多数の連邦政府機関、フォーチュン 500 企業、その他の重要ターゲットが利用する IT 企業を標的として始まったサイバー攻撃は、歴史的な出来事になりつつある。
米国政府は、少なくとも国土安全保障省、財務省、商務省を含む連邦政府機関のコンピュータシステムへの大規模な外国からの侵入が検知されたことに、いまだ動揺を隠せない。連邦政府の主要なサイバーセキュリティ機関である国土安全保障省サイバーセキュリティ・インフラセキュリティ局の職員がポリティコに語ったところによると、多くの政府機関は「自分たちがどれほど危険な状況に置かれているのか、まだ分かっていない」という。別の米国政府関係者はポリティコに対し、これは「米国史上最も重大なサイバー攻撃の一つになるだろう」と述べ、連邦政府は「事態はさらに悪化するだろう」と懸念している。
侵害の規模は依然として不明だが、マルウェアは影響を受けたシステム上で数ヶ月前から拡散していた可能性がある。また、ドナルド・トランプ氏は11月中旬、2020年の大統領選挙における不正投票に関するホワイトハウスの捏造主張に疑問を呈したとして、CISA長官のクリス・クレブス氏を解任した。
CISAのリソースが逼迫しており、ポリティコが引用した政府関係者は「CISAの機関侵入への対応の遅さに多大な不満」があり、機関は「圧倒されている」ように見えると述べているため、これは最悪のタイミングでの発表となった。この情報筋によると、朗報としては、捜査官が「機密システムが侵害されたという証拠」をまだ見ていないとのことだ。一部の議員は既にCISAへの追加リソースの付与を提案しているが、この状況を改善するには遅すぎるかもしれない。
これまでのところ、関与したハッカーらは国家の支援を受けていることが示唆されており、ホワイトハウスはロシアの情報機関を最有力な容疑者とみている。ウォール・ストリート・ジャーナルによると、犯人らはおそらくマイクロソフトのメールアカウントなどに侵入し、ソーラーウィンズ社製のIT管理ソフト「オリオン」にバックドアを仕掛けた。そして2020年3月と6月に、このバックドアを利用して同社が提供したソフトウエアアップデートにマルウェアを混入させた。米政府機関に加え、攻撃者はセキュリティ企業ファイア・アイも攻撃対象とした。上級副社長兼最高技術責任者のチャールズ・カーマカル氏はブルームバーグに対し、ファイア・アイがその後、当局に通報する前に侵入をソーラーウィンズ社まで追跡できたと語った。
SolarWindsは月曜日に証券取引委員会(SEC)に提出した文書で、Orion製品が3万3000の組織で使用されており、そのうち約1万8000の組織が2020年3月から6月にかけて、感染したバージョン2019.4から2020.2.1をインストールした可能性があると述べている。標的のシステムに侵入したハッカーは、Orionを切断するだけでは削除できない他のマルウェアをインストールするための足掛かりを得る可能性がある。Politicoは、攻撃者が感染したアップデートをダウンロードした組織が使用しているMicrosoftのメールサーバーに侵入し、より広範なアクセスを可能にする認証トークンを盗む可能性もあると報じている。
「月曜日の朝に開始された一連の企業サイバーセキュリティ調査に詳しい」2人の人物はロイター通信に対し、ハッカーらは実際に侵入する侵入先システムを厳選していたようで、攻撃開始時に特定の諜報目標を念頭に置いていたことを示唆していると語った。
「彼らはSolarWindsに侵入するだけで済んだのに、それ以上のことをした」と、サイバーセキュリティ企業Bishop FoxのCEO、ヴィンセント・リュー氏はウォール・ストリート・ジャーナル紙に語った。「彼らはたった一つの侵入を、今後数週間かけてどれだけの侵入につながるか分からないほどの、さらに多くの侵入へと発展させた。その影響の全容は、永遠に分からないかもしれない」
「このようなサプライチェーン攻撃は、非常に費用のかかる作戦です。攻撃を仕掛ければ仕掛けるほど、摘発されたり、損害を被ったりする可能性が高まります」と、FireEyeの脅威ディレクター、ジョン・ハルトキスト氏はニューヨーク・タイムズ紙に語った。「彼らは膨大な数の標的を攻撃する機会を得ていましたが、同時に、攻撃範囲を広くすれば、その莫大なアクセスを失ってしまうことも分かっていたのです。」
ポリティコの取材に応じた別の米国当局者は、米国政府がロシア対外情報局と関連している、あるいは同局が運営していると考えているハッキンググループ「コージー・ベア」を非難した。この見解は、ワシントン・ポスト紙に話を聞いた情報筋によって裏付けられている。コージー・ベアは、別のグループ「ファンシー・ベア」と共に、セキュリティ企業クラウドストライクが2016年の選挙中に民主党全国委員会のサーバーにアクセスしたと断定したロシアの情報機関の資産の一つだった。
The Vergeによると、SolarWindsはウェブサイトから顧客リストを削除した模様で、「フォーチュン500にランクインする425社以上と、米国の通信事業者トップ10社」が含まれているという。ニューヨーク・タイムズ紙によると、SolarWindsの顧客にはロスアラモス国立研究所や防衛関連企業のボーイングも含まれている。
