SolarWindsハッキングの教訓について（１）（英国国際戦略研究所（IISS））

写真出展：Leonhard NiederwimmerによるPixabayからの画像https://pixabay.com/ja/users/lnlnln-1131094/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=4728199

　英国国際戦略研究所（IISS）は2021年3月31日に、SolarWindsハッキングについて解説した記事を発表した。主な内容は、ここのところ引き続くハッキング事件の経過や今後のサイバー政策などについての提言である。アメリカ以外の視点から見た場合のサイバー政策の参考となることから、その一部をご紹介したい。なお、やや長文となるため、今回は記事の内容のみ紹介し、読後の感想については２回目に投稿させていただく。

↓リンク先（Lessons of the SolarWinds hack）
https://www.iiss.org/blogs/survival-blog/2021/04/lessons-of-the-solarwinds-hack

１．記事の内容について
　・ハッキング事件の概要
　　発見されたのは、2020年12月にアメリカのサイバーセキュリティ企業FireEyeが、自身のツールがハッキングされたことを政府に報告した時である。
　　その際に経路として利用されたのが、SolarWindsという企業である。同社はテキサスに本拠を置いており、ビッグデータの管理をするオリオンというソフトウェアを提供している。2019年10月ごろから侵入して同ソフトを感染させ、定期的なセキュリティアップデートにマルウェアを潜伏させ、約18,000もの顧客に感染させた。顧客には9つの連邦政府、100以上の民間企業がおり、財務省や司法省、シスコ、インテル、マイクロソフトなどが被害にあった。その他、Office365やAWSなどのクラウドサービスに潜伏して顧客を感染させており、SolarWindsの顧客以外にも被害が広がった。アメリカ政府は、ロシアのインテリジェンス機関の犯行と断定した。

・ハッカーの意図
　今回のハッキングは、データや電子メールに幅広くアクセスできるよう、複数のネットワークに感染させるよう設計されていた。潜在的に価値のある情報を取得しようとしていたと考えられ、機密性の高いネットワークへの侵入も確認されておらず、特定の標的を求めた特徴は見られない。
　この点、2017年のウクライナのネットワークを標的としたNotPetyaとは大きく異なっている。NotPetyaは、ウクライナの重要インフラ（電力や金融）などを標的として施設に損害を与えるよう設計されており、更に無差別的にあらゆるネットワークに感染させるような仕様となっていた。
　ただ、今回のSolarWindsのハッキングが定常的な偵察活動の範囲にとどまっているのか否かは、不明である。技術的に作戦の目的を変更することは可能であり、マイクロソフト社長のブラッド・スミスがたとえ話で、「アパート１棟に押し入ろうとする強盗が、市内の全ての住宅、ビルの警報システムを停止したようなものだ。全員の安全性が危険にさらされている。」と発言した通り、意図せざる結果としてインフラなどへの侵入が発見された場合の対処が問題になる。

　・対処の在り方
　　平時における国家機密を盗難する試みは国際的に容認されており、今回のSolarWindsのハッキングに対して報復が必要な戦争行為とするのは早計である。実際のスパイ活動が摘発された場合、外交官やインテリジェンス将校の報復的追放以上の措置はなされていない。
ここ最近のサイバー諜報活動への対抗手段は、各国共同で犯人を名指しで批判することである。民主主義国家の情報共有やサイバー攻撃の検知や特定などの能力の共有による対抗は強力であり、独裁国家は機密性保持や相互不信などのため、このような連携を欠いている。
　　その他の対処の在り方を示すものとして、2015年の国連による11のサイバー行動規範がある。この中では、サイバー侵入がもたらす結果をより広い関係性の中で考慮したうえで対処することを各国に求めており、報復措置については抑制的な内容となっている。ただ、必ずしも内容が現実的ではない。例えば、病院、緊急時のサービスに関連する施設などに対する攻撃は、クラスター爆弾や化学兵器の使用などと同等の非難を受けるようにするべきであろう。罰則については、各国で合意事項を定め、国家による遺憾の意だけでは発動されないことを明確化することが有効である。

　・サイバーセキュリティへの意味
　　SolarWindsのハッキング事件により、国内的なサイバーセキュリティ戦略、各国との連携の在り方に改革が必要であることが明白となった。
　　本事件を受け、アメリカは官民協調の改善、州政府・地方自治政府へのサイバーセキュリティ強化の補助金、連邦政府全体のIT現代化などの対応を行っているが、技術的ソリューション以外の分野にも予算を配賦することを容認している。
　ネットワークの保護は基本であり、2019年から2020年にかけてランサムウェアの被害は40%近く増加しており、世界のGDP1～2%にも上る金融損害が発生していることを考えると、セキュリティ技術への投資が必要ではある。ただ、主なサイバー上の問題は、人的な要素（甘いパスワード規則、訓練の不足など）を突いたものであり、社会全体での取り組みが必要となる。その他、相手国のインフラの悪用も注目すべき点であり、敵国の製品を排除するだけでは不十分である。
　従って、大規模なハッキング事件が発生したとしても、セキュリティソリューションに対する信頼を喪失する必要はなく、むしろ自由民主主義的なサイバーセキュリティの枠組みがうまく機能したことを評価するべきである。更に改善していくためには、緊密な官民協調、教育事業、普及啓発、企業の意識改革など、社会全体の取り組みにおいて、多様な対策が求められる。
　今後は、モノのインターネットに関するサイバーセキュリティが大きな問題になって来るだろう。特定のベンダーに依存することは危険であり、複数のベンダーの機器を統合したオープンRANのような多様なネットワークが未来のリスク対処の一つの解決方法になるだろう。

　・攻撃的サイバー防衛
　　インターネットの黎明期から、アメリカにおいて攻撃的サイバーの原則が検討されてきた。2018年のアメリカ国家サイバー戦略、国防総省サイバー戦略では、先制攻撃や日々の小競り合いなどを想定した内容となっている。
　ただ攻撃的サイバー対応だけは、諜報活動そのものを防止することはできない。冷戦時代に核兵器による抑止があったものの、諜報活動や偵察は抑止されなかったことから、サイバー空間を別物として見るべきではない。また報復攻撃措置は、サイバー諜報活動が発生した時点で攻撃を正当化するなど、危険な運用にも道を開きかねないため、慎重に取り扱う必要がある。いずれにせよ、攻撃的サイバーの歴史は短く、現時点でその是非について結論を出すことはできない。
　アメリカにとっての優先事項は、国家サイバーセキュリティの取り組みを再検証・更新し、サイバー空間での責任ある行為について同盟国や友好国と協調することである。強硬派が出始めていることを考えると、段階的な抑止措置の策定が急務になるだろう。それと同時に、現在の戦略の方向性を撤回してしまう必要はなく、各国の連携、官民連携、社会全体での取り組みは、これからも継続していくべきである。