海の向こうの“セキュリティ”

　6月は、AnonymousやLulzSecらによるサイバー攻撃とそれに関連した出来事が連日のように報道された1カ月でしたが、今回はそういった攻撃の対象となる（こともあるかもしれない）側に関する、ある調査結果について紹介します。

　6月15日、西オーストラリア州会計検査院による州政府機関に対するセキュリティ監査報告が公開されました。

■URL
　Western Australian Auditor General's Report
　Information Systems Audit Report
　http://www.audit.wa.gov.au/reports/pdfreports/report2011_04.pdf
　Office of the Auditor General
　Report to Parliament 2011
　http://www.audit.wa.gov.au/report2011.php

Information Systems Audit Report

　この報告書に書かれている監査内容そのものは「セキュリティをやっている」人間にとっては当たり前の内容で特に目新しいものがあるわけではありません。また、西オーストラリア州政府機関という極めて限定的な対象に対する監査結果が「世の中」をそのまま反映しているわけでもありません。

　しかし、この監査結果の中には一般的な政府機関、さらに言えば、一般的な企業でもそのまま「あるある」と思えるポイントがあるのです。そこで今回はそのような普遍性のあるポイントを中心に紹介します。

　この監査は、州政府の15の機関に対して、1）インターネット経由の外部からの攻撃、2）ソーシャルエンジニアリングによる内部からの攻撃――という2パターンの攻撃を実際に行ない、それを当該機関が「検知」し、適切に「対応」できるかどうかを試したもの。

　今回、監査対象として選ばれたのは、以下の15の機関です。

・Department of the Attorney General
・Department of Education
・Department of Health
・Department of Mines and Petroleum
・Department of Transport
・Fremantle Port Authority
・Gold Corporation
・Landgate
・Legal Aid
・Lotterywest
・Main Roads
・Servicenet（多くの機関にインターネット接続やウェブホスティングを提供している）
・Synergy
・Water Corporation
・Western Power

1）外部からの攻撃

　これはエディス・コーワン大学のセキュリティ研究センターに依頼して行なわれました。ただし、実際に攻撃するのは対象機関の主要サービス「以外」のものに限定してあります。

　攻撃はまず対象機関のウェブサーバーなどに対するスキャン（プローブ）から始めます。これには誰でも自由にインターネットからダウンロードして使うことが出来る（平凡な）ツールを使います。また、DoSにならない程度に抑えつつ、検知されやすいように意図的にしつこく繰り返し実行しました。

　次にこのスキャンによって分かった攻撃可能な既知の脆弱性を使って実際に侵入します。ただし、これは3つの機関に対してのみ実行されました。

　いずれも手法としてはオーソドックスなもので十分に検知可能なものに「あえて」してあります。しかし、結果は惨憺たるものでした。

　まずスキャンに関しては15の機関のうち検知できたのは1つだけ。他の14機関は全く検知できなかったのです。

　中には数百万回にも及ぶ「ブルートフォース攻撃」を仕掛け、攻撃対象となったネットワークのパフォーマンスを（DoSにならない程度に）著しく落としたにもかかわらず、検知されなかったケースもありました。

　また、すべての対象機関において、スキャンによって得られる情報が多かったという点も問題点として挙げられます。OS名とそのバージョン、ファイアウォールの種類、使われているソフトウェアなどが簡単に分かってしまう状態だったのです。

　次に3つの機関に対して行なわれた侵入はすべて成功。しかも全く検知されませんでした。さらに深刻なのは、スキャンによって得られた情報から精緻な分析をすることなく容易に侵入できてしまったこと。

　ある機関では、LAN内のデータベースに対するユーザー名とパスワードをいくつか入手できました。また別の機関ではクレジットカード情報のやり取りを傍受することができ、それによりウェブ管理システムのログイン画面にアクセスできました。さらにもう1つの機関では、LAN内のネットワークフォルダーにアクセスし、情報の閲覧・複製ができる権限を手に入れました。

　今回は3つの機関だけに限定して行なわれましたが、その容易さから他の機関に対しても同様に成功した可能性は高いとみられます。

2）内部からの攻撃

　出所不明のUSBメモリを不用意にPCに挿したりしないかどうかを試しました。

　まず、対象となる15機関のうち、12の機関のパブリックエリア（受付やカフェテリアなど）と残り3つの機関の内部の者以外が入らないエリアに、合計25個のUSBメモリを置いておきます。

　これらのUSBメモリには自動実行のマルウェアは仕込まれていませんが、中にあるファイルを読むとそこにプログラムの実行を促すメッセージが書かれており、その指示にしたがってプログラムを実行すると、ネットワーク情報をインターネット越しに送信する仕組みになっています。それ以外の動作はしません。

　プログラムは隠されていませんし、最低限のリテラシーがあれば、今の時代にこんな単純な「罠」に引っかかる者などいないと思うのですが、驚くことに8つの機関でUSBメモリを挿し、プログラムを実行してしまった者がいたのです。

　ちなみに他の行動としては以下の通り。

・3つの機関で単なる「落とし物」として届け出
・自宅に持ち帰って自宅のPCに接続

　上記の結果から明らかなように、今回の監査対象となった15の機関はいずれも「十分に適切」な状態とは言えないものでした。

　特に多くの機関が「間違ったセキュリティ（false sense of security）」を実施していることが問題として挙げられています。例えば、ほぼすべての機関が今回の監査の前に9000ドルから7万5000ドルもの費用をかけて有償の侵入テストを受けており、中には年に4回もテストを受けていた機関もあったのです。

　つまり、自分たちは十分に「セキュリティを実行している」と完全に思っていたわけですが、それらがほとんど何の意味もなしていなかったことが今回の監査で明らかになったのです。

　もしかすると、侵入テストは主要サービスのシステムに対してのみ行われていたのかもしれません。そのため、今回のような意図的に主要サービス以外のシステムを狙った攻撃に対しては無防備だったのだと（好意的に解釈すれば）考えられなくもありません。

　「お粗末」と言ってしまえばそれまでですが、主要システムへの侵入テストさえクリアすればOKという感覚は、日本の企業や組織にもあるのではないでしょうか。

　また今回の監査結果は、一時的または限定的な「テスト」ではなく、日常的な運用の重要性を改めて示しているとも言えます。今回行なわれた外部からの攻撃は、常にサーバーのアクセスログなどをチェックし、異常（または予兆）を検知する仕組み（システム、体制）さえあれば十分に防ぐことができたはず。もちろん、既知の脆弱性を塞いでおくことが第一であることは言うまでもありませんが、実際、多くのインシデント（またはその予兆）はこのような日々の運用の中で見つかっているのです。

　さらに、今回の監査では対象機関のうち12の機関で職員に対する啓発教育を行なっていなかったことも分かりました。今回の例で言えば、USBメモリの危険性という今の時代の基本中の基本すら知らない職員がいたことは、その職員個人の責任もありますが、それ以上に「内部の人間の無知が招くリスク」を認識できなかった組織の責任でしょう。

　ところで、この報告書で「面白い」と感じたのは、監査対象となった組織、今回に関して言えば「ダメ出し」された組織からのコメントも掲載されている点。

　もちろん、ダメ出しに対する言い訳はなく、「指摘された点を改善します」という内容でしかないのですが、少なくとも改善を公的に約束したとも言えますし、また逆にコメントを寄せなかった3つの機関

・Gold Corporation
・Water Corporation
・Western Power

が、今回の監査結果をどう捉えているのかも興味深いところです。ちょっと意地の悪い見方ですかね（苦笑）。

■URL
　ISC Diary（2011年6月20日付記事）
　Log files - are you reviewing yours?
　http://isc.sans.org/diary.html?storyid=11068
　ISC Diary（2011年6月21日付記事）
　Australian government security audit report shows tough love to agencies
　http://isc.sans.org/diary.html?storyid=11074