米ソーラーウィンズ(SolarWinds)は6月24日、サイバー攻撃によって同社の提供するネットワーク管理ソフトウェア「Orion Platform」にマルウェアが組み込まれたことで、同ソフトを利用していた米国政府機関や企業が情報流出などの被害を受けたことに関する調査結果を説明した。同社のティム・ブラウン・最高情報セキュリティ責任者(CISO)兼セキュリティ担当バイスプレジデントは「海外の国家的支援を受けた集団による、計画的な攻撃だった」と述べた。事件後は、自社のセキュリティ体制を強化したことも発表した。

 同社では事件発生後、米サイバーセキュリティ・インフラセキュリティ庁(CISA)やマイクロソフトなどと協力し調査を実施。最初の不正アクセスは2019年1月で、同年9月には同社製品の脆弱性を利用したサイバー攻撃を受けていたという。ブラウンCISOは、「9月の攻撃はテストコードを組み込まれたものであり、顧客に影響はなかった」と話した。その後、20年2月から6月にかけてネットワークに侵入口を作る役割を果たすマルウェア「SUNBURST」をOrion Platformに組み込まれた。作られた侵入口から「TEARDROP」「RAINDROP」などのマルウェアによる攻撃が行われ、情報流出につながったとしている。

 一連の攻撃について、同社のデイビッド・ガーディナー・CRO(最高収益責任者)は「約1000人のエンジニアがこの攻撃に関与したとマイクロソフトは推測している。このような前例のない大規模な攻撃を防御できる企業は世界中を探してもない」と振り返った。

 同社では事件後、「セキュアバイデザイン」をコンセプトに、開発環境をはじめとした社内のセキュリティ体制を再構築したという。「Orion Platformを含め安心して製品を利用してもらえる状態だ」(ガーディナーCRO)と述べた。

 なお、日本法人の代表取締役社長に5月10日付で、前パルスセキュアジャパン社長の脇本亜紀氏が就任した。国内の事業戦略は後日発表する予定だという。(岩田晃久)