「SolarWinds Hack」の真実は、本当に複雑だった

「SolarWinds Hack」について、defenseNewsに興味深い記事が掲載されています。
記事では、「「SolarWinds Hack」は、非常に的を絞った正確で、巻き添え被害はほとんどなく、伝統的な国家安全保障のターゲット、主に米国政府機関を対象としたもので、ロシアが実行するであろうと予測されるまさにそのタイプのサイバー作戦であり、中国人が[Microsoft Exchangeサーバー]のハッキングを実行した標的を絞らない、無謀で危険な作戦とはまったく対照的である。」との意見を紹介し、「SolarWinds Hack」のもたらした意味についてその他の専門家の意見を交えて詳しく解説しています。掲題は、「SolarWinds Hack:真実ははるかに複雑だ」ですが、本当にそのようです。以下記事全文を紹介します。

SolarWinds Hack: ‘The Truth Is Much More Complicated’ 「真実ははるかに複雑だ」

By   BRAD D. WILLIAMSon March 29, 2021 at 4:37 PM

 伝えられるところによるとSolarWindsの脅威アクター[1](脅威の行為者)は、DHS(米国国土安全保障省)の電子メールとDoE(米国エネルギー省)のスケジュールにアクセスしていた。
あるサイバーセキュリティ専門家は、サイバースパイ活動は、「[ロシア]の予想すべき活動のタイプ」であると述べている。
「私は、私たちが反応すべきではないと主張しているのではない。私たちは反応すべきだ。…私の唯一の主張は、私たちが過剰に行動してはならないということなのだ。」[1] CompTIA では,脅威となる行為主体のことを「脅威アクター(threat actor)」と総称している。

ワシントン:SolarWindsハッキングの背後にいる脅威アクターは、国土安全保障省の元職務執行者で主要なサイバーセキュリティスタッフの電子メール受信ボックスと同様にエネルギー省の最高幹部のスケジュールにアクセスしていた。「もし此が事実なら、これは重大なセキュリティ侵害である。これらの電子メールは、ある当局が何をしているのかについて、しばしば暴露され、ヒントが含まれているからである。」インテリジェンスの専門家であり退役軍人であるセキュリティ会社AR インターナショナルコンサルティングのCEOであるアダムルーズベルト氏は語った。DHSは、国内ネットワークのサイバー防御を担当する連邦機関である。

今日のニュースの前でさえ、DHSが如何にしてSolarWindsキャンペーンを検出できなかったのかを公然と疑問視する向きもあった。
それは、その端緒から9か月後に発見され、12月にセキュリティ会社FireEyeによって公開されたからである。

AP通信によって最初に報告されたニュースは、少なくとも9つの連邦機関を襲った大規模なサイバースパイ活動からの継続的なフォールアウトの真っ只中にあり、キャンペーンの永続的な結果について新たな疑問が上がっている。DHS又はDoEから盗まれ、作り替えられ、又は閲覧された可能性のあるものの詳細は解らない。しかしAPは、「外国からの探索脅威が含まれる」電子メールにアクセスされたDHSスタッフの職務についてレポートした。

APによれば、DoEでアクセスされるスケジュール自体は機密性が高いとは見なされず、公開記録法の対象となる。

DoEは、国の原子力計画を監督する責任を部分的に負っている。

この暴露された事物は、先週のサイバーコム司令官でNSA長官のポールナカソネ陸軍大将の議会証言の後に届いた。その証言ではナカソネ陸軍大将は、米国の敵対者が国内のインフラストラクチャを使用する国内の行政機関のハッキングが増大していると述べている
ナカソネ陸軍大将は、現在の米国のサイバー防衛は、DHSなどの機関が米国のネットワーク全体の活動を完全に可視化できないため、本来「ブラインド・スポット」からなっていると述べた。
米国の法律およびポリシーにより、CYBERCOMおよびNSAが米国のネットワーク上の敵対者に対するサイバー作戦を監視または実行することを妨げている。

元国防長官兼CIA長官のロバートゲーツは、「国内起源のサイバー攻撃からリアルタイムで防御するNSAに任務を課す権限を持つNSA副長官を兼務する上級DHS役員「デュアルハット」を任命する」という彼の2010年を思い起こす署名入り記事を昨日のワシントンポストの論説で復活させた。
「2010年に私たちが考案したアプローチは、新しい法律を必要とせず、迅速に実施することができました」とゲイツ氏は書いている。
「私たちは攻撃の真っ只中にいる。私たちの脆弱性に対するより洗練された解決策があるかもしれないが、より良い防御手段が現在利用可能なのだ。」
ほとんどの当局者と専門家は、ロシアがSolarWindsハッキングを実施したと述べているが、米国政府は公式にはロシアのものだとも表明もしておらず、対応を発表しておらず、ロシアも関与を否定している。

シルベラ-ド・ポリシー・アクセラレータのエグゼクティブチェアマン兼クラウドストライクの共同創設者で元CTOのドミトリ・アルペロヴィッチ氏が先週のイベントで、SolarWindsキャンペーンに照らして進化するロシアのサイバー戦術について講演した。

アルペロヴィッチ氏は、SolarWindsキャンペーンは「非常によくできている」と述べ、「[SolarWindsハック]は、非常に的を絞った、非常に正確で、巻き添え被害はほとんどなく、伝統的な国家安全保障の目標、主に米国政府機関を追求したもので、ロシアに求めているまさにそのタイプのサイバー作戦として私に衝撃を与えた。」と付け加えた。「彼らが成功したことを嬉しく思うべきでは無い。」アルペロヴィッチ氏は続けた。 「私たちは彼らの背中をたたいたり、いかなる方法でも反応したりしてはいけない。」しかし、彼は、SolarWindsは、「中国人が[Microsoft Exchangeサーバー]のハッキングで実行した標的を絞らない、無謀で危険な作戦とはまったく対照的である」と述べている。

アルペロヴィッチ氏は、脅威アクターの動機を特定し、それに比例した米国の対応を作成するための「きめ細かい帰属」の重要性を指摘した。
「私たちは西側ではしばしばロシアを一枚岩として扱う傾向がある。」と彼は述べた。
「すべてのロシア人が同じであるかのように、すべてのロシアの情報機関は同じで …もちろん、真実ははるかに複雑だ。」

SolarWindsの場合、ほとんどの専門家は、そのハッキングをどこか主要なロシアの情報機関の1つであるSVRとしている。

アルペロビッチ氏は、SVRをロシア情報機関の「最も専門的な」ものとして特徴づけた。
「SVRとその前身(KGB内)は、スパイ機関が従う紳士協定であるスパイの規則を常に順守して来ていた。確かに過度なものもあったが、概して、彼らはプロ意識と焦点を維持してきた。」
アルペロビッチ氏は、SVRを過去の「残虐行為」を犯したと彼が言ったFSB及び「ロシアで最も無謀で最も強硬な情報機関」であるGRUと対比させた。

CSIS(戦略国際問題研究所)のサイバー専門家であるジェームス・アンドリュー・ルイス氏は、同じイベントで講演し、SolarWindsキャンペーンについて話し合う「志をともにする国」の代表者との会議に出席したばかりだと述べた。ルイス氏は、SolarWindsは「国際法と主権の侵害」であるという幅広いコンセンサスがあったと述べた。問題は、米国はどのように対応すべきかということだ。
ルイス氏は、「私たちは、20世紀、さらには19世紀の戦争と国際人道法の概念を、新しい種類の紛争に適用しようとし続けている」と述べた。
彼は次のように述べている。「過去数年間にサイバーについて学んだことの1つは、サイバーがもはやスタンドアロンのドメインではないということだ。
それはもはや、戦略と政策のより大きな領域の外で発生する独立したものではない。それで、この私たちの対応について考えるために、私たちはロシアに対する私たちの政策が何であるかという環境に置かなければならない。そこでの我々の目標は何か?」サイバー、戦略、およびポリシーの重複を解決するための「多くの荒れたパッチが存在する。」と彼は付け加えた。

ルイス氏は、サイバースペースの規範的枠組みに関する2015年の国連合意に言及したが、ロシアと中国は「それに注意を払っていない」。
これを考慮して、ルイス氏は、「抑止について話すのをやめ、説明責任について話す必要がある。この種のことは、私たちが結果を課すまで止まることは無い。」
しかし、そこにたどり着くのはスローで扱いにくいものだ。「これを行うための解決策はまだ無い。なぜなら、一般的に[SolarWinds]の場合だけでなく、まだ、帰属と釣り合いに関する両方について政治的合意が必要だからである。」

アルペロビッチ氏は、SolarWindsのようなサイバースパイ活動は、「[ロシア]と予想すべきタイプのものである。
私は、私たちが反応をするべきではないと主張しているのでは無い。
反応する必要があるのだ。私たちは不満を表明すべきだ。私の唯一の主張は、私たちが過剰に行動してはならないということなのだ。」

「サイバー問題は無い。」とアルペロビッチ氏は述べている。 「私たちはロシア、中国、北朝鮮、そしてイランの問題を抱えているのだ。

私たちが目にしているサイバー侵入の大部分は、それらの国の[政府]またはそれらの国で自由に活動することを許されている犯罪者やプロキシのいずれかから発生しており、それが国によって指示されているのか、それとも国がこの活動に目をつぶっているだけなのかどうかにかかわらず、国境内で何が起こっているかについて国に責任を負わせる必要が絶対的に存在する。」
後続の攻撃、特に破壊的な攻撃の懸念を提起した人もいたが、少なくとも今のところ、アルペロビッチ氏とルイス氏の両方がこの予測に大いに懐疑的だった。

ルペロビッチ氏は、SolorWindsの第2段階の作戦における主なターゲットは、米国政府機関とFireEyeやMicrosoftなどのITサプライチェーン企業であるように思われると述べた。
前者のターゲットは、伝統的な国民国家のサイバースパイ活動を示唆している。
後者は、「SolarWindsを通じて、サプライチェーンの脆弱性とアクセス方法を備蓄しており、今後何年にもわたって攻撃に使用できるようになるだろう」と述べた。

アルペロビッチ氏は、次のように述べている。彼らは盗まれたデータを情報作戦に利用できたか?彼らは破壊的な目的のために攻撃を使用できただろうか?
もちろん、その答えは「イエス」である。しかし、彼は次のように付け加えた。「SVRが、GRUが通常主導する影響力作成又は、破壊的な作戦を行うのを見たことが無い。
そのため、詳細な属性が重要である。どの基幹がその背後にあるのかを理解することで、動機について多くのことを知ることができる。」

ルイス氏は、ロシアにとって、それはすべてリスクを管理する事についてだと語った。
ルイス氏は、米国の重要なインフラストラクチャへのサイバー攻撃について「心配しない」と述べました。「私たちは一種のデジタルマジノ線を創造した」そのため、ロシア人は、それを越えるためには「非常に強い圧力」を受けることとなろう。

彼はまた、サイバースパイ活動と「威圧的な」サイバー攻撃を区別した。
「偵察[naissance]は威圧的な攻撃とは見なされない。」とルイス氏は語った。
「それでは、問題は次のようになる:ある種の大規模な古いスタイルの攻撃を開始することがロシアの利益になるのはいつか、そして答えは決してないだろうと思う。
なぜ彼らはそうするのは何故か?彼らは今勝利を得ている。なぜ私たちにそれを気づかせる危険を冒すのか?」「中国人はおそらく同じように感じている」と彼は付け加えた。

「[SolarWinds]は素晴らしい情報作戦か?イエス」とルイス氏は述べたが、それは「サイバー真珠湾」では無かった。 「それは大規模な攻撃の前兆か?

 


1:CompTIA では,脅威となる行為主体のことを「脅威アクター(threat actor)」と総称している。