米政府サイバー攻撃「史上最大かつ最も巧妙」＝マイクロソフト社長

［ワシントン　１４日　ロイター］ - 米マイクロソフトのブラッド・スミス社長は１４日、複数の米政府機関がソーラーウインズ社のソフトの脆弱性を利用したハッカー攻撃を受けた問題について、「世界史上最大規模かつ最も巧妙な攻撃」だとの認識を示した。

ハッカー攻撃は昨年１２月に判明。米政府はロシアが関与した可能性が高いとの見方を示している。ソーラーウインズのソフトを利用していた数千社と米政府機関が攻撃を受けた。ハッカー集団は、財務省、商務省などの電子メールに不正にアクセスしていた。

サイバーセキュリティーの専門家は、攻撃を受けたシステムを特定し、ハッカー集団を撃退するには数カ月かかる可能性があるとの見方を示している。

スミス社長はＣＢＳの番組で「ソフトウエア・エンジニアリングの立場から言えば、恐らく世界史上最大規模かつ最も巧妙な攻撃だと言えるだろう」と発言。

被害を受けたのは、ソーラーウインズのソフトを利用していた最大１万８０００組織に上る可能性があり、対応には多数のエンジニアが必要になるとみられている。

同社長は「マイクロソフト社内の状況をすべて分析した結果、ゆうに１０００人を超えるエンジニアが対応に当たっているとの結論に達した」と述べた。

米情報当局は先月、少なくとも連邦政府の１０機関が昨年１２月に見舞われた大規模なサイバー攻撃について、ロシアが仕掛けた「公算が大きい」と表明。システムの破壊ではなく、情報収集が目的とみられるとの見解を示した。

ロシアは関与を否定している。

注目のコメント

後藤厚宏
情報セキュリティ大学院大学学長・教授
・2021年02月15日
本件、米国では、12月から大きく取り上げられています。日本でも、セキュリティ関係者の関心（危機感）は高いのですが、一般メディアでの報道が少なかったことが不思議でした。
この事案に多くの要素がありますので、それぞれの視点での分析が重要と思います。例えば、国際関係（国家の関与）、被害の広範さ、攻撃期間の長さ（検知までに時間が要したこと）、システムソフトウェアの更新機能が狙われたこと、など。特に、ソフトウエアの更新機能は、本来、システムのセキュリティ確保の要の役割であり、そこが攻撃対象となったことが「衝撃的」と言えるでしょう。
満永拓邦
東洋大学情報連携学部准教授
・2021年02月15日
最大１万８０００を超える組織が影響を受けたと言われる本事案に対して、米国サイバーセキュリティインフラストラクチャーセキュリティ庁（CISA）も、"重大なリスク(grave risk)"をもたらしたものであるとアナウンスしています。

対岸の火事と捉えずに、セキュリティ事故が発生することを想定して、事前に備えておく必要があります。
山岡浩巳
フューチャー株式会社取締役兼フューチャー経済・金融研究所長
・2021年02月16日
2010年代半ば頃から（とりわけ、2016年のバングラデシュ中央銀行のハッカー攻撃以来）、金融関係の国際組織でもサイバー攻撃は一つの大きな話題となり続けてきたように感じます。

この問題に取り組む上での大きなハードルは、とりわけ公的当局が攻撃を受けた場合、ー　これは止むを得ない面もある訳ですが　ー　関連する情報がなかなか開示されにくいことです。
　この事件も、攻撃を受けた政府ではなくマイクロソフトが「史上最大」と言及していることは象徴的ですし、本件に関する報道が少なかったことは、報道機関が政府発の情報に依存する度合いが大きいことの裏返しの面もあるように思います。国際的なサイバー攻撃に対応する上での一つのハードルは、いかにセキュリティ確保と必要な情報共有とを両立させるかだと感じます。