中国ハッカー、VPN大手イヴァンティの秘密バックドアで119社を侵害

119社。これは中国のハッカーが単一のバックドアを通じて侵入した組織の数である。Bloombergの新たな報道によると、この大規模な侵害は2021年2月に発覚したが、その背景には現代企業の構造的な問題が潜んでいる。

発覚した巧妙な侵入手法

ソフトウェア大手イヴァンティが発見したのは、同社子会社Pulse SecureのVPNソフトウェアに仕掛けられた秘密のバックドアだった。中国のハッカーはこの隠し扉を利用し、Pulse Secureの同じVPN製品を使用する119の組織に侵入していたのである。

被害を受けた組織の中には、欧州と米国の軍事関連企業も含まれていた。セキュリティ企業Mandiantはイヴァンティに対し、ハッカーがこの脆弱性を悪用して軍事関連企業に侵入していることを警告していたという。

プライベートエクイティがもたらした構造的脆弱性

今回の事件で注目すべきは、技術的な脆弱性そのものよりも、それを生み出した企業構造の変化である。2017年にプライベートエクイティ大手Clearlake Capital Groupがイヴァンティを買収した後、特に2022年に大規模な人員削減が実施された。

削減対象となったのは、製品とそのセキュリティについて深い知識を持つ従業員たちだった。Bloombergの報道によると、これらの買収、人員削減、コスト削減がイヴァンティの最も重要な技術の品質とセキュリティを損なう結果となったという。

同様の問題は、リモートアクセスツールの競合他社Citrixでも発生している。2022年にElliott Investment ManagementとVista Equity Partnersによる買収後、大規模な人員削減が実施され、近年サイバーセキュリティ事件と重大な脆弱性に悩まされている。

継続する脅威と政府の対応

イヴァンティのVPN製品は、その後も少なくとも2回の大規模攻撃の原因となっている。2024年初頭、米国のサイバーセキュリティ機関CISAは、イヴァンティが把握していない脆弱性をハッカーが積極的に悪用していたため、すべての連邦機関に対し2日以内にイヴァンティのVPN機器を切断するよう命令した。

昨年もイヴァンティは、ハッカーが同社のConnect Secure製品の別の重大な脆弱性を悪用して企業顧客をハッキングしていると顧客に警告している。

日本企業への示唆

日本企業の多くは、コロナ禍を機にリモートワーク環境の整備を急速に進めた。その際、VPNソリューションは重要なインフラとして導入された。しかし、今回の事件は、セキュリティソリューション自体が攻撃の入り口となりうることを示している。

特に注目すべきは、プライベートエクイティによる買収とコスト削減が、長期的なセキュリティリスクを生み出している点である。日本企業が海外のセキュリティベンダーを選定する際、財務的安定性だけでなく、技術者の継続性や研究開発への投資姿勢も重要な評価基準となるだろう。