「過去10年で最悪のサイバー攻撃」と評されるSolarWindsハッキングについて、バイデン大統領は専門委員会に調査を命令も実際に調査は行われず被害が拡大していたことが明らかに
公益を目的とした調査報道を行う独立系の報道機関であるProPublicaが、ロシアの諜報機関によるアメリカの政府機関への史上最悪のサイバー攻撃と評されるSolarWindsハッキングについて、「ジョー・バイデン大統領は委員会を設立し、問題の解明を命じたものの、委員会が根本的な原因の調査を行わなかったためその後のサイバー攻撃を防ぐ機会を逃す羽目になった」と報じています。
Cyber Safety Board Never Probed Causes of SolarWinds Breach — ProPublica
https://www.propublica.org/article/cyber-safety-board-never-investigated-solarwinds-breach-microsoft
2020年12月、SolarWindsが提供するネットワーク監視ソフトウェアの「Orion Platform」に、Microsoft製品に存在する欠陥経由でマルウェアが仕込まれ、同ソフトウェアを使用していたアメリカの財務省・国務省・国家核安全保障局などの各省庁や、MicrosoftやCiscoなどの大手テクノロジー企業が大規模なサイバー攻撃を受けたことが明らかになりました。なお、SolarWindsにサイバー攻撃を仕掛けたのは、ロシア政府が支援するハッカー組織「NOBELIUM」と目されており、Microsoftはこのサイバー攻撃を「過去10年で最も深刻なサイバー攻撃の1つ」と評しています。
Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE
これを受け、2021年5月にバイデン大統領はサイバー安全検討委員会を設立する大統領令を発令し、SolarWindsへのサイバー攻撃を調査するべくサイバー安全審査委員会を設立。同委員会に対して、サイバー攻撃の全容を調査するよう命じました。
しかし、サイバー安全審査委員会がSolarWindsへのサイバー攻撃を調査することはありませんでした。これまでサイバー安全審査委員会は複数回にわたって調査報告書を作成していますが、1度目と2度目の調査報告の時点では、SolarWindsへの調査を行っておらず、3度目の調査では2023年に起きた「中国政府の支援を受けるハッカーがMicrosoftのセキュリティ上の欠陥を悪用し、政府高官のメールアカウントにアクセスした別のサイバー攻撃」についての調査が行われています。
中国ハッキンググループがアメリカ政府組織のメールボックスに不正アクセスしたと判明 - GIGAZINE
サイバー安全審査委員会は独立機関ではなく、国土安全保障省内に設置された委員会です。国土安全保障省の次官を務めるロブ・シルバーズ氏が委員長、Googleの最高セキュリティ責任者が副委員長を務めています。ProPublicaがシルバーズ氏に対し、なぜSolarWindsへのサイバー攻撃を調査しなかったのか問い合わせたところ、「すでに公的部門や民間部門によりサイバー攻撃は綿密に調査されていたため、ホワイトハウスの指示に従って委員会がSolarWindsへのサイバー攻撃について独自の調査を行う必要はないと国土安全保障省が決定したため」という回答が得られたそうです。さらに、シルバーズ氏は「我々は調査を通じて得られる洞察や教訓を増やすべく、既存の調査のレビューに焦点を当てたいと考えています」と語っています。
つまり、ロシアのハッカーに悪用されたMicrosoft製品のセキュリティ上の欠陥について、政府による公開調査は一切行われていないということになります。一方で、SolarWindsへのサイバー攻撃についてまとめた内部調査報告書には、問題の原因となったMicrosoftの内部問題に焦点を当てたような調査は一切行われていません。
しかし、ProPublicaは「SolarWindsへのサイバー攻撃で何が起きたのかを全面的に公表すれば、Microsoftにとって壊滅的な打撃となっていただろう」と指摘し、SolarWindsへのサイバー攻撃においてMicrosoftの犯した罪は大きいと言及。ProPublicaによると、MicrosoftはSolarWindsへのサイバー攻撃で利用された「Microsoft製品に存在した欠陥」について、以前から把握していたものの、対応を拒否していた模様。ProPublicaに情報提供した内部告発者によると、Microsoftが行動を起こさなかった理由は、「セキュリティよりも利益を優先したため」だそうです。
サイバーセキュリティの専門家は、サイバー安全審査委員会がMicrosoft製品の欠陥について正しく調査していれば、2023年に起きた上述のサイバー攻撃を緩和あるいは防ぐことができたはずと言及しています。上院情報特別委員会のメンバーであるロン・ワイデン上院議員も、「最近のハッキングは、きちんとした監視があれば防げた可能性がある」と言及し、サイバー安全審査委員会に対して改めてSolarWindsへのサイバー攻撃について調査を実施すべきと提言しています。
さらに、ワイデン上院議員は「大統領の指示にもかかわらず委員会がSolarWindsへのサイバー攻撃を調査しなかった主な理由は、調査すればアメリカ政府の重大な過失を調査、文書化する必要があったためだと私は深く懸念しています」と語り、サイバー安全審査委員会がSolarWindsへのサイバー攻撃を調査しなかった理由は政府の過失を認めることにつながるためだと指摘しました。
なお、シルバーズ氏が率いるサイバー安全審査委員会の当初の目的はSolarWindsへのサイバー攻撃の調査でしたが、後に国土安全保障長官のアレハンドロ・マヨルカス氏とCISA長官のジェン・イースタリー氏から、JavaのLog4jライブラリで発見された脆弱性の調査を優先するよう命じられ、これがSolarWindsの調査が後回しにされていくきっかけとなったと説明しています。シルバーズ氏はあくまで命令に従った結果が「SolarWindsの調査を後回しにすること」であるとし、「我々は大統領令に完全に従っている」と語っています。
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか? - GIGAZINE
07/09 12:01
GIGAZINE