ハッカーがDHSに侵入、警報は2度「誤検知」と判断されていた


  • DHS内部の調査結果によると、アナリストはHSIN情報共有ネットワークへの侵入警報を2度にわたり誤検知として片付けていました
  • これにより、2026年6月4日に侵害が確認されるまで、ハッカーはおよそ3週間にわたって検知されずにアクセスを続けられる状況となっていました
  • 身元が特定されていない攻撃者は、サーバーファイルを改変し、正規のWebサーバープログラムを通じて悪意のあるコードを実行し、ログを削除し、バックドアを設置し、認証情報ファイルを窃取しました

ハッカーは、米国国土安全保障省(DHS)の主要な情報共有プラットフォームへの侵入に成功し、複数の米政府機関や国際的な関係者が利用する非機密情報をホストするHSINネットワークへの制約のないアクセス権を得ていました。

この侵入により、攻撃者はサーバーファイルを改変し、悪意のあるコードを実行し、認証情報ファイルを窃取できただけでなく、バックドアを設置し、デジタル上の足跡を消すためにログを削除することも可能になっていました。

攻撃者の動きは2026年5月に自動検知システムとアナリストによって2度検知されていましたが、いずれも誤検知として片付けられ、その1カ月後になってようやく実際の侵害が確認されました。

悪いタイミングと不十分なセキュリティ対応が重なった結果

この侵入のタイミングと詳細は、米政府にとって特に気まずいものとなりかねない内容です。

HSINネットワークは、FIFAワールドカップの期間中、国内および国際的なパートナーにとって重要な情報共有ツールとして機能しているだけでなく、America250のような他の主要イベントに関する情報もホストしています。

この侵入が1度だけでなく2度も検知フラグが立てられたにもかかわらず、いずれも誤検知として片付けられたという事実は、能力面での懸念を浮き上がらせています。この件は既に注目を集めており、下院国土安全保障委員会のスタッフは既に侵入に関する説明を要求しています。

DHS側はこの問題を軽視する姿勢を見せており、広報担当者は事案の発生を認めたものの、その範囲を狭く定義しています。DHSは「特定の非機密のレガシー情報共有環境に関わる最近のサイバー事案を認識している」としており、機密ネットワークが影響を受けたことを示す兆候はないと述べています。

この見解には反論も出ています。上院情報委員会の副委員長マーク・ワーナー氏は、このプラットフォームの機密性の高さは分類レベルを超えていると主張し、HSINに含まれる情報は「非機密ではあるものの、機微性が非常に高く、その流出は国家安全保障を危険にさらす」と述べています。

調査当局は特定のハッカー集団や組織を特定するにも、責任を帰するにも至っておらず、動機の判断はさらに混乱を極めています。ハッカーがサーバー上のログを削除していることも、この混乱に拍車をかけています。

重大な影響

おそらく重要なのは、侵害がどのように起きたかではなく、混乱と誤った状況判断によって、当初から適切に対処されていれば済んだはずの問題が、なぜこれほど大きな事態に発展してしまったのかという点です。5月15日という早い段階でセキュリティフラグとアナリストが侵害を指摘していたにもかかわらず、最初の報告が誤検知として片付けられたことで、ハッカーは少なくとも6月3日まで事実上自由に活動できる状態が続いていました。

プラットフォームとしてのHSINは、イベントのセキュリティ計画、省庁間の連携、脅威情報、要注意人物に関する詳細などを取り扱っています。こうした情報が実際にコピーされたかどうかは、現時点では不明です。何が、そもそも何かが流出したのかについて調査当局はまだ特定していませんが、認証情報ファイルが窃取されたという事実自体が示唆に富んでいます。認証情報を窃取する攻撃者は、ほぼ間違いなく、最初の侵入拠点を超えたシステムやアカウントへの到達を狙っているものです。

HSINが侵害されたのは今回が初めてではありません。過去にも2件の事例が確認されており、2009年のアカウント侵害や2023年のアクセス設定ミスなど、意図的・非意図的な侵害がこのネットワークで発生してきました。

この問題をさらに悪化させているのが、DHSとそのサイバーセキュリティ機関であるCISAが過去1年間で大幅な人員削減を受けているという事実です。これにより、正しく作動したフラグ(意図どおりに機能していた)があったとしても、それを検知するために人手による介入や監督を必要とする巧妙な攻撃への防御力が弱まっている可能性があります。

こうした人員不足は米議会でも政治的な対立を招いており、DHSが今後数日以内にこの侵入についてより詳細な情報を提供する際にも改めて注目される可能性があります。折しも国防総省も、独自の運用セキュリティ(OPSEC)上の問題を抱えており、同じ議会の場で取り上げられています

出典: DefenseOne



翻訳元: https://www.techradar.com/pro/security/hackers-breached-dhs-after-alarms-were-twice-ruled-false-positives

ソース: techradar.com