SolarWindsのセキュリティ問題、単純なパスワード運用ミスが発端か

今回は「SolarWindsのセキュリティ問題、単純なパスワード運用ミスが発端か」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 SolarWinds製品に対するハッキングがもたらした被害の範囲は、依然として明らかになっていない。ただ、100を超える企業や米政府機関が攻撃者の手に落ちたということは分かっている。MicrosoftのプレジデントBrad Smith氏は、「史上最大規模の最も高度な攻撃」だったとし、この攻撃に1000人を超える開発者が関与した可能性があると述べていた。しかしSolarWindsの元最高経営責任者(CEO)Kevin Thompson氏は、すべては1人のインターンが重要なパスワードを「solarwinds123」に設定したことが発端だった可能性があると述べている。さらに、このインターンはそのパスワードをGitHubで共有していたという。

 しかし、危機対応時の広報などを手がける企業Goldin Solutionsの担当者によると、SolarWindsは「このパスワードを用いる認証がサードパーティーベンダーのアプリケーション向けのものであり、SolarWindsのITシステムにアクセスするためのものではないと判断した」という。また、この担当者によると、このアプリケーションは実際のところ、SolarWindsのITシステムには接続されてもいなかったという。そのため、このパスワードを用いる認証はSolarWindsのITシステムに対する「SUNBURST」攻撃やその他の侵入行為とは一切無関係だという主張になる。しかしこれは、米議会公聴会におけるSolarWinds幹部の証言から受ける印象とは異なっている。

 Thompson氏は、米下院監視委員会と米国土安全保障省による合同公聴会で、このパスワードは「インターンが犯した過ち」だったと述べ、「われわれのパスワードポリシーに背き、そのパスワードを内部で自らが使用しているプライベートなGitHubアカウントに投稿していた。われわれのセキュリティチームは、このことを確認した際に速やかにパスワードを削除した」とした。

 SolarWindsの幹部らは、このことが明らかになった後、数日以内に対応されたと述べたものの、現CEOのSudhakar Ramakrishna氏はこのパスワードが2017年から使われていたことを認めた。漏えいしたパスワードを発見したセキュティリサーチャーのVinoth Kumar氏は、SolarWindsが2019年11月までこの問題を修正しなかったと述べている。

 今後に目を向けると、MicrosoftのSmith氏は、米連邦政府が今後、「民間セクターの事業体に通知義務」を課すべきだと上院議員らに提案した。SolarWindsのような事件が発覚するまで、企業のセキュリティ侵害について誰も知らないという事例があまりにも多すぎる。Smith氏は、「誰かが『自らに新たな法制度を課してほしい』と声を上げるのは一般的な流れ」ではないと認めつつも、「私は国家を守る上でこれが唯一の方法だと考えている」と述べた。

 一方、セキュリティ企業FireEyeのCEOであるKevin Mandia氏は下院の公聴会で、「結論を述べると、われわれが被害の範囲やその度合いをすべて把握することはないかもしれず、盗まれた情報が敵対者にもたらす利益の範囲や度合いをすべて知ることもないかもしれない」と述べた。

 さらに同氏は、「どのような標準化規制や法律を用いたとしても、コンプライアンスによってロシア対外情報庁による組織への侵入を食い止めることができるとは考えていない」とした。

セキュリティラウンジ|カーセキュリティ、バイク ...

トータルセキュリティショップです。安心の毎日を実現する「クルマ」「人」「ホーム」「バイク」をテーマにした、新しいスタイルのセキュリティのプロショップです。クリフォード、バイパー、ホーネット、テラなどの加藤電機製品全般を取り扱っております。防犯設備士の資格を持つ、スタッフがお客様のニーズにあったセキュリティプランをご提案いたします。

ホーム|加藤電機株式会社|セキュリティソリューション

加藤電機のウェブサイト。カーセキュリティ、ホームセキュリティ、パーソナルセキュリティ等、様々なIoTによるセキュリティソリューションを提供しています。

千葉でカーセキュリティをお考えなら人気の専門店 ...

千葉でカーセキュリティをお考えの場合は、口コミでも評判の専門店「コンプリート」へお越しください。盗難、車上荒らしに効果的な製品を各種取り揃えております。取り付け、付け替え等のご要望はお気軽に当店までご連絡ください。ご来店お待ちしております。

NTT西日本 | セキュリティ対策ツール サポート情報

2021.02.12 Mac セキュリティ対策ツール for Mac ( Ver.3 ) の脆弱性対応について New 2021.01.18 Windows サーバーメンテナンスのお知らせ( 2021/01/26 20:00 ~ 2021/01/27 08:00 ) 2021.01.15 Windows セキュリティ対策ツール Ver.13 機能強化のお知らせ 2020.12.11 Windows セキュリティ対策ツール Ver.14 機能強化のお知らせ 2020.11 ...

NTT西日本 | セキュリティ対策ツール for Windows | ダウン …

セキュリティ対策ツール ( Windows ) ダウンロード Mac版はこちら バージョン 対象OS ダウンロード Ver.14 Windows 10 Service Pack なし Windows 8.1 Service Pack なし ダウンロード ツールのダウンロード後は、以下の手順 でインストール ...

大阪摂津市のカーカスタムショップ 、セキュリティ・電装なら ...

Proud(プラウド)は大阪摂津市にある自動車のカスタムガレージです。セキュリティ・コーティング・電装品など各々の作業分野に特化した専門家を集めたプロ集団により形成されています。当店限定のオリジナルパーツも販売しております。

JNSA:情報セキュリティ理解度チェック

 · 「情報セキュリティ理解度チェックサイト」は、公開以来たくさんの企業・組織の管理者の方々に御利用いただいています。 これまでにいただいたご意見、ご要望を反映し、追加機能を有償でご提供することと致しました。主な追加機能は以下

PC周辺機器のセキュリティ対策情報

どこでも自由にインターネット環境に接続できる「無線LAN(WiFi)」。便利なだけに仕事でも、プライベートでもつい利用しがちだと思います。しかし、無線LAN(WiFi)には誰でも自由に情報(電波)を拾えるというリスクもあります。つ...

ALTools

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

セキュリティ、個人情報の最新ニュース:Security NEXT

 · セキュリティや個人情報関連のニュースを配信。情報漏洩や不正アクセス事件、脆弱性情報、製品など。 新着記事 2021/02/26 「VMware vCenter Server」の ...

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Xcode Cloud」、Appleが発表。クラウド上でXcodeを自動的にビルド、テスト、App Storeへデリバリ。GitHubなどと連携
Apple
2021-06-10 08:28
手作業で膨大なデータを分析→クラウド基盤を整備 データ活用で営業活動の精度が誤差0.015%に
PR
2021-08-04 12:17
感情検知AIとアイトラッキング技術の出会いは何を生み出すか
IT関連
2021-06-15 15:23
トランスパイラ「Babel」の開発チーム、「何百万人にも使われているのに、なぜ私たちの資金は尽きようとしているのか?」。資金難により寄付を訴え
JavaScript
2021-05-12 10:25
東北新社の認定取消で明るみに出た「使われぬ電波」 影響わずか700人、4K向け“左旋”放送の意味を問う (1/2 ページ)
くわしく
2021-04-17 08:02
DNP、サプライチェーンのリスク管理クラウドを導入–持続可能な調達体制を強化
IT関連
2024-07-31 09:21
ハッカーがほぼ全モデルのiPhoneに有効な新しい脱獄ツールを公開
セキュリティ
2021-03-03 06:44
グーグルとセールスフォースが提携、データとAIで顧客体験を向上へ
IT関連
2023-06-10 02:21
ノートPC出荷、2021年第1四半期に81%増–Strategy Analytics
IT関連
2021-05-17 06:28
心臓リハビリ治療用アプリなどを開発するCaTeが1億円のシード調達、プロダクト開発と臨床研究を加速
IT関連
2022-03-12 16:48
従業員が日常的にAIを活用–パナソニック コネクト、「ConnectAI」の活用実績を発表
IT関連
2023-07-01 10:43
売り手に買い物相談ができるソーシャルコマース「pippin」のEC-GAINが6500万円調達
ネットサービス
2021-08-19 00:45
ハイレゾ配信「Amazon Music HD」日本でも追加料金不要に
社会とIT
2021-06-10 19:55
NTT Comとパナソニック、顔認証を使ったデータ活用ビジネスを開始
IT関連
2021-06-09 10:28