セキュリティ・インシデントは社会の影響を受けることは良く知られている。例えば米国の前大統領が戦争を始めた際には,反戦・反米を訴えたWeb改ざんが相次いだ。日本では,小泉元首相が靖国参拝した際に日本へのサイバー攻撃が懸念された。このように実社会の影響はネット社会においても無関係ではない。
同様に,セキュリティには「季節もの」も存在する。セキュリティ事故の多くは「人」に依存するため,組織の変更や人の入れ替わり,長期休暇といった変化に乗じて攻撃を仕掛けやすいためである。4月という時期でもあり,今回は,「人に依存した季節もののセキュリティ・インシデント」について紹介しよう。
一般に人に動きのある代表的な月として次のイベントが挙げられる。これらの時期は,人の動きに併せて社内システムなどのITにも影響がある。
3月 人事異動,卒業式 → 引き継ぎ,ユーザ削除など
4月 入社式,入学式 → 新規ユーザの作成,新システムの導入など
7月,8月はお盆休みや夏休み → 社内システムの停止など
9月 人事異動 → ユーザ情報の変更など
12月 クリスマス,冬休み → 社内システムの停止など
ケース1 別れの季節 - データ持ち出し
"組織を去る者"のセキュリティ・トラブルが多いことは以前から指摘されている。筆者の知っている例の中でも,データ破壊やバックドアを残すなどひどい例がある。組織としてまず最初に対策を講じておきたいのは機密情報の不正持ち出しだ。どの組織にも部外者が所持していては困るデータの一つや二つはあるだろう。
実際,退職後に前職の案件成果物を転売しているケースは少なくない。その際に持ち出す対象として,しばしば問題視されるものには次のようなものがある。
・企業の業務ノウハウ
・プログラムのソースコード
・本物の業務データ(プログラムのテスト用として利用している場合)
・顧客リスト
以前は外部記憶媒体を利用しての持ち出しが一般的だった。しかし,多くの組織が外部記憶媒体の利用を制限するようになったため,最近はインターネットを介してデータを一時保管する方法がメジャーになった。ファイル・バンクなどは100Gバイトまで保管できる。
これらのデータ転送や一時保管の可能性を調査する場合,プロキシ・サーバーを設置し,Webサイトへのリクエストのログを記録,分析するのが一般的である。ただプロキシ・サーバーを設置するとなると,ネットワーク環境を変更しなければならない。このハードルは,大きな組織になるほど高い。そこで効果がありそうなのが,簡易的なネットワーク・フォレンジックである。
ネットワーク・フォレンジックというと高価なアプライアンスやソフトウエアを想像するかもしれないが,多くを求めなければ別の手立てがある。例えば簡易パケット・キャプチャ・ソフトを使って作成したpcapファイルを,オープンソースのフォレンジック・ツール「Xplico」でデコード処理する(図1)。詳細な解析はできないが,データ転送の利用を確認するレベルの解析なら,この程度で十分だろう。
意図せずに企業資産を持ち出しているケースがあることも覚えておきたい。以前,コンピュータソフトウェア著作権協会(ACCS)の著作権勉強会に参加したところ,「自分が趣味で作ったものでも,業務で利用していると,法人著作物に該当することがある」ということだった。退社する際には,その後も別の社員が利用できる状態にしておくことが大切だ。
法人著作については,解釈が難しい。プログラムが法人著作物と認められるには,いくつかの条件がそろっている必要がある。その一つに,「法人等の発意」がある。具体的に会社側から作成の指示,あるいは承諾がある場合,会社側の発意があったとみなされる。ただ,「発意は間接的なものでもよく,法人の具体的な指示あるいは承諾がなくても,従事者の業務遂行上,当該著作物の作成が予期される場合には,この要件を満たす」とする考え方もある。
ケース2 出会いの季節 - 情報の書き込み
4月といえば,新入社員,新入生など新しい仲間が入ってくる時期だ。これらのユーザーの多くは,セキュリティ教育が十分とは言えない。そこで発生する問題の事例としてボット感染が取り上げられる。そして,それ以上に厄介なのが,社内情報の書き込みではないだろうか。
現在,ネット上には凄まじい数の企業に関する書き込みがある。2ちゃんねるをはじめ,SNS(social networking services)のコミュニティ,ブログなど様々で,中にはインサイダーによるものと思われる情報が少なくない。たちが悪いものになると,社内の出来事をほぼリアルタイムに書き込むケースさえある。重要会議の内容が数分後にはネット上に公開される。ここで悩ましいのが,ユーザーによっては情報漏えいになるという意識なく書き込んでいることだ。情報リテラシが高くないユーザーが,どの情報が機密であるかを判断できずにネットを利用していることが原因である。
彼らに悪意は無く,いつも通りに無邪気に記事を投稿しているだけだ。それだけに,この無意識の行為を辞めさせることは非常に難しい。ただ,最近は悪質な書き込みに対して逮捕者が出ている。組織としては,悪意の有無に関係なく不適切なネットへの書き込みを意識し,万一の場合に備えておく必要がある。対策としてどこまで有効かは分からないが,セキュリティ・ポリシーや誓約書などにより,これらの行為に対してある程度強制力のある罰則を設けるのも一つの手だろう。
ケース3 システムの入れ替え時期 - データ復旧中の事故
人事関連のイベント時には,ユーザー情報の登録作業やシステムの増設・入れ替えを伴うことが多い。気を付けたいのは,バックアップからデータを復旧させるときや,ソフトウエアをインストールするとき。作業中にウイルスに感染してしまう危険がある。
例えば,システムやデータの復旧を急ぐあまり,外部記憶媒体をシステムの起動中に接続したり,接続したままにするなどしていないだろうか。実はここに見落としがちな点がある。OSが起動するタイミングとソフトウエアが実行されるまでの隙間の時間だ。図2で次の時刻を確認してほしい。
(1)OSが起動した時刻
(2)悪性プログラムのプロセスが作成された時刻
(3)ウイルス対策ソフトが起動した時刻
(1)の直後に(2)のプロセスが作成され,その後に(3)が起動していることが分かる。つまりセキュリティ対策が施されているにもかかわらず,そのセキュリティ対策ソフトが実行される前に感染してしまったのだ。この事象はウイルス対策ソフトのほかに,端末監視ソフトなどでよく見られる。ちょうど最近は外部記憶媒体経由で感染するDownadupワームが猛威を振るっているため注意してほしい。システム復旧やデータコピー操作の際には,各操作・動作を確認しながら実施することが重要だ。
ほかにも,「ドメイン管理下で一時的に管理を外れた間」や「一時的にいつもと異なるネットワークへの接続」のように,想定外の操作や,セキュリティ対策などの管理が一瞬途切れる場面は考えられる。季節ものインシデントに限らずセキュリティ・インシデントの多くは人に依存している。その多くはほんの僅かに発生する"無防備"な時間で発生する。この際に発生する事故を完全に防ぐことは困難である。しかし,発生するタイミングを意識することで万一の発生時にもダメージを軽減することができる。
ラック コンピュータセキュリティ研究所 所長
