これはサイバーセキュリティの専門家を長年悩ませてきた悪夢のシナリオだ。
少なくとも3月以降、ロシアの情報機関に所属していると思われるハッカーたちが、複数の米国政府機関や数百社の非機密ネットワークに、気づかれることなく潜入していた。リチャード・ブルーメンソール上院議員は、機密扱いの議会ブリーフィングを引用し、ツイートでロシアの責任を認めたようだ。
火曜日、サイバーセキュリティ大手ファイア・アイへの侵入のニュースが発端となった。同社は、「高度な脅威アクター」が「当社やパートナーが過去に経験したことのない斬新な手法の組み合わせ」を用いてハッキングしたと認めた。ファイア・アイによると、ハッカーは主に政府機関の顧客に関する情報を狙っていたが、顧客システムのサイバー攻撃に対するストレステストに使用している攻撃的なハッキングツールも盗んだという。
FireEyeへの侵入はまさに大胆なものでした。FireEyeは、企業のサイバー攻撃被害者が真っ先に連絡を取る企業として知られています。しかしその後、米国財務省、国務省、商務省、国立衛生研究所、そして政府をサイバー攻撃から守る任務を負っている国土安全保障省が、すべて侵入されたというニュースが報じられました。
被害者には共通点が一つある。それは、全員が米国政府機関やフォーチュン500企業で使用されているネットワーク管理ツールを提供する米国ソフトウェア企業SolarWindsの顧客であることだ。FireEyeが今回の侵害について解説したブログ(FireEyeがどのようにして侵入を発見したかは明らかにしていない)によると、ハッカーはSolarWindsのネットワークに侵入し、企業のネットワークやデバイス群の監視を支援するソフトウェアOrionにバックドアを仕掛け、汚染されたソフトウェアアップデートを顧客のネットワークに直接送り込んだという。
ソーラーウィンズは、最大1万8000人の顧客が侵害されたオリオンのソフトウェアアップデートをダウンロードし、ハッカーが彼らのネットワークに自由にアクセスできるようになったが、全員、あるいは大部分の顧客が積極的に侵入された可能性は低いと述べた。
元NSAハッカーでレンディション・インフォセックの創設者ジェイク・ウィリアムズ氏は、ハッカーたちはファイア・アイや政府機関を標的にし、「最も効果の高い」標的を狙っていただろうと述べた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
「ロシアがファイア・アイを標的にしていなかったら、私たちはこの件を知ることはなかっただろうと、私は確信しています」とウィリアムズ氏は述べ、このセキュリティ大手の攻撃への対応を称賛した。「今後、さらに多くの政府機関が侵入を受けていることが分かってくるでしょう。彼らは独自に検知しているわけではありません。ファイア・アイが攻撃を受けたことで、この件が発覚したのです」と彼は述べた。
ハッカーの動機は不明であり、他の大手民間企業や政府機関がハッキングされたかどうかもまだ分かっていない。マイクロソフトは水曜日に、攻撃者が使用していた重要なドメインを押収した。これにより、同社は積極的に侵入された他の被害者についてもある程度把握できる可能性がある。
一方、ロシア側はいかなる関与も否定している。
こうしたいわゆる「サプライチェーン攻撃」は防御が難しく、検知もほぼ不可能です。製造ライン上のデバイスに誰かがハードウェアインプラントをこっそりと仕掛ける様子を想像してみてください。今回のケースでは、ハッカーはソフトウェア開発プロセスにバックドアコードを仕込んでいました。
サプライチェーン攻撃は稀ですが、壊滅的な結果をもたらす可能性があります。昨年、ハッカーはコンピューターメーカーASUSのネットワークに侵入し、同様にASUSのソフトウェアアップデートツールを通じて「数十万台」のコンピューターにバックドアを仕掛けました。2017年に世界中に広がったNotPetyaランサムウェア攻撃は、ウクライナで人気の会計ソフトウェアのアップデート機能を通じて悪意のあるコードを仕込むことで拡散しました。このソフトウェアは、同国で納税申告を行うほぼすべての人が使用しています。
ウィリアムズ氏は、今回の攻撃は近年で最も大胆かつ大胆なものの一つであり、実行には相当なスキルと計画性、そして忍耐力も必要だっただろうと述べた。「サプライチェーン攻撃は長期戦を強いられる」と彼は述べ、検知を逃れるために数週間もネットワーク内に潜伏するケースが多いと付け加えた。
政府のサイバー防衛機関がハッカーをネットワークから排除しようと取り組んでいる中、この事件は現在も進行中だが、被害と国家安全保障への影響は数ヶ月、あるいは数年経たないと完全には解明されないだろう。政府はハッカー発見から4日後に発表した声明でそのことを認め、「連邦政府機関を標的としたこの攻撃の全容解明に引き続き取り組んでいる」と述べた。
今のところ、個別の機密ネットワークが侵害されたという証拠はない。
この攻撃の背後にいると考えられるロシアの諜報機関は、APT 29(コージーベア)として知られており、コロナウイルスワクチン研究情報の窃取を企てるなど、複数のスパイ活動を伴う攻撃に関与しているとされている。APT 29は、2016年の米国大統領選挙中に民主党全国委員会への侵入を企てたとされる別のロシア諜報機関、APT 28(ファンシーベア)よりも、より静かに、かつステルス的に活動する傾向がある。
ファンシー・ベアは、世界アンチ・ドーピング機関(WADA)に対する複数の攻撃作戦や英国のテレビ局へのハッキングにも関与したとされています。NotPetya攻撃の背後にいたサンドワームのような他のロシア諜報機関は、ほぼ全面的に破壊的・混乱的なサイバー攻撃に重点を置いています。サンドワームは、2015年のクリスマスの数日前にウクライナの電力網をダウンさせたサイバー攻撃にも関与したとされています。
ハッカーたちは少なくとも数か月間、複数の連邦政府機関に気付かれずにアクセスしていたため、機密扱いではないものの、それでも機密である政府情報が何なのかを正確に知ることは事実上不可能となるだろう。
「この情報の漏洩による遅延と隠れた影響は大きな懸念事項だ」と、かつて国土安全保障省のサイバーセキュリティ部門に勤務していたガイドワイアのサイバーリスク分析担当ディレクター、エリン・ケネアリー氏は述べた。
ケネアリー氏はテッククランチに共有された説明メモの中で、「潜在的な被害者には防衛関連企業、通信会社、銀行、ハイテク企業などが含まれることを考えると、現時点では明らかにされていないものの、重要なインフラや国家安全保障への影響は重大なものとなる可能性がある」と述べた。
「サイバーセキュリティが完璧だと主張できる組織は一つもありません。これは、脆弱なリンクが作り出され、敵対者によって悪用された例です」と彼女はTechCrunchに語った。
ウィリアムズ氏は、この情報収集活動の発覚は、バイデン政権へのアクセスを失ったため、攻撃者にとって「最悪のタイミング」だったと述べた。もしハッカーたちが1月20日以降も身を潜めていれば、新政権の活動内容に前例のないアクセスが可能になっていた可能性がある。バイデン政権は、トランプ政権とは大きく異なるロシアとの関係を築く可能性が高い。
「交渉に先立ち、下される決定を観察し、誰かのプレイブックを持っていれば、事態が悪化する前に事態を把握できる。驚くほど有利な状況に持ち込める」と彼は語った。
「ロシアがこれらのネットワークの一部から締め出されたことでパニックに陥っていることは間違いない」と彼は述べた。しかし、もしそれがもっと長い間検知されずにいたなら、政府ネットワークから盗み出されたであろう情報の量は「桁違いにひどいもの」になっていた可能性がある。
サイバーセキュリティ企業FireEyeは国家によるハッキングを受けたと発表
