RSAハッキング事件の全容がついに明らかに

2011年初頭、トッド・リーサムは社内ネットワーク内の幽霊を追いかけて眠れない夜を過ごした。しかし、数年経った今でも彼の記憶に最も鮮明に残っているのは、幽霊に追いついた瞬間、いや、追いつく寸前だった瞬間だ。

春の夕方のことだった、と彼は言う。彼が勤めていたセキュリティ大手RSAのコンピュータシステムを漁るハッカーたちを追跡し始めてから3日、いや4日、時間があっという間に過ぎた頃だった。禿げ頭で髭を生やした、気難しいアナリストのリーサムは、同僚の一人が私に「炭素ベースのハッカー発見マシン」と形容したほどだった。彼は、ガラス張りのオペレーションセンターに集まったインシデント対応チームの他のメンバーと共に、ラップトップに張り付いて24時間体制でハッカーを探し続けていた。そして、恐怖が募る中、リーサムはついに侵入者の足跡を辿り、最終ターゲットへとたどり着いた。それは「シード」と呼ばれる秘密鍵だった。これは、世界中の政府機関、軍事機関、防衛関連企業、銀行、そして無数の企業に所属する数千万人のユーザーを含むRSAの顧客に対して約束されたセキュリティの基盤となる数字の集合体だった。

RSAはこれらのシードを、同社が「シード倉庫」と呼ぶ、厳重に保護された単一のサーバーに保管していました。シードは、RSAの主力製品の一つであるSecurIDトークンの重要な要素でした。SecurIDトークンとは、ポケットに入れて持ち歩き、画面上で常に更新される6桁のコードを入力することによる本人確認を行う小さなキーホルダーです。もし誰かがこの倉庫に保管されているシード値を盗めば、SecurIDトークンを複製し、二要素認証を密かに破ることができる可能性があります。ハッカーは世界中のどこからでもセキュリティシステムを瞬時に回避し、銀行口座から国家安全保障上の機密まで、あらゆる情報にアクセスできるようになります。

今、画面上のネットワーク ログを見つめていると、RSA の世界王国への鍵がすでに盗まれたかのようにリーサムは思った。

リーサムは、ハッカーたちが9時間かけて倉庫サーバーから計画的にシードを盗み出し、ファイル転送プロトコルを使ってクラウドホスティングプロバイダーのRackspaceがホストするハッキングされたサーバーに送り込んでいたことを、落胆しながら見ていた。しかし、彼はかすかな希望の光を見つけた。ログには、ハッキングされたサーバーの盗まれたユーザー名とパスワードが含まれていたのだ。犯人たちは隠れ場所を丸ごと、人目につく場所に残していたのだ。リーサムは遠く離れたRackspaceのマシンに接続し、盗んだ認証情報を入力した。すると、サーバーのディレクトリには、盗まれたシードコレクション全体が圧縮された.rarファイルとして残っていた。

ハッキングされた認証情報を使って他社のサーバーにログインし、そこに保存されているデータを改ざんすることは、リーサム氏も認める通り、せいぜい型破りな行為であり、最悪の場合、米国のハッキング法違反となる。しかし、あのRackspaceサーバーにRSAの盗まれた聖域を見て、彼はためらわなかった。「責任は取るつもりだった」と彼は言う。「いずれにせよ、我々の命は守る」。彼はファイルを削除するコマンドを入力し、Enterキーを押した。

しばらくして、彼のコンピューターのコマンドラインから「ファイルが見つかりません」という応答が返ってきた。彼は再びRackspaceサーバーの中身を調べたが、空だった。リーサムの心は床に落ちた。ハッカーたちは、彼がシードデータベースを削除する数秒前に、サーバーからそれを抜き取っていたのだ。

昼夜を問わずデータ窃盗犯を追い詰めた後、彼は今日こう語る。「彼らがドアから逃げ出す時にジャケットをひったくった」のだ。彼らは彼の指の間をすり抜け、会社の最も貴重な情報と共に宙に舞い去った。そして、リーサムはまだ知らなかったが、それらの秘密は今や中国軍の手に渡っていたのだ。

RSAのセキュリティ侵害は、数日後に公表されると、サイバーセキュリティのあり方を根本から変えるものとなった。同社の悪夢は、情報セキュリティ業界にとって警鐘となっただけでなく（サイバーセキュリティ企業によるハッキングとしては史上最悪の事例）、世界全体への警告でもあった。セキュリティ企業F-Secureの研究員で、この侵害に関する外部分析を発表したティモ・ヒルボネン氏は、この侵害を、国家が支援する新たなタイプのハッカーによる脅威の増大を示す憂慮すべき事例と捉えた。「RSAのようなセキュリティ企業が自らを守れないのであれば、世界の他の企業はどうして守れるというのか」とヒルボネン氏は当時思ったことを覚えている。

その質問は文字通りの意味を帯びていました。RSAのシード値が盗まれたことで、数千もの顧客ネットワークから重要な安全対策が失われたのです。RSAのSecurIDトークンは、銀行から国防総省に至るまで、あらゆる機関が従業員や顧客に、ユーザー名とパスワードに加えて、ポケットの中にある物理的なものを所持していることを証明することで身元を証明できる第二の認証手段を要求できるように設計されていました。SecurIDトークンに表示されるコード（通常は60秒ごとに変更される）を入力しなければ、アカウントにアクセスできませんでした。

RSAが生成し、顧客に慎重に配布したSecurIDシードにより、顧客のネットワーク管理者は同一のコードを生成できるサーバーを設置し、ユーザーがログインプロンプトに入力したコードが正しいかどうかを確認することができました。これらのシードを盗んだ高度なサイバースパイは、物理的なトークンを使わずにコードを生成する鍵を手に入れ、ユーザー名やパスワードが推測可能なアカウント、既に盗まれたアカウント、あるいは別の侵入アカウントから再利用されたアカウントへの侵入経路を開きました。RSAはインターネット上の何百万ものドアに、独自の南京錠を追加したため、これらのハッカーはすべてのドアの暗証番号を把握している可能性がありました。

昨年12月、SolarWinds社がロシアのスパイにハッキングされたことが明らかになり、世界は「サプライチェーン攻撃」という概念に目覚めました。これは、攻撃者が標的の上流に位置するソフトウェアまたはハードウェアサプライヤーの脆弱性を突く手法であり、被害者にとってはサイバーセキュリティリスクの盲点となります。SolarWindsをハッキングしたクレムリン工作員は、世界中で1万8000もの企業や機関が使用している「Orion」と呼ばれるIT管理ツールにスパイコードを隠していました。

SolarWindsのサプライチェーンへの侵入を悪用し、ロシアの対外情報機関（SVR）は、国務省、財務省、司法省、NASAを含む少なくとも9つの米国連邦政府機関に深く侵入しました。数年前には、世界を揺るがした別のサプライチェーン攻撃で、ロシアの軍事情報機関（GRU）が、あまり知られていないウクライナの会計ソフトウェアを乗っ取り、NotPetyaと呼ばれるデータ破壊ワームを拡散させ、世界中で100億ドルの被害をもたらしました。これは史上最悪のサイバー攻撃です。

しかし、記憶力の長い人にとっては、RSAの侵害は、大規模なサプライチェーン攻撃の元祖と言えるでしょう。後に中国人民解放軍に所属していたことが明らかになった国家サイバースパイたちは、インターネットを守るために世界中で頼りにされているインフラに侵入しました。そして、その過程で、世界のデジタルセキュリティモデル全体を根底から覆したのです。「この事件でサプライチェーン攻撃への目が覚めました」と、F-Secureの最高研究責任者で、ヒルヴォネン氏と共にRSA侵害の分析に携わったミッコ・ヒッポネン氏は語ります。「この事件で世界観が変わりました。標的に侵入できなくても、彼らが使用している技術を見つけて、そこに侵入するしかないという事実です」

その後の10年間、RSAの侵害に関与した多くの主要幹部は、10年間の秘密保持契約に縛られ、沈黙を守ってきた。今、その契約が期限切れとなり、彼らは私に新たな詳細を語ってくれるようになった。彼らの話は、高度な国家ハッカーの標的となった体験を克明に描いている。彼らは、世界規模で最も価値の高いネットワーク上の標的を、辛抱強く、執拗に攻撃する。攻撃者は、被害者のシステムの相互依存関係を被害者自身よりも深く理解している場合があり、その隠れた関係性を悪用しようとするのだ。

国家の支援によるハッキングやサプライチェーンの乗っ取りが10年間横行した後、RSAの情報漏洩は、現代のデジタル不安時代の先駆けとみなされるようになりました。また、意志の強い敵がいかにして私たちが最も信頼するものを損なえるかという教訓でもあります。

2011 年3 月 8 日、肌寒い晩冬のある日、トッド・リーサムは喫煙休憩を終え、マサチューセッツ州ベッドフォードにある RSA 本社 (ボストン郊外の森の端にある 2 つの連結した建物) に戻る途中でした。その時、システム管理者が彼を呼び出し、奇妙なものを見るように頼みました。

管理者は、あるユーザーが普段は使用しないPCからサーバーにアクセスしたこと、そしてそのアカウントの権限設定が通常とは異なることに気付きました。リーサム氏と管理者と共に異常なログインを調査していたテクニカルディレクターは、ベテランRSAエンジニアのビル・デュアン氏に調査を依頼しました。当時、暗号アルゴリズムの開発に忙しくしていたデュアン氏にとって、この異常はほとんど警戒すべき点とは思えませんでした。「正直言って、この管理者は気が狂ったと思いました」と彼は回想します。「幸いにも、彼は何かがおかしいと言い張るだけの頑固さを持っていました。」

リーサムと社内のセキュリティインシデント対応担当者は、異常な動作を追跡し、異常なアカウントがアクセスしたすべてのマシンのフォレンジック分析を開始した。彼らは、従業員の認証情報に、数日前まで遡る、より顕著な異常点を見つけ始めた。管理者の判断は正しかった。「案の定」とデュアンは言う。「これは氷山の一角だった」

その後数日間、RSAのセキュリティオペレーションセンター（NASA風のコントロールルームで、壁一面を覆うように机とモニターがずらりと並ぶ）のセキュリティチームは、侵入者の指紋を綿密に追跡した。RSAのスタッフは、追跡中の侵入が依然として進行中であるという恐ろしい事実に突き動かされ、1日20時間近くも働き始めた。経営陣は昼夜を問わず、4時間ごとに調査結果の報告を要求した。

アナリストたちは最終的に、侵入の根源を、捜査開始の5日前にRSA社員のPCに侵入したと思われる1つの悪意あるファイルにまで突き止めました。オーストラリアの社員が「2011年採用計画」という件名のメールを受け取り、Excelのスプレッドシートが添付されていました。彼はそれを開封しました。ファイルには、Adobe Flashのゼロデイ脆弱性（未修正のセキュリティ欠陥）を悪用するスクリプトが含まれていました。このスクリプトは、被害者のマシンにPoison Ivyと呼ばれる一般的な悪意あるソフトウェアを埋め込むものでした。

F-Secureのヒルヴォネン氏は後に自身の分析で、RSAネットワークへの最初の侵入ポイントは特に高度なものではなかったと指摘した。被害者がWindowsやMicrosoft Officeの最新バージョンを使用していた場合、あるいはPCへのプログラムインストール権限が制限されていた場合（企業や政府機関のネットワークセキュリティ管理者のほとんどが推奨しているように）、ハッカーはFlashの脆弱性を悪用することさえできなかっただろうとヒルヴォネン氏は言う。

しかし、RSAのアナリストによると、侵入者が真の能力を発揮し始めたのは、この侵入からだったという。実際、RSAの幹部数名は、少なくとも2つのハッカー集団が同時にネットワークに侵入していたと確信するに至った。一方の高度なスキルを持つ集団が、おそらくは相手方のアクセスを悪用していたのだろう。相手方の意図は不明だが。「最初の集団が森の中に残した痕跡があり、その真ん中で2つ目の痕跡が枝分かれしている」と、当時RSAの最高セキュリティ責任者だったサム・カリー氏は語る。「そして、2度目の攻撃ははるかに巧妙だった」

オーストラリア人従業員のPCでは、誰かがマシンのメモリから認証情報を抜き出すツールを使っており、それらのユーザー名とパスワードを再利用してネットワーク上の他のマシンにログインしていました。さらに、それらのコンピューターのメモリからさらに多くのユーザー名とパスワードをスクレイピングし、より権限の高い管理者のユーザー名とパスワードをいくつか見つけ出しました。ハッカーたちは最終的に、数百人のユーザーの認証情報が保存されているサーバーに侵入しました。今日では、このような認証情報を盗み出すホップスコッチ攻撃の手法は一般的です。しかし、2011年当時、アナリストたちはハッカーたちがネットワーク全体に拡散していく様子に驚きました。「あれは、これまで見た中で、私たちのシステムを徹底的に攻撃する最も残忍な方法でした」とデュアンは言います。

RSAへの攻撃のような大規模な侵入は、侵入者がとっくに姿を消しているか、活動を停止している数ヶ月後に発覚することが多い。しかし、デュアン氏によると、2011年の事件は違ったという。捜査官たちは数日のうちに侵入者をほぼ捕捉し、その行動を観察することができたのだ。「侵入者がシステムに侵入しようとした瞬間、私たちは1、2分後にそれを検知し、侵入してシステムをシャットダウンするか、アクセスを無効化しました」とデュアン氏は語る。「私たちはリアルタイムで、必死に彼らと戦っていました。」

リーサム氏は、この激しい追跡の最中に、ハッカーたちが、彼らの最重要ターゲットであったと今でも信じているもの、つまりSecurIDシードを盗んでいるところを捉えた。

RSAの幹部は、SecurIDハードウェアトークンの製造を担当するネットワーク部分は「エアギャップ」、つまりインターネットに接続するあらゆるマシンからコンピュータを完全に切り離すことで保護されていると私に語った。しかし実際には、RSAのインターネット接続ネットワーク上の1つのサーバーが、他の接続を一切許可しないファイアウォールを介して、製造側のシード倉庫にリンクされていたとリーサムは語る。15分ごとに、そのサーバーは一定数のシードを取り出し、暗号化してCDに書き込んでSecurID顧客に提供する。このリンクは必要不可欠だった。RSAのビジネス側が、顧客がログインプロンプトに入力した6桁のコードをチェックできる独自のサーバーをセットアップするのを支援できるようにするためだ。CDが顧客に発送された後も、顧客のSecurIDサーバーまたはそのセットアップCDが何らかの理由で破損した場合に備えて、これらのシードはシード倉庫サーバーにバックアップとして残される。

すると、通常の15分に一度の接続ではなく、リーサムは毎秒数千件もの継続的なデータリクエストのログを目にした。さらに、ハッカーたちは侵入したサーバー1台ではなく3台でシードを収集し、接続された1台のマシンを介してリクエストを中継していた。彼らはシードのコレクションを3つに分割し、遠く離れたRackspaceサーバーに移し、それらを再結合して、RSAがシード倉庫に保管していたすべてのシードの完全なデータベースらしきものに仕上げていた。「『すごい』と思いました」とリーサムは言う。「ある意味感心しました。でも同時に、『やばい』とも思いました」

リーサムは、シードコレクションがコピーされた可能性が高いことに気づき、ハッカーのサーバーからデータを削除しようとしたが、数秒遅れてしまった。そして、この出来事の重大さを痛感した。RSAにとっておそらく最も貴重な資産であるRSAに顧客が寄せていた信頼が、今にも崩れ去ろうとしていたのだ。「これは絶滅だ」と彼は思ったのを覚えている。「RSAは終わった」

セキュリティチームが種子倉庫が略奪されたことを知ったのは深夜のことだった。ビル・デュアンが指示を出した。被害を最小限に抑え、さらなるデータ盗難を阻止するため、RSAのネットワーク接続を可能な限り物理的に遮断するというのだ。特に、種子に紐付けられ、ハッカーが種子を悪用するために必要となる可能性のある顧客情報を保護したいと考えた。（RSAのスタッフの中には、種子は暗号化された状態で保管されており、ネットワーク接続を遮断したのは、ハッカーが復号に必要な鍵を盗むのを防ぐためだと示唆する者もいた。）デュアンとITマネージャーはデータセンターに入り、イーサネットケーブルを1本ずつ抜き取り、製造施設、顧客注文などのコアビジネスプロセスを処理するネットワーク、そしてウェブサイトまでも切断した。「私は基本的にRSAの事業を停止させたのです」と彼は言う。「さらなるデータ流出を阻止するために、会社を機能不全に陥れたのです。」

翌日、RSAのCEO、アート・コヴィエロはオフィスに隣接する会議室で会議を開き、進行中の侵害に関する公式声明を準備していた。コヴィエロは侵入が発覚して以来、最新情報を入手していた。侵害の範囲が拡大したため、ブラジルへの出張をキャンセルした。しかし、彼は比較的楽観的な見方を保っていた。結局のところ、ハッカーたちはクレジットカード情報やその他の顧客の機密情報を侵害したようには見えなかったからだ。彼らはハッカーたちを追い出し、声明を発表して、業務を再開するだろうと彼は考えた。

しかし、会議の途中で、同じテーブルにいたマーケティング担当役員が携帯電話を見て「まあ」とつぶやいたのを彼は覚えている。

コヴィエロは彼女にどうしたのか尋ねた。彼女はためらった。彼は彼女の手から携帯電話を取り、メッセージを読んだ。そこには、ビル・デュアンがコヴィエロのオフィスに上がってきて、CEOに直接報告したいと書いてあった。二階に上がると、彼はハッカーたちがSecurIDのシードにアクセスしたという知らせを伝えた。「まるでお腹を砲弾で撃ち抜かれたような気分でした」とコヴィエロは言う。

その後数時間、RSAの幹部たちはどのように公表するかを議論した。サム・カリーの記憶によると、法務部の一人は顧客に伝える必要はないと示唆した。コヴィエロはテーブルに拳を叩きつけた。侵害を認めるだけでなく、すべての顧客と電話で話し合い、各社が自衛策を講じる必要があると主張した。親会社EMCのCEO、ジョー・トゥッチは即座に、覚悟を決めて4000万個を超えるSecurIDトークンをすべて交換することを提案した。しかし、RSAにはそれほど多くのトークンが残されておらず、侵害によって製造停止を余儀なくされた。ハッキングから数週間後、同社は縮小生産体制でしか生産を再開できなかった。

復旧作業が始まると、ある幹部がプロジェクト・フェニックスという名称を提案した。コヴィエロは即座にその名前を却下した。「馬鹿げている」と彼は言ったのを覚えている。「我々は灰の中から蘇るわけではない。このプロジェクトはアポロ13号と呼ぶ。無傷で宇宙船を着陸させるのだ」

翌朝7時、3月17日、RSAの北米営業責任者デビッド・カスティニョーラは、デトロイトの地元ジムでトレッドミルを使った早朝トレーニングを終えた。電話を取り出すと、なんと12件もの不在着信があった。すべてその日の午前中だけで、しかもすべてRSA社長のトム・ハイザーからの着信だった。ハイザーの留守番電話には、RSAが大規模なセキュリティ侵害を発表する予定だと書かれていた。彼は急いでビルに入らなければならなかった。

数時間と土壇場でのフライトを経て、カスティニョーラは文字通りベッドフォードにあるRSA本社へ駆け込み、4階の会議室へと駆け上がった。彼はすぐに、1週間以上も危機的状況に対処してきたスタッフたちの青白くやつれた顔色に気づいた。「目に映るあらゆる兆候が、これは想像を絶するほどひどい状況だということでした」とカスティニョーラは回想する。

その日の午後、コヴィエロ氏はRSAのウェブサイト上で顧客向けの公開書簡を公開した。「最近、当社のセキュリティシステムは、極めて高度なサイバー攻撃が進行中であることを確認しました」と書簡には記されていた。「現時点では、抽出された情報によってRSA SecurIDのお客様への直接攻撃が成功することはないと確信していますが、この情報は、より広範な攻撃の一環として、既存の二要素認証の有効性を低下させるために使用される可能性があります」と書簡は続き、危機をやや軽視しているようにも見えた。

ベッドフォードでは、カスティニョーラは会議室を与えられ、必要に応じて社内からボランティアを募る権限を与えられた。約90人のスタッフが交代でチームを組み、数週間かけて昼夜を問わず、顧客一人ひとりと1対1の電話による面談を手配する作業を開始した。彼らは台本に沿って作業を進め、SecurIDログインにPINを追加したり長くしたりするなど、ハッカーによる複製を困難にする保護策について顧客に説明した。カスティニョーラは、午後10時に建物の廊下を歩いていると、すべてのドアの向こうからスピーカーフォンで電話がかかってくるのを覚えている。多くの場合、顧客は大声で叫んでいた。カスティニョーラ、カリー、コヴィエロの3人はそれぞれ何百回もそうした電話に対処し、カリーは自分の肩書きは「最高謝罪責任者」だと冗談を言い始めた。

同時に、社内にはパラノイアが蔓延し始めていた。発表後の初夜、カスティニョーラは配線室のそばを通りかかったとき、想像をはるかに超える数の人々がそこから出てきているのを目にしたのを覚えている。「あの人たちは誰だ？」と近くにいた別の幹部に尋ねた。「政府だ」と幹部は曖昧に答えた。

実際、カスティニョーラがマサチューセッツ州に到着する頃には、NSAとFBI、そして防衛関連請負業者のノースロップ・グラマンとインシデント対応会社マンディアントもRSAの捜査に協力するよう要請されていた。（偶然にも、マンディアントの従業員は侵入事件発生前に既に現場にいて、RSAのネットワークにセキュリティセンサー機器を設置していた。）

RSAの社員は抜本的な対策を講じ始めた。電話システムが侵害される可能性を懸念し、AT&TからVerizonへとキャリアを切り替えた。新しい電話さえ信用できない幹部たちは、対面で会議を開き、書類は紙のコピーで共有した。侵入者がRSAのシステムについて非常に高度な知識を持っていると思われたため、FBIはRSA社内に共犯者がいるのではないかと懸念し、身元調査を開始した。「チームメンバー全員、誰であろうと、どんな評判であろうと、必ず調査しました。なぜなら、確実に調査する必要があるからです」とデュアンは語る。

幹部のオフィスや会議室の窓は、周囲の森に潜むとされる架空のスパイによるレーザーマイクによる監視（窓ガラスの振動から会話を拾う遠距離盗聴技術）を防ぐため、何層にも包装紙で覆われていた。建物は盗聴器の捜索で徹底的に調べられた。複数の幹部が隠された盗聴器を発見したと主張したが、中には電池切れの老朽化したものもあった。これらの盗聴器が侵入と何らかの関連があるかどうかは、結局明らかにならなかった。

一方、RSAのセキュリティチームと、支援に駆り出された捜査官たちは、カリー氏の言葉を借りれば「家の骨組みまで壊しまくっていた」。ハッカーたちが触れたネットワークのあらゆる部分で、侵入の可能性があるマシンの中身を、隣接するマシンさえも徹底的に消去したとカリー氏は語る。「私たちは物理的に現場を回り、ハッカーたちが侵入したマシンがあれば、それを消去しました」とカリー氏は言う。「もしデータが失われたとしても、それは仕方のないことです」

2011 年5 月下旬、情報漏洩の発表から約 2 か月後、RSA がまだ復旧、再構築、顧客への謝罪を続けていたときに、余波が襲ってきました。影響力のある技術ブロガー Robert X. Cringely の Web サイトに、「InsecureID: No More Secrets?」と題された投稿が掲載されたのです。

この投稿は、大手防衛関連企業の内部情報筋からの情報に基づいている。その情報筋はクリンジリー氏に、盗まれたRSAシード値を使って侵入したと思われるハッカーによる大規模な侵入に対応していると伝えた。この防衛関連企業では、従業員全員のRSAトークンが交換されていた。突然、RSAの侵害は同社の当初の発表よりもはるかに深刻であるように思われた。「RSAをクラックした者が、その鍵に合う錠前を見つけるのに時間はかからなかった」とクリンジリー氏は記した。「もしすべてのRSAトークンが、あらゆる場所で侵害されていたらどうなるだろうか？」

2日後、ロイター通信はハッキングされた軍事関連企業の名前を公表した。ロッキード・マーティン社は、兵器や諜報技術に関する極秘の計画を数多く抱えていた企業だった。「かさぶたは治りかけていました」とカスティニョーラ氏は語る。「そこにロッキード社が襲い掛かりました。まるでキノコ雲が広がったようでした。私たちは再び同じ状況に戻ってしまいました」

その後数日後、防衛関連企業であるノースロップ・グラマンとL-3もニュースで名指しされた。SecurIDのシード値を持つハッカーがこれらの企業も標的にしていたと報道されていたが、侵入者がこれらの企業にどれほど深く侵入していたかは明らかにされなかった。また、ハッカーがロッキード・マーティン社内の何にアクセスしたかも明らかにされていない。同社は、スパイによる顧客データや機密情報などの機密情報の窃取を阻止したと主張している。

2011 年 6 月初旬の顧客への別の公開書簡で、RSA のアート・コヴィエロ氏は、「3 月に RSA から取得した情報が、米国政府の大手防衛請負業者であるロッキード・マーティンに対するより広範な攻撃の試みの一環として使用されていたことが確認されました」と認めました。

10年経った今、コヴィエッロ氏をはじめとするRSA元幹部たちは、当時の説明とは全く矛盾する話をしている。私に話を聞いた元RSA社員のほとんどは、SecurIDがロッキード社の侵入に何らかの役割を果たしたという証拠は一度もなかったと主張している。コヴィエッロ氏、カリー氏、カスティニョーラ氏、そしてデュアン氏は皆、RSAシステムへの侵入者が、破損も暗号化もされていない形でシード値の全リストを盗み出したことも、それらを悪用するために必要なシード値にマッピングされた顧客リストを盗み出したことも、確認されていないと主張している。「ロッキード社の攻撃は我々とは全く関係ないと思っています」とコヴィエッロ氏はきっぱりと断言する。

対照的に、ロッキード・マーティンは2011年以降、RSAのSecurID侵害で盗まれた情報をハッカーが踏み台として自社ネットワークに侵入した経緯を詳細に説明してきた。同社は、この事件では情報の盗難には成功しなかったと主張している。同社の事件対応に詳しいロッキードの情報筋は、WIREDに対し、当初の主張を改めて明言した。「当社はフォレンジック調査の結果を堅持します」と情報筋は語る。「当社の分析では、二要素認証トークンプロバイダーの侵害が当社ネットワークへの攻撃の直接的な要因であったと判明しました。この事実はメディアで広く報道され、アート氏を含むベンダーも公に認めています」。実際、ロッキードの情報筋によると、同社はハッカーがSecurIDコードをリアルタイムで入力するのを目撃し、標的となったユーザーがトークンを紛失していないことを確認した上で、ユーザーのトークンを交換した後、ハッカーが古いトークンからコードを入力し続けたが、失敗に終わったのを観察したという。

NSAは、その後の侵入におけるRSAの役割について、これまで大きな疑問を抱いてきたことはなかった。RSAの侵入から1年後、上院軍事委員会への説明会で、NSA長官のキース・アレクサンダー将軍は、RSAのハッキングによって「少なくとも1社の米国防衛関連企業が偽造認証情報を使用する攻撃者の被害を受けた」と述べ、国防総省は使用していたすべてのRSAトークンの交換を余儀なくされたと付け加えた。

公聴会でアレクサンダー氏は、これらの攻撃の主犯格を、ますます頻繁になりつつある中国に漠然と帰した。ニューヨーク・タイムズ紙とセキュリティ企業マンディアントは後に、マンディアントがAPT1と名付けた中国の国家ハッカー集団に関する画期的な暴露記事を掲載することになる。この集団は上海郊外に拠点を置く人民解放軍61398部隊であると考えられていた。過去5年間で、この集団は米国、カナダ、韓国、台湾、ベトナムの政府、そして国連、そしてRSAなど、数十もの標的を攻撃してきた。

これらの報道が公表された後、ビル・デュアンはハッカーの本部である上海大同路沿いの12階建ての白い建物の写真を印刷し、オフィスのダーツボードに貼り付けた。

RSAに20年以上在籍した後、2015年に退職したデュアン氏に、RSAへの侵入が本当に終わったと考えたのはどの時点だったのか尋ねた。会社のネットワークの一部を遮断するという孤独な決断を下した翌朝だったのか？それとも、NSA、FBI、マンディアント、ノースロップが作業を終えて会社を去った時だったのか？「攻撃は決して終わっていないというのが私たちの見解でした」と彼は答えた。「攻撃者がバックドアを残していたこと、いつでも侵入できること、攻撃者がそのリソースを使って、侵入したい時に侵入できることは分かっていました。」

侵入事件への対応におけるデュアンの痛ましい経験は、彼に、そしておそらく私たち全員に、彼の言葉を借りれば「あらゆるネットワークは汚れている」ということを教えてくれた。今、彼は企業に対し、システムをセグメント化し、最も機密性の高いデータを隔離することで、ファイアウォールの内側に既に侵入している敵でさえも侵入できないようにすべきだと説いている。

トッド・リーサム氏は、過去6ヶ月間、SolarWindsの失態が繰り広げられる様子を、まるで既視感を覚えるかのように陰鬱な思いで見守ってきた。「誰もが衝撃を受けました。でも、今にして思えば、まあ、当たり前ですが、どこにでもあったんです」と彼はSolarWindsについて語る。10年前のSecurIDも同様だった。

リーサム氏は、RSAのサプライチェーン危機から得た教訓を、同僚のビル・デュエイン氏よりも鮮明に捉えている。「世界がいかに脆いかを垣間見た」と彼は言う。「竜巻警報が出ているのに、まるでトランプのトランプが崩壊したかのようだ」

SolarWindsは、この構造がいかに不安定であるかを実証したと彼は主張する。リーサム氏の見解では、セキュリティ業界は脅威モデルの外側に存在するものに盲目的に信頼を置き、敵対者が攻撃してくる可能性を全く想定していなかった。そしてまたしても、敵対者は家の土台を支えるカードを取り出したのだ。それは、堅固な地盤と勘違いされていたカードだった。

この記事についてのご意見をお聞かせください。 [email protected]までお手紙をお送りください。

WIREDのその他の素晴らしい記事

• 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
• アレシボ天文台は家族のようでした。私はそれを救うことができませんでした
• それは本当です。ビデオ会議では誰もがマルチタスクをこなしています
• これは麻酔を受けたあなたの脳です
• 最高の個人用安全装置、アプリ、アラーム
• ランサムウェアの危険な新手口：データの二重暗号化
• 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
• 🎮 WIRED Games: 最新のヒントやレビューなどを入手
• 🏃🏽‍♀️ 健康になるための最高のツールをお探しですか？ギアチームが選んだ最高のフィットネストラッカー、ランニングギア（シューズとソックスを含む）、最高のヘッドフォンをご覧ください