FOIA文書によりSolarWindsハッキングでtreasury.govの全メールが露出していたことが判明

FOIA文書によりSolarWindsハッキングでtreasury.govの全メールが露出していたことが判明

情報公開法（FOIA）訴訟を通じて入手された文書により、2020年のSolarWindsハッキング事件に新たな懸念すべき章が加わった。表面化した記録によれば、攻撃者は米国財務省の少数のアカウントに侵入しただけではなかった。彼らは、treasury.govで終わるすべてのメールアドレスが潜在的に露出するほどの深いアクセス権を手にしていたのだ。SolarWindsハッキングによる政府データの露出範囲は、当局が公に認めていたよりもはるかに広範だったことが明らかになった。

FOIA文書が財務省へのアクセスについて実際に明らかにしたこと

2020年後半にSolarWinds侵害が初めて明らかになったとき、政府の声明は侵入を一般的な表現で認めつつも、攻撃者が連邦システムのどこまで潜入したかの詳細には踏み込まなかった。新たなFOIA文書はその構図を大きく変えるものだ。

記録によれば、ロシア対外情報庁（SVR）によるものと広く見なされているハッカーたちは、財務省のメールインフラに対して、treasury.govドメインで運用されているすべてのアドレスを閲覧または収集できるレベルのアクセスを達成していた。これは一部の受信トレイが侵害されたというレベルを超えている。攻撃者がメール環境に対して管理者レベルの可視性を持っていたことを示唆しており、つまり米国政府で最も機密性の高い機関のひとつにおいて、すべてのアカウント、そしておそらくその内容を特定できたことを意味する。

この種のアクセスは、盗まれた通信内容をはるかに超える意味を持つ。メールのディレクトリは組織構造を明らかにし、主要人物を特定し、その後のフィッシングキャンペーンや標的型情報収集のための地図として機能し得るのだ。

サプライチェーン攻撃が通常の侵害と異なる理由

この侵害がなぜこれほど検知が困難で、かつ被害範囲が甚大だったのかを理解するには、攻撃手法を理解することが助けになる。これはハッカーが脆弱なパスワードを推測したり、未パッチのサーバーを悪用したケースではない。SolarWinds攻撃は教科書通りのサプライチェーン攻撃であり、敵対者は信頼されたソフトウェアベンダーを侵害し、そのベンダーの正規の更新メカニズムを利用して、悪意のあるコードを直接顧客に配信したのだ。

SolarWindsはOrionというネットワーク管理ソフトウェアを製造しており、連邦政府機関と民間企業の両方で広く使用されていた。攻撃者がOrionの定期的なソフトウェア更新にマルウェアを挿入したとき、その更新をインストールしたすべての組織は、事実上、侵入を玄関から招き入れたことになる。通常であれば不審な活動を警告するセキュリティツールも、悪意のあるコードが信頼され署名されたソフトウェアパッケージに包まれて届いたため、警告を発する理由がなかった。

これこそが、サプライチェーン攻撃が従来型の侵害と比較して非常に危険である理由である。攻撃者の足場は、標的自身の防御の隙間ではなく、標的が不信を抱く現実的な理由のない信頼された第三者を通じて確立されるのだ。

侵害された政府システムが市民データをいかに危険にさらすか

財務省の侵害に対する直感的な反応は、それを政府の問題として扱い、日常的な個人のプライバシーとは切り離して考えることかもしれない。そのような捉え方は、露出の大きさを過小評価している。

連邦機関は、税務記録、財務開示、雇用情報、給付申請など、膨大な量の市民データを保有している。攻撃者が財務省のような機関のメール環境への管理者レベルのアクセスを得た場合、監査、捜査、政策決定に関する内部コミュニケーションを傍受できる立場になる。彼らはどの職員がどのプログラムを監督しているかを特定でき、その情報は他の機関や、進行中の政府案件に関係する個人市民を標的とした、非常に説得力のあるスピアフィッシングメールの作成に利用され得る。

標的型の二次攻撃にとどまらず、情報としての価値の問題もある。財務省で誰が働き、どのプログラムを監督し、誰が誰とコミュニケーションを取っているかを知ることは、外国の情報機関にとって真に有用であり、その価値は攻撃者が暗号化されたファイルをひとつも解読する必要なく成立する。

プライバシー意識の高いユーザーが自衛のためにできること、できないこと

ここで、SolarWindsハッキングによる政府データの露出は、個人ユーザーに居心地の悪い現実を突きつける。外国の情報機関が連邦機関の内部メールインフラを侵害するのを、一市民が防ぐためにできることは本質的に何もないのだ。

VPNを使えば自身のトラフィックは保護される。強力なパスワードと二要素認証は個人アカウントを守る。エンドツーエンド暗号化メッセージングはプライベートな会話を保護する。しかし、これらの対策はいずれも、連邦政府が信頼するソフトウェアベンダーが侵害されたかどうか、あるいはあなたに関する記録を保持する政府機関がそのベンダーの更新チャネルを通じて infiltrate されたかどうかとは無関係である。

これは運命論を唱えるものではない。異なるツールが実際に何をするために設計されているかについて明確に理解するための主張である。個人のプライバシーツールは個人の攻撃対象領域に対処する。政府や企業のインフラにおける構造的な脆弱性には、構造的な対応が必要だ。すなわち、厳格なベンダーセキュリティ監査、ゼロトラストネットワークアーキテクチャ、義務的な侵害開示期限、そして実効性のある立法府による監督である。

個人にとって最も有用な対応は、政府機関がどのようなデータを保持しているかについて情報を得続け、侵害通知が届いた際には注意を払い、侵害が報告された後には政府機関を装う不審な連絡に対して特に懐疑的になることだ。

これがあなたにとって意味すること

新たに明らかになった財務省侵害の範囲は、個人データ保護は個人がコントロールできない、より大きなエコシステムの中に存在していることを改めて思い起こさせる。あなた自身のセキュリティ慣行は重要だ。しかし、あなたに関するデータを保持するすべての機関のセキュリティ態勢も同様に重要なのだ。

SolarWindsハッキングは一度限りの異常事態ではなかった。それはソフトウェアサプライチェーンがいかに信頼され、侵害がどのように開示されるかという構造的な弱点を露呈した。その文脈を理解することは、国家レベルの脅威が現実世界のプライバシーリスクにどのように変換されるかを追跡するすべての人にとって不可欠である。まずは、サプライチェーン攻撃がどのように機能し、なぜ個人レベルでの防御が極めて困難なのかについて、確かな理解を築くことから始めよう。その基礎知識が、今後続く同様の記事を読む際の洞察力を鋭くしてくれるだろう。