SolarWindsのセキュリティ問題、単純なパスワード運用ミスが発端か

今回は「SolarWindsのセキュリティ問題、単純なパスワード運用ミスが発端か」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 SolarWinds製品に対するハッキングがもたらした被害の範囲は、依然として明らかになっていない。ただ、100を超える企業や米政府機関が攻撃者の手に落ちたということは分かっている。MicrosoftのプレジデントBrad Smith氏は、「史上最大規模の最も高度な攻撃」だったとし、この攻撃に1000人を超える開発者が関与した可能性があると述べていた。しかしSolarWindsの元最高経営責任者(CEO)Kevin Thompson氏は、すべては1人のインターンが重要なパスワードを「solarwinds123」に設定したことが発端だった可能性があると述べている。さらに、このインターンはそのパスワードをGitHubで共有していたという。

 しかし、危機対応時の広報などを手がける企業Goldin Solutionsの担当者によると、SolarWindsは「このパスワードを用いる認証がサードパーティーベンダーのアプリケーション向けのものであり、SolarWindsのITシステムにアクセスするためのものではないと判断した」という。また、この担当者によると、このアプリケーションは実際のところ、SolarWindsのITシステムには接続されてもいなかったという。そのため、このパスワードを用いる認証はSolarWindsのITシステムに対する「SUNBURST」攻撃やその他の侵入行為とは一切無関係だという主張になる。しかしこれは、米議会公聴会におけるSolarWinds幹部の証言から受ける印象とは異なっている。

 Thompson氏は、米下院監視委員会と米国土安全保障省による合同公聴会で、このパスワードは「インターンが犯した過ち」だったと述べ、「われわれのパスワードポリシーに背き、そのパスワードを内部で自らが使用しているプライベートなGitHubアカウントに投稿していた。われわれのセキュリティチームは、このことを確認した際に速やかにパスワードを削除した」とした。

 SolarWindsの幹部らは、このことが明らかになった後、数日以内に対応されたと述べたものの、現CEOのSudhakar Ramakrishna氏はこのパスワードが2017年から使われていたことを認めた。漏えいしたパスワードを発見したセキュティリサーチャーのVinoth Kumar氏は、SolarWindsが2019年11月までこの問題を修正しなかったと述べている。

 今後に目を向けると、MicrosoftのSmith氏は、米連邦政府が今後、「民間セクターの事業体に通知義務」を課すべきだと上院議員らに提案した。SolarWindsのような事件が発覚するまで、企業のセキュリティ侵害について誰も知らないという事例があまりにも多すぎる。Smith氏は、「誰かが『自らに新たな法制度を課してほしい』と声を上げるのは一般的な流れ」ではないと認めつつも、「私は国家を守る上でこれが唯一の方法だと考えている」と述べた。

 一方、セキュリティ企業FireEyeのCEOであるKevin Mandia氏は下院の公聴会で、「結論を述べると、われわれが被害の範囲やその度合いをすべて把握することはないかもしれず、盗まれた情報が敵対者にもたらす利益の範囲や度合いをすべて知ることもないかもしれない」と述べた。

 さらに同氏は、「どのような標準化規制や法律を用いたとしても、コンプライアンスによってロシア対外情報庁による組織への侵入を食い止めることができるとは考えていない」とした。

セキュリティラウンジ|カーセキュリティ、バイク ...

トータルセキュリティショップです。安心の毎日を実現する「クルマ」「人」「ホーム」「バイク」をテーマにした、新しいスタイルのセキュリティのプロショップです。クリフォード、バイパー、ホーネット、テラなどの加藤電機製品全般を取り扱っております。防犯設備士の資格を持つ、スタッフがお客様のニーズにあったセキュリティプランをご提案いたします。

ホーム|加藤電機株式会社|セキュリティソリューション

加藤電機のウェブサイト。カーセキュリティ、ホームセキュリティ、パーソナルセキュリティ等、様々なIoTによるセキュリティソリューションを提供しています。

千葉でカーセキュリティをお考えなら人気の専門店 ...

千葉でカーセキュリティをお考えの場合は、口コミでも評判の専門店「コンプリート」へお越しください。盗難、車上荒らしに効果的な製品を各種取り揃えております。取り付け、付け替え等のご要望はお気軽に当店までご連絡ください。ご来店お待ちしております。

NTT西日本 | セキュリティ対策ツール サポート情報

2021.02.12 Mac セキュリティ対策ツール for Mac ( Ver.3 ) の脆弱性対応について New 2021.01.18 Windows サーバーメンテナンスのお知らせ( 2021/01/26 20:00 ~ 2021/01/27 08:00 ) 2021.01.15 Windows セキュリティ対策ツール Ver.13 機能強化のお知らせ 2020.12.11 Windows セキュリティ対策ツール Ver.14 機能強化のお知らせ 2020.11 ...

NTT西日本 | セキュリティ対策ツール for Windows | ダウン …

セキュリティ対策ツール ( Windows ) ダウンロード Mac版はこちら バージョン 対象OS ダウンロード Ver.14 Windows 10 Service Pack なし Windows 8.1 Service Pack なし ダウンロード ツールのダウンロード後は、以下の手順 でインストール ...

大阪摂津市のカーカスタムショップ 、セキュリティ・電装なら ...

Proud(プラウド)は大阪摂津市にある自動車のカスタムガレージです。セキュリティ・コーティング・電装品など各々の作業分野に特化した専門家を集めたプロ集団により形成されています。当店限定のオリジナルパーツも販売しております。

JNSA:情報セキュリティ理解度チェック

 · 「情報セキュリティ理解度チェックサイト」は、公開以来たくさんの企業・組織の管理者の方々に御利用いただいています。 これまでにいただいたご意見、ご要望を反映し、追加機能を有償でご提供することと致しました。主な追加機能は以下

PC周辺機器のセキュリティ対策情報

どこでも自由にインターネット環境に接続できる「無線LAN(WiFi)」。便利なだけに仕事でも、プライベートでもつい利用しがちだと思います。しかし、無線LAN(WiFi)には誰でも自由に情報(電波)を拾えるというリスクもあります。つ...

ALTools

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

セキュリティ、個人情報の最新ニュース:Security NEXT

 · セキュリティや個人情報関連のニュースを配信。情報漏洩や不正アクセス事件、脆弱性情報、製品など。 新着記事 2021/02/26 「VMware vCenter Server」の ...

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ハッカーがほぼ全モデルのiPhoneに有効な新しい脱獄ツールを公開
セキュリティ
2021-03-03 06:44
ANA、退役機の機内カート発売→即完売 90年代から使われていた“ヴィンテージ品”
くらテク
2021-06-16 10:27
ポケモンGOで「レベル50」に到達する人、相次ぐ それでも「複雑」な理由
くらテク
2021-02-01 16:19
バイオテック関連スタートアップのY Combinatorが次世代の治療法とツールを開発中
バイオテック
2021-04-06 05:45
内部脅威によるコスト上昇–内部者の過失はインシデントの大きな要因
IT関連
2022-02-01 07:35
NTT Com、二酸化炭素の排出量管理サービスを無償提供
IT関連
2022-07-23 18:26
Phantom Autoの遠隔操作フォークリフトがGeodisとの提携でフランスに到着、自動運転車から物流にピボット
モビリティ
2021-04-02 18:06
レノボら4社が提言する「未来の働き方」–日本が5年後に抱える課題とは
IT関連
2022-04-10 14:05
KDDI、月2480円で20GBの新プラン「povo」 5G通信も対応 「3キャリアで最安値目指した」
企業・業界動向
2021-01-14 08:22
「低遅延」をうたうゲームキャプチャデバイス「Genki Shadowcast」でのプレイは現実的か ノートPCがコンシューマーゲーム機のディスプレイに早変わり (1/5 ページ)
くわしく
2021-03-26 02:09
磁石、監視、不妊……SNSで出回る新型コロナワクチンデマ
IT関連
2021-08-18 05:16
兵庫県西宮市、請求・支払業務のDXを推進–業務時間を約70%削減
IT関連
2024-04-07 18:37
高崎信用金庫とe-dashが連携–取引先にCO2排出量可視化サービス提供
IT関連
2022-07-21 23:04
豊中市、ゼロトラストセキュリティを目指してSASEソリューションを導入
IT関連
2024-04-05 16:08