情報流出の防止に重要な心理的安全性

他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、
攻撃者の目線でセキュリティ対策について考えます。

上野 宣 氏

株式会社トライコーダ 代表取締役 上野 宣 氏

奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。

第1回SKYSEA Client Viewの任意のコード実行可能な脆弱性

他社のシステムに侵入する仕事

『ペネトレーションテスト』というセキュリティのテスト手法をご存じでしょうか。攻撃者として依頼された企業への攻撃のゴールを設定し、それが達成されるかどうかを検証するというものです。

ゴールは依頼者と協議して設定しますが、例えば「マルウェアに感染した端末からのActive Directoryの管理者権限奪取」や「内部犯行による機密文書の外部への持ち出し」「その会社が提供しているサービスの本番系データベースからの情報奪取」などがあり、実際の攻撃者に狙われると困るものに目標を定めます。

セキュリティ対策に必要なのは「総合力」です。組織が自社や顧客の資産などを守るために必要なセキュリティ対策にはウイルス対策やファイアウォール、アクセス制御、暗号化、IT資産管理、従業員教育、物理セキュリティなどさまざまなものがあります。それらが総合的に機能することでセキュリティレベルは向上します。

個別の取り組みが確実に行われているかの確認や検証は行っているかもしれませんが、本来の目的である「資産を守る目的のために機能しているか?」については、確認できているでしょうか。

『ペネトレーションテスト』は攻撃者と同様の手法を使うことで、それらの対策が機能しているかを確かめる「セキュリティの総合力のテスト」です。

脆弱性を利用してシステムに侵入し、管理者権限を奪取したり、ソーシャルエンジニアリングで従業員をだましてマルウェアに感染させて遠隔操作する。さらに従業員の端末からファイルを盗んだり、オフィスに侵入して端末にUSBメモリを挿すなど使用する手法は何でもありです。

当社ではそういった『ペネトレーションテスト』を提供し、合法的に他社のシステムに侵入できるかを確かめることを1つの業務としています。そのため何かのセキュリティ対策を見ると「どのようにしたら破れるだろうか」とか「脆弱性はないか」「抜け道はないか」といったことを考えてしまうのが職業病のようになっています。

『SKYSEA Client View』をどう悪用しようか

以前から、タクシーの後部座席にしばしば流れる『SKYSEA Client View』のCMを見るたびに悪用を考えていました。

『SKYSEA Client View』はIT資産管理ツールですので、導入している会社であればほとんどの従業員の端末にエージェントソフトがインストールされているはずです。もし、『SKYSEA Client View』にセキュリティ上の問題があれば、それを利用して従業員の端末に不正アクセスを行うことができる可能性があります。

さらに、資産管理ツールというソフトウェアの性質上高い権限を必要としますので、もし脆弱性があるとシステム権限で不正アクセスが行われることになります。

『SKYSEA Client View』は過去にいくつかの重大な脆弱性を公表しています。この中で2016年12月に公開された『CVE-2016-7836』と記載がある脆弱性は、『SKYSEA Client View』がインストールされている端末にリモートからの攻撃によって「任意のコード実行が可能」になるというものです。

Sky株式会社の2017年3月のレポート(https://www.skygroup.jp/security-info/170308.html)によると、この脆弱性を利用した攻撃活動が観測されていたようです。

「任意のコード実行」は何が実行されるのか

何らかのソフトウェアの脆弱性が公開されると、その影響の解説文にしばしば「任意のコード実行が可能」という一文を見かけます。これは多くの場合、その脆弱性を持ったソフトウェアが動作している権限で他のプログラムが起動できるということです。ファイル一覧を表示する「dir」や「ls」のような単純なコマンドから、その端末にインストールされているあらゆるソフトウェアの起動まで行うことができます。

こういう脆弱性の場合、攻撃者がかなえたい願いは共通で「何でも実行できるプログラムを実行したい!」です。ランプの魔神に「かなえる願いの数を増やして!」と同様ですが、『シェルコード』と呼ばれるプログラムの実行でそれが実現します。

攻撃者は脆弱性を利用して『シェルコード』と呼ばれる、コマンドプロンプト(cmd.exe)やシェル(bashなど)のようなプログラムを端末に送り込んで実行します。実行されたシェルコードは攻撃者から遠隔操作できるようにネットワーク経由で接続を行います。それによって攻撃者は端末に対して自由に遠隔操作ができるようになるのです。

高い権限で動作しているソフトウェアにこのような攻撃が成立してしまうと、その端末で実行できない事項はほとんどありません。場合によっては、その端末経由でActive Directoryなどでつながっている他の端末への攻撃も容易になってしまいます。

セキュリティ対策ソフトにも脆弱性はある

これは何も『SKYSEA Client View』 にだけ起こる問題ではありません。どんなソフトウェアでも攻撃の対象になり得るのです。

セキュリティ対策ソフトといえど、1つのソフトウェアですので例外ではありません。ウイルス対策ソフト自体が不正アクセスされたり、侵入検知システム自体に侵入されたりといったことは起こります。セキュリティ対策ソフトも他のソフトウェアと同じように脆弱性や設定不備などによるセキュリティ上の問題から逃れることはできないのです。

このような事態に陥らないようにするためには、日頃の運用の中で脆弱性情報に注意し、アップデートが提供されたら早期に適用することが必要になります。

魔法のように何にでも効くセキュリティ対策ソフトは存在しません。何かを導入したからと言って、それだけで100%安心することはできません。以前から言われている基本的なセキュリティ対策を実施することを忘れないようにしましょう。

(「SKYSEA Client View NEWS vol.78」 2021年5月掲載)

情報誌『SKYSEA Client View NEWS』のご紹介
ページのトップへ
「SKYSEA Client View」導入相談カフェ「SKYSEA Client View」導入相談カフェ
「SKYSEA Client View」導入相談カフェ