攻撃は、国家が支援するサイバー攻撃が政府や企業にとって常に脅威であることを浮き彫りにしている。
英国のニュース雑誌「The Spectator」によると、中国が支援するサイバー攻撃は非常に深刻で、一時はデータハブ全体を破壊する案が提案されたという。この攻撃で英国政府の機密データにアクセスされたことは、英国のITインフラに対する継続的な脅威の一例に過ぎないと同誌は指摘している。
この侵害は、英国だけでなく、世界中の政府や組織が直面しているリスクの一例に過ぎない。
Bloombergによると、元上級セキュリティ担当者2名や事情に詳しい政府関係者が、中国は少なくとも10年間、英国政府のサーバー上の低・中レベルの機密情報に常習的にアクセスしていたことを明らかにした。これには「official-sensitive」や「secret」とマークされた情報、さらには政府のセキュアなITネットワーク上の一部の資料も含まれていたが、「top secret」に指定された情報は漏洩しなかったという。
中国による英国インフラへの脅威は、英国人2名が中国当局に秘密文書を渡したとされる裁判の崩壊を受け、現在政府の最重要課題となっている。
機密政府情報がやり取りされていたデータハブへの攻撃は、その管理会社が中国企業に売却されたことに端を発している。データハブの破壊も検討されたが、政府はBloombergによると、データを保護する別の方法を見つけたという。しかし、この侵害は当時の英国首相ボリス・ジョンソンが中国によるデジタル監視やサイバー攻撃などの脅威に関する報告書を作成させるほど深刻だった。その報告書は公開されず、The Spectatorによれば、データハブへの攻撃の技術的詳細も機密扱いのままである。
データハブ攻撃は「特に重大」
データハブへの攻撃は特に重大視されている。ソフトウェア企業ESETのグローバルサイバーセキュリティアドバイザーであるジェイク・ムーア氏は「大臣らが、中国系企業に売却された後、機密政府データを保有するデータハブの破壊を検討した事実は、英国が重要インフラの管理をいかに重視しているかを示している。物理的にサイトを破壊すればサービスは停止し、フォレンジック証拠も消えるが、国家資産の外国支配への懸念の深さを浮き彫りにしている」と述べた。
英国政府の重要ネットワークインフラのサプライヤーであるBridewellのサイバー脅威インテリジェンスリード、ギャビン・ナップ氏もこの対応の深刻さを認めている。同氏は「デバイスが侵害された場合、痕跡や未発見のバックドアが残っていないと本当に確信する唯一の方法は、資産を既知の良好な状態に戻すことだ。特にデータセンターのような物理的な領域では、脅威アクターやスパイの存在が残っていないかを確認するのははるかに難しい。国家機密レベルでは、リスクを処理・排除するために膨大な労力とコストが必要になる」と述べた。
データハブがどのように侵害されたかは明らかではないが、BridewellのCTOであるマーティン・ライリー氏は「中国系アクターによく見られるように、主な侵入経路はVPNだった可能性が高いが、すでに環境内を移動し権限を昇格させていた場合、影響はさらに広がる」と述べている。
ライリー氏は、政府が「別の方法でデータを保護した」と発表した際、おそらく「インシデント対応を行い、侵害の範囲や初期アクセス経路を把握した後、脆弱性を修正した」のだろうと指摘した。
組織はサプライチェーンを無視できない
国家支援の攻撃者による絶え間ない脅威があるため、あらゆる組織が常に警戒を怠ってはならないとナップ氏は述べ、「政府のCISOは、特に国家と関係する高度持続的脅威(APT)から既に標的にされていると想定すべきだ。これらのグループは、妨害よりもステルス性や長期的なアクセスを重視するため、検知が難しい。これは、組織が内部脅威をどれだけ検知できているか、エッジデバイスでの侵害をどれだけ追跡できているか、特にベンダーがハードウェアを管理している場合、フォレンジックがより複雑になるという重要な課題を提起する」と語った。
ナップ氏は、サプライチェーンを無視して政府インフラのセキュリティを高めても不十分だと警告した。「最も安全なネットワークでも、攻撃者がユーザー、契約業者、サードパーティシステムを悪用して足がかりを得れば侵害される。彼らはしばしばエッジデバイスを侵害したり、設定ミスを突いて環境内を横移動する」と述べた。
「国家支援の攻撃者は長期戦を仕掛け、重要なネットワーク内に何カ月、何年も潜伏することを忘れてはならない」と同氏は語る。「オペレーショナル・リレーボックス(ORB)のような手法を使い、活動を隠し、エンドポイント検知ツールを回避することで、追跡を極めて困難にしている。」
