情報流出の防止に重要な心理的安全性

他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、
攻撃者の目線でセキュリティ対策について考えます。

上野 宣 氏

株式会社トライコーダ 代表取締役 上野 宣 氏

奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。

第2回リモートデスクトップやVNCなどのリモートアクセスを利用した侵入

どこからでもデスクトップにアクセスできて便利なリモートアクセスツール

昨今進んだリモートワークで一気に普及したものの1つとして「リモートアクセス」が挙げられます。自宅や外出先などからインターネットを介して会社のPCやサーバーなどに接続することで、リモートワーク中でもオフィスにいるのと同じように業務を行うことができます。リモートアクセスが実現できるツールにはいくつかのタイプがありますが、普段使っているデスクトップPCの環境にアクセスすることができる「リモートデスクトップ」に注目してみましょう。

リモートデスクトップツールを使うと、WindowsやMacなどのコンピューターからはもちろん、タブレット端末などを使用してリモートで普段使用しているデスクトップPCに接続して画面操作などを行うことができます。Windowsに標準で用意されているマイクロソフト社の『リモートデスクトップ』や、Linuxなどでよく使われる『VNC(Virtual Network Computing)』といったツールは一般的にもよく利用されますが、社内ネットワークにつながった端末にログインするためにはVPNなどを経由してアクセスができるようにネットワークを構成する必要があります。

それに対し、ネットワークの構成変更や機器追加などを必要としないタイプのリモートデスクトップツールもあり、Googleの『Chrome リモート デスクトップ』はインターネットを介して使用することができます。また『TeamViewer』のようにアプリケーションをインストールするだけで、インターネットを経由して社内のPCなどにリモートでアクセスできるタイプもあります。

生産性を上げるのに便利なリモートデスクトップツールですが、攻撃者はどのように悪用するのでしょうか。

水道水の水酸化ナトリウム含有量が100倍になった原因は、リモートアクセスツール経由の
不正アクセス

2021年2月、アメリカ・フロリダ州西部オールズマー市の水処理施設の制御システムに攻撃者が侵入。水道水に加える水酸化ナトリウム(苛性ソーダ)の含有量を、通常の100ppmから100倍以上の1万1100ppmに不正に増やしたという事件が話題になりました。水酸化ナトリウムは水処理施設でpH調整剤や水道管の腐食防止目的で一般的に使用されるものですが、大量に摂取すると呼吸困難などの症状を引き起こすこともあります。

この攻撃を許した原因となったのが、リモートアクセスツールの『TeamViewer』でした。水処理施設では遠隔操作などを行う目的で導入されていて、良くないことに職員間でリモート接続に使うパスワードが共有されていました。さらにこのシステムは、インターネット経由でアクセス可能なところに置かれていたようです。

攻撃者はアクセスに必要なIDとパスワードを何らかの方法で入手したか、パスワードなどを推測することで侵入に成功しました。その結果として『TeamViewer』経由で水処理施設の制御システムにアクセスすることができ、水酸化ナトリウム含有量の設定を変更するに至ったとのことです。

事件自体は不正操作された際、すぐに職員が気づくことができたため、その場で水酸化ナトリウムの設定を元に戻し事なきを得ています。その後はリモートアクセスできないように設定を見直したとのことです。

リモートアクセスツールは便利で危険な諸刃の剣

この事件は『TeamViewer』というツール自体に問題があったのでしょうか?そうではありません。

『TeamViewer』には安全にリモートアクセスを提供するためにさまざまなセキュリティ機能があります。接続のたびにランダムに生成されたパスワードを要求する機能やスマートフォンアプリなどを使用した二要素認証などが設定できるので、この事件の場合、IDとパスワードだけでも不正アクセスできないように制限することができたのです。

しかし、この水処理施設のシステムではIDとパスワードによる侵入が成功していることから、それらの機能は無効化されていたのではないかと推測します。

世の中にあるセキュリティ対策の多くは利便性を下げてしまうものも多く、セキュリティレベル向上の必要性を理解していない人たちにとっては単に面倒な仕組みに過ぎません。せっかくセキュリティを向上する機能があったとしても、無効化して楽に使えるような方法を考えることでしょう。

おそらくこの施設でも、職員が簡単にリモートアクセスできる利便性を優先して、毎回異なるパスワードを入力することや二要素認証、VPN接続などのセキュリティ対策が省かれていたのではないでしょうか。

リモートアクセスツールはとても便利なツールですが、デスクトップPCにアクセスできる絶大な権限を持っているので、私はペネトレーションテストではリモートデスクトップやVNC経由で何とか侵入できないかということを常に考えています。

ネットワークをスキャンしてリモートデスクトップのサービスが動いていないかを探したり、侵入したユーザーのPCなどにリモートデスクトップのショートカットがないかなど常に目を光らせています。

誰かがログインできるならば、攻撃者もログインできる可能性がある

当たり前のことですが、どれだけセキュリティレベルを高めたシステムであっても、正規の利用者はそのシステムにアクセスすることができます。そして攻撃者はそのシステムにアクセスするために、正規の利用者と同じ情報を手に入れて不正アクセスを行ったり、正規の利用者をだまして罠にはめることによって権限や情報を手に入れることを考えています。

正規ユーザーがログインできて攻撃者ができないようにするためには、攻撃者が「正規ユーザーと同じ情報や条件を容易にそろえられないようにする」必要があります。

IDとパスワードによるセキュリティだけではなく、スマートフォンアプリを用いた二要素認証を利用したり、特定のIPアドレスからしかアクセスできないように制限するなどすれば、それらの条件を攻撃者がすべてそろえることは困難になってきます。

どれだけ正規ユーザーと同じ条件をそろえるのを難しくするのか?ということがセキュリティ対策になるのです。ITシステムは利便性を高めるために利用されていますが、利便性を高めすぎるとセキュリティがおろそかになることもありますのでご注意ください。

(「SKYSEA Client View NEWS vol.79」 2021年8月掲載)

情報誌『SKYSEA Client View NEWS』のご紹介
ページのトップへ
「SKYSEA Client View」導入相談カフェ「SKYSEA Client View」導入相談カフェ
「SKYSEA Client View」導入相談カフェ