米サイバーセキュリティベンダーのFireEye社は、他国によると思われるサイバー攻撃を受け、「高度に洗練された脅威アクター」によって社内のハッキングツールが盗まれたとした。

CEOのKevin Mandia氏はブログ記事に書いた中で、「サイバーセキュリティとインシデント対応に25年携わってきた私の経験から言って、当社が目撃したのは最高レベルの攻撃能力を持つ国家による攻撃だったと考えています」と述べている。氏は疑わしい国家やハッキンググループを名指しはしなかったが、FireEye社は米連邦捜査局（FBI）やMicrosoft社と協力した調査を準備していると補足した。

FireEye社が侵害を開示した前日には、ロシア国家が支援するハッカーたちによって国家安全保障システムや国防総省で使用されているVMware製品のバグが盛んに悪用されていると米国国家安全保障局が警告していた。

FireEye社への攻撃では、Mandia氏によれば同社やパートナー企業がこれまで見たこともないハッキング手法が複数組み合わせて使われていたという。

「今回の攻撃は、当社が長年にわたって対応してきた数万件のインシデントとは違っていました」と氏は書いている。「攻撃者たちは、自分たちが持つワールドクラスの能力を、明確にFireEyeを標的にした攻撃に向けて調整しました。彼らは運用上のセキュリティについて高度なトレーニングを受けており、規律と集中力を持って実行しています。セキュリティツールやフォレンジック検査に対抗する手段を用いて秘密裏に活動していました」

盗まれたものにゼロデイ脆弱性はなし

FireEye社は、この国家が標的とし、盗んだのは、同社が顧客のセキュリティをテストするのに使用する「Red Team」ツール群だったと突き止めた。Mandia氏によると、いずれのツールにもゼロデイ脆弱性は含まれていないという。

「攻撃者が当社のRed Teamツールを使うつもりなのか、公開するつもりなのかはわかりません」と氏は書いている。「とはいえ、十分な注意を払い、これらのツールが盗難されたことで起こりうる影響を最小限に抑えるため、当社のお客様やコミュニティ全体で取ることのできる300以上の対応策を開発しました」

同社は既に自社のセキュリティ製品にこうした対策を実装しており、他のプロバイダーがセキュリティツールをアップデートできるよう、セキュリティセクターで広く対策を共有した。さらに、GitHub上で対策を公開している。

また、攻撃者はFireEye社の社内システムの一部にアクセスすることに成功したものの、この攻撃で顧客情報が盗まれた形跡はないとMandia氏は言う。

FireEye社の顧客には政府機関以外にも、防衛関連企業やEquifax社、Vodafone社、Infosys社などの大手企業がある。

FireEye社を攻撃したのはロシアか

FireEye社はどの国に攻撃の責任があると考えているのか明らかにしなかったが、New York Times紙などの一部の報道機関はFBIがこの件をロシアの専門家チームに引き渡したと報じている。

米調査会社Gartner Research社のVP、Peter Firstbrook氏は、「ロシアは十分あり得ます」と話す。「中国や北朝鮮の可能性もあります。いずれも非常に優れた国家アクターです。この3国はいずれも、FireEye社の政府・防衛関係の顧客から情報を盗むことに強い関心を持っているでしょう」と氏は補足した。

Firstbrook氏によると、攻撃者が未知の技術や戦術を使ってFireEye社に侵入したことを考えると、同社は通常のネットワーク動作を捕捉するテレメトリによって攻撃を検知した可能性が高いという。

「良いニュースは、このことが分かった今、再び成功裡に攻撃を仕掛けることは非常に困難だということです」と氏は言う。「FireEye社はすでにこの情報を他の防御者たち全員と共有しているので、次の攻撃ではまた誰も見たことがないような全く新しいテクニックを考え出さなければなりません。つまり、良いニュースは、このテクニックはもう通用しないということです。悪いニュースは 初回は上手くいってしまったことです」

米セキュリティ大手のFireEye社、「高度に洗練された」国家レベルの攻撃を受ける