩めた瞬間に、攻撃者が侵入したのです。つまり、攻撃者の高度な攻撃に、感染症の拡大で在宅勤務が余儀なくされるという異常な環境が重なり、攻撃の成功に繋がっていたということです。

今後の対策
　このような要因がある中でもSolarWinds事件の発見に至った事例から、私は今後求められる対策はサービス提供側の企業、そしてエンドユーザーとなる企業、それぞれにあると考えています。

　まずアクセス制限サービスを提供する企業は、アラート機能をエンドユーザーとなる企業へ提供すべきではないでしょうか。今回の事件のように、偶然に発見できるエンジニアがどの企業にもいるわけではありません。そのため、追加端末登録があった際に本人であるかどうかをそのユーザーへ通知を行うアラート機能を提供することにより、不審なアクセスにすぐに気づくことができ、対応を早めることができます。さらにリモートでの追加端末登録を含めてアクセス制限システムがパスワード以上の認証レベルを必須とすることでMFAの突破が難しくなるでしょう。

　また、エンドユーザーとなる企業は、ゼロトラストMFAとして生体情報を用いるなどリモートでも突破されにくいより本人確認性が高いMFAを利用することが求められると考えています。

まとめ

　今回紹介したSolarWinds社への攻撃を皮切りに、今年に入りColonial Pipeline社へのランサムウェア攻撃などサイバー攻撃が相次いでいます。このことから5月にバイデン政権がMFAを含むゼロトラストアーキテクチャをアメリカの国家機関で必須とする大統領令を発令しました。日本では9月に日本政府がサイバー攻撃の脅威の増大に警鐘を鳴らし、国家関与の疑われる国の例を名指しで挙げ、10月には国家支援型の攻撃からサイバー空間の安全を守るため、国際連携の強化として30ヶ国が参加したオンライン会議にも参加しています。

　このように国家を挙げた対策が求められるほど、民間企業のシステムは国家支援型の高度な攻撃に耐えることが難しい中、さらに新型コロナウイルスの感染が拡大するという環境下において、完璧なセキュリティ対策ということは難しいと考えられます。

　しかし、難しいで終わるのではなく、今後はこのSolarWinds事件の経験を活かすことで被害を最小限に抑えることが重要です。アクセス制限サービスを提供する企業には追加端末登録をされた際にはユーザーへ通知するアラート機能やパスワード以上の認証レベルを必須とする、さらにエンドユーザーとなる企業はゼロトラストMFAを利用するといった対策が求められるようになるでしょう。

　バイデン政権の大統領令発令による政府機関のMFAを含んだゼロトラストアーキテクチャの導入必須によって、そして企業もまた対応していくことによって、攻撃者がMFAを突破することが難しくなると考えています。