【SolarWinds事件を詳しく解説】
ユーザーIDとパスワード認証ではサイバー攻撃を避けられない

SolarWinds Cause and how to prevent | 事件を詳しく解説 - ユーザーIDとパスワード認証ではサイバー攻撃を避けられない ブログ | Blog by ISR CEO - Raul Mendez

代表取締役社長 メンデス・ラウル
株式会社インターナショナルシステムリサーチ
2021年1月22日

SolarWinds 事件を詳しく解説 - ユーザーIDとパスワード認証ではサイバー攻撃を避けられない

2020年、世界が新型コロナウイルスの世界的な流行拡大に苦しんでいるとき、気づかぬうちにもう一つの新型ウイルスが静かに多くのシステムに侵入していました。これがSunburstというマルウェアです。この事件は、歴史上最も大きなサイバー攻撃でありIT業界に大きな変化をもたらすでしょう。

このサイバー攻撃を検知するきっかけとなったのは、攻撃者がファイア・アイの社員ユーザーIDとパスワードを使いログインをしようとした時でした。

このブログでは、今回のサイバー攻撃の事例を紹介し、なぜ認証を強化すべきなのかをご紹介します。

米政府機関のほか米大手企業を含む1万8000社に被害が拡大した事件の概要

まずはじめに、今回のサイバー攻撃に関わる企業のブログをもとに事件の概要についてまとめます。

サイバー攻撃の検知やインシデントレスポンスなどサイバーセキュリティ業界の代表ともいえるファイア・アイ社は12月8日のブログにて、「同社が国家レベルの攻撃者に侵入され、自社製品のRed Teamという実際の攻撃シナリオに対する組織のセキュリティプログラムの能力をテストするための診断ツールを標的にアクセスされていたことがわかった」と発表しました。さらに12月13日にはファイア・アイ社だけでなくマイクロソフト社、SolarWinds社と協力して、その調査結果をブログで発表しています。攻撃を検知した2020年12月8日までの9ヶ月間、攻撃者は同社のほか複数の米政府機関(米司法省のほか国務省、財務省、商務省、エネルギー省など捜査に精通している米政府機関も含まれる)や米大手企業を含む1万8000社のネットワークに侵入し、情報やデータなどを外国にあるサーバーへ転送していたのです。

そして、12月17日にはマイクロソフト社プレジデントのブラッド スミス氏が同社ブログにて「この攻撃は審判の時をもたらします。私たちは拡大する脅威を直視し、サイバーセキュリティに対する強力で統制が取れた対応を行うために、政府と米国のテクノロジセクターと協力して効果的なリーダーシップを確立しなければなりません」と述べています。また、同ブログで1万7000以上の顧客にインストールされたと考えられるSolarWinds社の製品「Orion」のアップグレードファイル内にマルウェアを仕込んでおり、そのうち攻撃者が標的にし、より高度な情報を取得していたのは40社以上だったと説明しています。

2021年1月7日には、SolarWinds社の新CEOが「Sunburst攻撃は、歴史上最も複雑で洗練されたサイバー攻撃の一つであると思われます」と述べています。また、SolarWinds社はSEC(米国証券取引委員会)への12月14日報告で、2020年初旬ロシア関与の疑いのある攻撃者の攻撃ベクトルとして、同社が利用していた Microsoft Office 365 の電子メールの侵害から始まったとしています。そこから攻撃者は、オフィス生産性向上ツールの他データへアクセスし、同社製品Orionのソースコードを取得。ネットワークにあるサーバーを完全に乗っ取り、Sunburstマルウェアを埋め込み、利用者の正規アップデートを悪用し被害を広げました。そして、2021年1月6日CISAのインシデント対応調査から、いくつかのケースでパスワード推測やパスワードスプレー攻撃が使われていたことも分かりました。

「攻撃者にとってベストな侵入手段はユーザーにIDとパスワードを使ってもらうこと」ーファイア・アイ社が事件の検知に至った経緯

実際にファイア・アイ社はどのようにしてこの事件の検知に至ったのでしょうか。

このサイバー攻撃を検知したのは、米国政府の情報機関ではなく、ファイア・アイ社でした。もし同社が攻撃を検知できていなかったらーこの事件は現在でも続いていたでしょう。

攻撃者は同社に侵入し、Sunburstマルウェアを使い、同社員のIDとパスワードを窃取しました。先2021年1月7日に開催されたイベントのオンラインパネルにてファイア・アイ社CEOのケビン・マンディア氏が事件の検知について「攻撃者は、一般的に社員が利用するのと同じ方法で会社のVPNにログインしていました」と説明しました。 通常、同社員がVPNにアクセスする度に、社員の携帯電話に固有のコードを生成し、ユーザー名とパスワードを入力する仕組みとして多要素認証を利用していました。攻撃者は、社外からはクレデンシャル情報だけではファイア・アイ社が利用するVPNにログインできないため、多要素認証をする端末を登録したことで、同社のセキュリティチームに自動警告がなされたのです。 マンディア氏は「誰かが認証に2つ目のファクターとして端末を登録し、我々のネットワークにアクセスをしていました。利用されたそのクレデンシャル情報をもつ社員へ連絡し確認を行ったところ、アクセスはその者ではなかったことが分かりました」と述べ、つづけて「誰かが我々の多要素認証を避けるために新しい端末を登録していました。この瞬間、非常に高度で洗練された攻撃が行える攻撃者であると分かりました」と伝えています。 そして、最後に「攻撃者にとって、侵入にあたってユーザーIDとパスワードが本当はベストなのではないでしょうか」と締めくくっています。

では、なぜ「ユーザーIDとパスワードを使ってもらうことが攻撃者にとってベストな侵入手段」になるのでしょうか。

その理由は、大手企業ではもちろん前述のファイア・アイ社のように多要素認証を利用している企業もありますが、いまだ一般的にはパスワードを中心に認証を行っているからです。 2020年3月から新型コロナウイルスの影響で在宅勤務が推奨されリモートワークが普及しました。そのため、これまで社内からのログインであればパスワードだけでなくIPアドレスの確認などアクセス制限も含まれていましたが、リモートワークではパスワード中心の認証となるため、さらに危うくなっているのです。特に中間者攻撃 (Man in the Middle) から情報資産を守るために、ログインはVPN経由としているものの、そこへのログインはパスワードのみを認証に使うことが多くなっています。そのため、「攻撃者にとってベストな侵入手段はユーザーIDとパスワードを使ってもらうこと」となったのです。

サイバー攻撃を避ける方法ーパスワードレス認証、そして「認証維新」

パスワードに依存しない生体認証などを用いた安全なオンライン認証の標準化を目的として、FIDOアライアンスは2012年に発足し以来、グーグルやマイクロソフトなどIT大手企業が加盟しています。
ISRは、「安全かつ便利な認証を(Secure yet easy to use authentication)」のビジョンを基に、2014年にこのFIDOアライアンスに参加しました。企業向けクラウド型認証サービスCloudGate UNOを通じ、2015年にはスマートフォンの生体認証機能を使った専用アプリケーションPocket CloudGateを提供しました。また、2019年からは、セキュリティキーやWindows、Macbookを用いて顔認証や指紋認証を利用したパスワードレス認証を提供。2020年12月にはFIDO2に対応したTouch IDやFace IDといったスマートフォンやiPadを使った認証もいち早く企業へ提供しております。

今後、2021年後半には新型コロナウイルスはワクチンによって収まる可能性が高いと考えています。そしてISRでは、パスワードを使わない、早くて、正確なサイバー攻撃に強い耐性のある生体認証への変革を認証維新と呼び、このSolarWinds事件をきっかけに2021年からパスワードに依存しない認証維新が広がると考え、一つでも多くのサイバー攻撃の被害拡大を阻止するためにも、日本で認証の維新に努めていきます。

ページの先頭へ