ハッキング経験を安全性向上と信頼回復につなげる–SolarWindsが日本に説明

今回は「ハッキング経験を安全性向上と信頼回復につなげる–SolarWindsが日本に説明」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　2019～2020年に大規模なサイバー攻撃を受けた米SolarWindsが6月24日、日本のメディア向けにインシデントの状況や対応など経緯について説明した。最高情報セキュリティ責任者（CISO）兼セキュリティ担当バイスプレジデントのTim Brown氏と最高収益責任者（CRO）のDavid Gardiner氏が取材に応じ、今回のインシデントの経験や対応などを通じて得た教訓をIT業界の安全性の向上や、同社の信頼回復につなげたいと語った。

マルウェア攻撃の経緯

　インシデントは、米国時間2020年12月12日にセキュリティ企業のFireEyeがSolarWindsに同社製品でのマルウェア感染を通知して発覚した。SolarWindsのネットワーク監視ソフトウェア製品「Orion Platform」のうちバージョン「2019.4 HF 5」「2020.2」「2020.2 HF 1」にバックドア型のマルウェア「Sunburst」が仕掛けられていた。

　Sunburstが製品に仕掛けられる最初の原因は特定されていないが、社長 最高経営責任者（CEO）のSudhakar Ramakrishna氏は、2021年5月7日公開のブログで、（1）Orion Platformで利用していたサードパーティー製品の未知の脆弱性の悪用、（2）標的型フィッシングやソーシャルエンジニアリング、（3）認証情報を奪う無差別型攻撃――の3つの可能性を挙げている。

　通知を受けてSolarWindsは、米国当局やITベンダー各社（後述）と共同で調査を行い、5月7日にその結果を公表した。Brown氏が説明した経緯は下記の通り（日付は米国時間）となる。

顧客などへの影響

　Brown氏によれば、マルウェアが埋め込まれたOrion Platform 2019.4 HF 5、2020.2、2020.2 HF 1の総ダウンロード数は約1万8000回だった。しかし、製品をオンプレミス環境で利用している顧客企業が多く、また、顧客が同社に影響の有無をフィードバックしていない場合もあり、同社では正確な影響規模を把握できないという。

　また同社は、米国および各国のサイバーセキュリティ当局の要請を受けて、攻撃の影響を受けた可能性のある顧客に関する情報を提供。各機関からの応答などを踏まえ、影響を受けた可能性のある組織は、複数の米国政府機関と民間企業で、総数は100組織未満になるという。民間企業では、調査にも協力しているMicrosoftが影響があった事実を公表している。

　日本メディアとの質疑応答で、「（同社への）攻撃が世界的に拡大しているランサムウェア攻撃などにも波及したのか？」との質問に、Brown氏は「ランサムウェア攻撃などへの波及を（直接的に）示す情報は持ち合わせていないが、今回当社が経験した国家が背後にいると見られる攻撃がこれから深刻な脅威になることを懸念している」と述べた。

　日本の顧客の被害状況についてGardiner氏は、ZDNet Japanに「情報が侵害されたといった被害の報告は受けていない」と回答した。

調査の取り組み

　調査は、米国連邦捜査局（FBI）やCISAなどの米国当局とCrowdStrike、Microsoft、KPMGなどの民間企業が協力し、攻撃活動に関するものだけでなく、製品開発環境を含む同社の広範なリソースを対象に、現在も継続中だという。また、CISA元長官のChristopher Krebs氏らが設立したコンサルティング会社やFacebookの元CISOのAlex Stamos氏がコンサルタントを務めている。

攻撃者の素性

　SolarWindsに攻撃を仕掛けた人物・組織については、FBI、CISA、米国家安全保障局（NSA）、米国家情報長官室（ODNI）が2021年1月5日に、連名でロシア 対外情報庁（SVR）による攻撃との見方を発表し、英国立サイバーセキュリティセンター（NCSC）も同様の見方をしていると報じられた。

　Brown氏は、米国機関などの見解があるとした上で、同社としては攻撃者の素性を特定できないと説明した。また、Gardiner氏は日本のメディアへのコメントの中で、「（今回の攻撃の）以前は、当社が（ITインフラ管理製品の）市場のリーダーと認知されており、顧客の課題を解決し得る存在として信頼を得ていた。当社のこうした立場を踏まえて標的にされたのではないか」と述べている。

顧客への対応

　Brown氏は、インシデントが発覚してすぐに顧客などへ告知するとともに、攻撃の影響を受けた製品のアップデートのリリースと追加情報の公開などを頻繁に行い、各種製品のデジタルコード署名を改めて行うなどの対応を実施したと説明する。

　攻撃の影響を受けた顧客に対しては、該当製品の保守契約を締結する顧客に、ホットフィックスのサポートの無償提供や、同社パートナーのサポートを受けることができる「Orion Assistance Program（OAP）」を提供している。Gardiner氏によれば、現在までに75の顧客にOAPを提供したという。製品の安全な実装や利用方法に関するガイダンスも随時行っているという。

再発防止への取り組み

　Brown氏は、調査と並行してインシデントの再発を防ぐべく「セキュアバイデザイン」を基本として、幾多の施策を「社内環境」「製品開発環境」「ソフトウェアの安全性」の3つの観点から取り組んでいると説明した。セキュアバイデザインのアプローチは、「プラットフォームを侵入から守り、侵害に対する製品の堅牢性を高め、万一の場合でも顧客を脅威から防ぐことにつなげるため」（Brown氏）という。

　社内環境については、調査で協力するCrowdStrikeやKPMGなどのリソースも活用しながら全ユーザーのパスワードリセット、多要素認証の実施、サービスやシステムに対するアクセスの見直し、リモートアクセスとクラウドへのアクセスの統合、内部・外部監査の強化、脅威検出・保護対策の強化などを実施しており、極めて高い安全性を確保したとする。

　製品開発環境では、アプローチを根本的に変更し、MicrosoftやGoogleら外部リソースを活用した新たな環境を整備し、製品を開発するようにしたという。ソースコードや開発環境などにおける内部監査の体制を大幅に強化し、ビルドプロセスにおいても統合的な監査の仕組みを組み込むようにしたという。

　ソフトウェアの安全性では、開発コード、ビルドコード、製品コードについて双方向に完全性を確保する体制を整備するとともに、ソースコードのセキュリティ検査の強化、外部専門機関によるペネトレーションテストの強化、第三者機関のよる監査の徹底などに取り組む。Brown氏は、「セキュリティコミュニティーとの関係の強化、外部のセキュリティ専門家への資金提供によるソフトウェアの安全性向上のための活動支援なども進めており、一連の取り組みをステップバイステップで推進することで信頼を取り戻し、より安全な製品の提供を実現させていく」と表明した。

インシデントを踏まえて

　同社での今回のインシデントは、企業が製品を市場に提供するためのサプライチェーンにおけるサイバーセキュリティリスクを世界中に強く認識させることにもなった。今回の経験を踏まえてBrown氏は、リスクや脅威などの被害からのレジリエンス（回復、復元）がいかに重要であるかを説いた。

　「開発者にアドバイスできることは、一つ一つのプロセスにおいてレジリエンスが大事だということ。自社の製品にサードパーティーのものがどのように、どれだけ使われているのかもきちんと把握しておく。開発プロセス全体に監査を組み込み、また、製品のビルド作業も、人手を介すことなくBuild as a Codeのアプローチで自動化する。あらゆるプロセスにおいて脅威が侵入する可能性を前提に対応できるようにすべきだ。ユーザーも、あらゆるソフトウェアにおいて（SolarWindsが経験したような）リスクがあることを認識し、備えを講じてレジリエンスを確保していく。特にオンプレミス環境で利用するソフトウェアについては、実装段階から安全性の確保に努めていただきたい」

　Gardiner氏は、一連の取り組みを踏まえて次のようにコメントした。

　「外部機関によって当社製品の安全性が確認されており、顧客は安心して製品をご利用いただきたい。また、当社製品に限らず顧客の安全を確保するための支援を広く提供していく。今後も顧客に安全で高いセキュリティレベルの製品を提供する努力を続け、情報の公開、共有を徹底し透明性を確保していくことにより顧客からの信頼を回復したい」

　「残念ながら当社が攻撃を受けたことは事実である。攻撃は機密情報が盗まれるといった以上の深刻な脅威であり、（報道されている）1000人以上のリソースと巨額の資金を投じる国家的な支援を得た巨大なサイバー攻撃に狙われて、これを防ぐことができる企業はないだろう。われわれの経験を（業界全体のセキュリティや安全保障などに）生かしていきたい」

クラウドセキュリティを担保するために考えるべきことを、クラウド機能の活用例を交えて解説! | システム運用ならアール ...

セキュリティの担保を考慮したアプリケーション設計(独自のアプリケーション開発を行なう場合) これらのセキュリティ確保はユーザの責任ですが、各ポイントにおけるセキュリティの確保のためには、クラウドが提供している機能をうまく活用することが ...

未知の脅威を発見する、「スレットハンティング」とは?｜セキュリティ｜IT製品の事例・解説記事

未知の脅威に対策するうえでは、具体的にどのような取り組みが功を奏するのか。鍵になるのは、スレットハンティングと呼ばれるアプローチである。キヤノンITソリューションズでセキュリティアナリストを務める山田 和政 氏と新山 怜史 氏に、同アプローチの概要とその有効性について伺った。

サウジの組織、サイバー攻撃に直面し続ける｜Arab News

「セキュリティ・オペレーションセンターを提供することのできるインフラを備え、堅牢な状況分析能力を持つことで、脅威の背景を理解し、標的にされる可能性のある箇所の支援を優先し、自信を持ってリスクを修正できるようになります」

バラクーダ、アプリケーションセキュリティの最大の課題を明らかにした調査結果を発表 - バラクーダネットワークス

バラクーダ、アプリケーションセキュリティの最大の課題を明らかにした調査結果を発表 - バラクーダネットワークス 〜同時発表の「Cloud Application Protection 2.0」で、進化する攻撃ベクタからWebアプリケーションを防御〜

「セキュリティソフトについて」むーびんぐさんのブログ(2021/06/25) - みんかぶ（旧みんなの株式）

セキュリティソフトは何を使ってますか？おそらくトレーダーの方々はwindowsがほとんどだと思ますので、ノートンだとか、マカフィーなんかを購入してる人もいるのかなと思います。ここ数年Mac利用で運用してましたが最近、トレード用のPC（windows

モバイルアプリ開発時に注意!アクセス制限不備の脆弱性と対策 | セキュリティ対策のラック

モバイルアプリのアクセス制限不備による脆弱性の中でも特に多い「ディープリンクを使用してリクエストされた、任意のURLにアクセスしてしまう脆弱性」について、Androidアプリのソースコードを例に、モバイルアプリ開発者向けの具体的な対策を解説します。

テレワークでの情報漏えいを防ぐ、セキュリティ対策の「8つのポイント」とは？ - ホワイトペーパー [情報漏えい対策]

新型コロナウイルスの影響でテレワークが急速に普及する一方、セキュリティ対策は利用者個人に任されることが多く、情報漏えいのリスクが高まっている。そこで情報セキュリティ改善に向けた8つのポイントと、今すぐできる対策を紹介する。

バイデン米大統領、セキュリティの「大胆な強化」に動く ゼロトラストへ移行も：TechTarget発 世界のIT ...

米国の連邦政府は多発するサイバー攻撃を受け、政府機関や民間企業のセキュリティ対策を強化するための大統領令を発令した。具体的にどのような技術を使い、どのような取り組みを進めるのか。

「Microsoft Edge 91」にセキュリティアップデート ～2件の脆弱性を修正 - 窓の杜

米Microsoftは6月24日（現地時間）、「Microsoft Edge」の最新安定（Stable）版v91..864.59を公開した。脆弱性に対処したセキュリティアップデートとなっ ...

【7月20日～8月10日期間限定Webセミナー】ゼロトラスト セキュリティ戦略の最新事例と対応策たぷるとぽちっと ...

テレワークの導入、クラウド利用の拡大、DXなど企業のICT環境はかつてないスピードで変化、複雑化しています。また、それに伴い、セキュリティのアプローチは従来の境界防御からゼロトラストと呼ばれる概念が台頭してきました。 本セミナーでは、ゼロトラストの概要及びその構成要素をご説明し、弊社事例を交え特に重要でとされる"リソースアクセスへの認証・認可"についてソリューションをご紹介します。 ぜひご参加を賜りますようご案内申し上げます。

パソコンのセキュリティ対策に必要なwindows Osのアップデートについて | Pcワールド

「あなたの会社のパソコン係」株式会社PCワールドは、碧海5市(刈谷市・安城市・知立市・高浜市・碧南市)の中小企業の「パソコン係」として、業務用パソコン販売、パソコントラブルの診断・修理、「ITで会社を強くする」各種サービスの提案・導入支援を行っています。パソコンパーツ販売、オリジナルパソコンの組立・販売、中古パソコンの制作・販売、パソコンの診断、修理、企業で必要なICT機器販売ならびにサービス提供もおまかせください。

カスペルスキー、サイバーセキュリティの啓発トレーニングをオンライン提供 - ZDNet Japan

カスペルスキーは6月24日、法人向けにサイバーセキュリティを啓発するオンライントレーニングを提供する「Kaspersky Automated Security Awareness Platform（KASAP）」を日本で展開すると発表した。

ASCII.jp：フィットネスを便利にするデバイスのセキュリティに注意せよ

セキュリティのことは気にしているか？ 在宅での仕事が続いたり、外出する機会が減ったりすると、運動不足を感じる人も多いだろう。そのよう ...

セキュリティ対策レーザーポインター使用安全

レーザーポインターは教室で長年使用されており、適切に使用すれば効果的なツールになります。最近では、値下げによりノベルティ商品として広く販売されており、教室での不適切な使用に不満を持っている方もいらっしゃいます。

キリンビジネスシステム株式会社 - セキュリティエンジニア フレックス制 賞与年2回 中野勤務の転職・求人情報 ...

正社員で長く働きたい女性のための転職サイト『女の転職type』。キリンビジネスシステム株式会社-セキュリティエンジニア フレックス制 賞与年2回 中野勤務の転職・求人情報です。他にも転職活動に役立つ求人情報が満載!

情報セキュリティ方針 | ニッセン・クレジットサービス株式会社

情報セキュリティ理念 法を遵守し、企業が保有する情報を安全に管理しながら、有効且つ迅速に活用して、事業目標を達成させることが、今日の情報化社会における企業経営に求められています。

セキュリティ業界初の eスポーツ大会 無事終了、主催企業 LogStare 社の選抜チーム 堂々20位 ...

株式会社LogStareが主催するITエンジニア限定のeスポーツ大会「LogStare eSports Series」の第1回大会、Apex Legendsトーナメントが6月19日に開催された。

SecurityInsight | セキュリティインサイト

SecurityInsight（セキュリティインサイト）は情報セキュリティを中心としたエンタープライズITの情報サイトです。

今、印刷環境に潜むリスクとは？ 働き方の多様化でセキュリティ対策は新たなステージへ。 | Tech & Device TV

ニューノーマル時代の印刷環境に求められるセキュリティ対策. それでは、今後の印刷環境のセキュリティ対策はどのような方針で行えばよいのか。 高木氏は、2つのキーワードを挙げて説明する。 「念頭に置くべきは『個人認証』と『トラッキング』です。

Csaジャパン、クラウド接続した医療機器のサイバーセキュリティ対策について解説 (2021年6月24日 ...

一般社団法人日本クラウドセキュリティアライアンス（CSAジャパン）は6月22日、クラウド接続した医療機器のサイバーセキュリティ対策について同法人のブログで発表した。CSAジャパンのヘルス・インフォメー...

カスペルスキーの2021年度事業方針、「新トレーニング基盤でセキュリティ意識の向上を」 - クラウド Watch

また、「セキュリティ対策として製品を導入することも重要だが、インシデントが発生した場合には初動や対処の仕方が重要だ」と藤岡氏は述べ ...

【06月25日更新】最新news一覧│東陽テクニカ セキュリティ&ラボカンパニー【公式

東陽テクニカ セキュリティ&ラボカンパニーの最新NEWS一覧ページです。DDoS 攻撃対策、サイバー脅威、サイバー攻撃対策に関する最新NEWSもお届けします。

アイリスオーヤマ、非接触「顔認証aiセキュリティ管理ソリューション」提供 | Digitalist

顔認証aiセキュリティ管理ソリューションは、オフィスの入退室や勤怠管理を、カードなどの「接触」から顔認証での「非接触」で行う。 ダブルレンズによる3Dモデリング技術により顔写真を使ったなりすましの不正を防止するなど高いオフィス ...

セキュリティセーフ市場は、2028年までに約9億3,413万米ドルに達すると予想されています。 6.10％Cagr ...

セキュリティセーフ市場は、2028年までに約9億3,413万米ドルに達すると予想されています。 6.10％CAGR

アカウント1万件への不正ログイン|セゾン自動車火災保険株式会社｜サイバーセキュリティ.com

画像：セゾン自動車火災保険株式会社より引用 セゾン自動車火災保険株式会社は2021年6月3日、同社が公式ウェブサイト上でユーザー向けに提供しているマイページに対する、大量の不正アクセスが確認されたと明らかにしました。 発表による

川崎市実施の「地域見守りネットワーク事業」に協力｜東急セキュリティ株式会社のプレスリリース

東急セキュリティ株式会社(本社：東京都世田谷区、代表取締役社長：下形 和永 以下、東急セキュリティ)は、2021年6月1日より、川崎市が行う地域見守りネットワーク事業(以下、本取り組み)に協力します。

セキュリティ業界初の eスポーツ大会 無事終了、主催企業 LogStare 社の選抜チーム 堂々20位 ...

セキュリティ業界初の eスポーツ大会 無事終了、主催企業 LogStare 社の選抜チーム 堂々20位｜株式会社LogStareが主催するITエンジニア限定のeスポーツ大会「LogStare eSport...

東急セキュリティ | 東急沿線のホームセキュリティ・タウンセキュリティ・防犯カメラ | お知らせ | 東急 ...

東急線沿線エリアに密着した警備・セキュリティサービスをご提供する東急セキュリティからのお知らせ。個人向けには、ホームセキュリティ、屋外防犯、子供の安全を守るエキッズ、防犯カメラ・住宅用火災警報器など防犯対策商品。法人向けには、タウンセキュリティ、キッズセキュリティ、防犯カメラ、ビルの入退室管理システム、PASMOなどのICカードを利用したICセキュリティもご提供。

日本セキュリティトークン協会、英デジタル証券取引所Archaxとパートナーシップ契約：MONEYzine：資産運用と ...

日本セキュリティトークン協会は、デジタル証券取引所・カストディアンビジネスを展開する英Archaxと、ブロックチェーン技術を活用したセキュリティトーク...