サイバーセキュリティ侵害の話題が持ち上がると、世間ではソフトウェア・エンジニアではなくハッカーに注目が集まる。しかし、歴史は、最も壊滅的な侵害は、私たちが最も機密性の高いシステムを保護するために信頼しているコードの内部から発生することが多いことを示しています。ソースコードを見ることができず、それを構築した人々の完全性と出所を確認できなければ、バックドアがないことを確信することはできない。
クローズド・ソース・ソフトウェアは、その性質上、ベンダーだけでなく、そのコードベースに貢献したすべての個人に対する信頼が要求される。防衛、情報、金融、その他の規制産業などの分野では、もはや盲目的な信頼は許されない。重要なインフラに販売するクローズド・ソースのソフトウェア・ベンダーには、次のような厳しい政策が必要だ。 必須 開発者の誰もが、外国の諜報機関や防衛機関で、特にサイバーセキュリティの分野で働いたことがないことを証明すること。
これは被害妄想ではなく、パターン認識なのだ。影響力の大きいサイバー・スパイ活動の歴史には、洗練された行為者が、被害が出るまで事実上発見できない方法でバックドアを導入した例が散見される。
ケーススタディ1:NetScreen / ScreenOSバックドア(ジュニパーネットワークス)
2015年末、ジュニパーネットワークスは、同社のファイアウォール・オペレーティング・システム「ScreenOS」に不正なコードが挿入されていたことを明らかにした。これはずさんなバグではなかった。Dual_EC_DRBG乱数ジェネレーターに外科手術のような改造が施され、攻撃者はVPNトラフィックを自由に解読できるようになったのだ。
後にセキュリティ研究者たちは、このバックドアは非常に有能な諜報機関によって意図的に追加されたものであるというのが最も妥当な説明であると結論づけた。コードはクローズドソースであり、その侵害は何年も発見されなかった。
重要な収穫だ: クローズドソースのコードによって、配置の良いインサイダー(または元インサイダー)は、顧客が検出することが事実上不可能なコア暗号関数を変更することが可能になった。
ケーススタディ2:Solarigate / SolarWinds Orionの侵害
Solarigate」と名付けられた2020年のソーラーウィンズのサプライチェーン攻撃は、ステルスの傑作だった。攻撃者は、Orionネットワーク・モニタリング・プラットフォームのビルド・システムを侵害し、デジタル署名されたバックドアを埋め込み、正規のソフトウェア・アップデートの一部として配布した。米国国土安全保障省、複数の連邦政府機関、防衛請負業者を含む数千の顧客がこれをインストールした。
これはスクリプト・キディーのような作戦ではなく、通常のソフトウェアの動作に紛れ込むように設計された、高度な資金を必要とする国家による攻撃だった。Orionのコードベースは閉鎖され、ビルドプロセスは不透明で、挿入ポイントは信頼できる内部者によって制御されていた。
重要な収穫だ: オープンな監査がない場合、クローズド・ソース・ソフトウェアの完全性は、開発とビルド・チェーンにいる人々の信頼性と経歴に完全に依存する。
ケーススタディ3:JPモルガン・チェースのルートキット事件
2014年、JPモルガン・チェースは、8300万人以上の顧客の個人情報が盗まれるという、米国銀行史上最大規模の情報漏洩に見舞われた。調査の結果、攻撃者はルートキットレベルのアクセスを活用して制御を維持し、検知を回避することで、深いレベルの永続性を獲得していたことが明らかになりました。この攻撃には複数の段階と行為者が関与していたが、攻撃者がいったん低レベルのフックを埋め込むことができれば、データを操作し、トランザクションを傍受し、標準的なセキュリティ制御を回避できることが浮き彫りになった。
JPモルガンは、このルートキットがサプライチェーンからの侵入によるものか、内部犯行によるものかを公表していないが、この事件は、銀行インフラにおけるクローズド・ソースのコンポーネントが、ステルス的かつ執拗な改ざんの格好の標的であることを浮き彫りにした。
重要な収穫だ: 金融や規制産業では、クローズドソースのモジュールに隠されたたった一つのバックドアが、セキュリティ防御に投資された何十億ドルもの資金と、何年にもわたるコンプライアンス作業を台無しにする可能性がある。
パターンが明らかになった:
複数年の検出ラグ は、高度なSOCを持つ組織であっても一般的である。
環境の構築とサーバーの更新 は、国家行為者にとって格好の挿入ポイントである。
クローズドソースのコードが悪意のある変更を覆い隠す オープンソースの同等品よりもはるかに効果的だ。
価値の高い国家安全保障および金融システム は一貫してターゲットにされている。
政策ギャップ:開発者の起源は国家安全保障の問題である
暗号技術の厳格な輸出規制、敵対国からの通信機器の輸入制限、ハードウェアのサプライチェーンに対する認証制度がある。しかし、我々には 同等のセーフガードなし 重要インフラ用のクローズドソースのコードを書いたりコンパイルしたりする人間が、攻撃的なサイバー作戦で知られる外国の諜報機関によって訓練されたり、そのために働いたりしていないことを確認するためだ。
イスラエルの8200部隊、ロシアのGRUやSVRのサイバー部隊、中国のPLA61398部隊、その他世界中の攻撃的なサイバー部門は、オープンシステムとクローズドシステムの両方にバックドアを開発・配備してきた歴史が十分に文書化されている。もしベンダーがそのような経歴を持つ開発者を雇った場合、そのリスクを開示したり軽減したりすることなく、顧客は、検出不可能な脆弱性を挿入するよう明確に訓練された人物によって書かれたコードを信頼する可能性があることを知る由もない。
大胆な主張:認証なし、配備なし
防衛、情報、規制部門の重要インフラは、以下のようにすべきである。 ベンダーが拘束力のある証明書を提供しない限り、クローズド・ソース・ソフトウェアの導入を拒否する。 あれだ:
本製品に含まれるコードは、外国の諜報機関や防衛組織でサイバーセキュリティ、シグナルインテリジェンス、ネットワーク搾取の職務に就いたことのある者によって開発、コンパイル、レビューされたものではありません。
ベンダーは、クローズドソースのコードベースへの貢献者全員を対象に、継続的な身元調査を実施している。
このソフトウェアは、政府の許可を得た、米国を拠点とする独立したセキュリティ・ラボによって、定期的にバイナリ・レベルの完全性チェックを受けます。
これは排外主義や保護主義の問題ではなく、運用上の現実の問題なのだ。ジュニパーやソーラーウィンズ、その他無数の企業で起きたバックドア事件は、開発チェーンが国家安全保障上の攻撃対象であることを示している。我々はすでに、重要なサイトやハードウェアのサプライチェーンへの物理的なアクセスをロックダウンしている。
結論信頼は必要だが、証明は必要
現代のサイバー戦場では、防御と攻撃の境界線は薄く、世界最高のエンジニアの多くは両方の帽子をかぶっている。規制されていない消費者向けアプリの場合、おそらくそれは許容できるリスクだろう。核司令システム、防衛衛星、金融清算機関、航空交通管制を制御するソフトウェアの場合はどうだろう?そうではない。
クローズド・ソース・ソフトウェアはブラックボックスであり、ブラックボックスには非常に鋭いナイフが隠されている可能性があることは歴史が証明している。誰がコードを構築したかについて検証可能な保証を求めるまでは、すべての配備は盲信的な行為となる。重要インフラにとって、盲信はセキュリティ戦略ではない。