初めての投稿になります。山崎です。

11月9日、10日の2日に亘って開催されたIT技術に関わるセキュリティカンファレンス「CODE BLUE Tokyo」に参加して参りました。

CODE BLUE Tokyoでは22個のテーマの講演が行われ、各テーマの内容は、ソフトウェア、Web、組み込み機器、ICカードなど多岐にわたり、視点も攻撃と防御という視点だけでなく、ハッキングを用いて既存の製品を発展させようという話など、一口にセキュリティといっても非常に幅広い分野の話を聞くことができました。

当然ではありますが、どのテーマにおいてもコンピュータやセキュリティに関して、ある程度の知識がある前提での講演でしたので、実践的な内容は、理解をすることが難しく、知識不足を痛感しました。そういった中でも特に興味をひかれた2つの講演についてご報告します。

 

「国産IT資産管理ソフトウェアのセキュリティ」

1つ目は西村宗晃氏による「国産IT資産管理ソフトウェアのセキュリティ」というテーマの講演です。
まず、「IT資産管理ソフトウェア」とは、管理用コンソール、管理機となるサーバー、社員PCをイントラネットで接続し、管理用コンソールから管理機を通して社員PCのソフトウェアの管理や、通信履歴の閲覧、ファイルの遠隔配布・実行などを行うことができ、業務の効率化を行うことができるソフトウェアのことをいいます。
本講演では、このIT資産管理ソフトウェアが狙われた事件をきっかけにして、IT資産管理ソフトウェアの「どこに」「どのような」脆弱性があるのかということを、一般的に利用されているIT資産管理ソフトウェアで検証したという旨の内容でした。

この検証の結果としては、管理用コンソール、管理機、社員PC、それぞれの間で行われる通信のすべてに脆弱性があり、管理機を偽装することで、社員PCに対して様々な操作を行うことができてしまうというものでした。
具体的には以下のような脆弱性が発見されたとのことです。

 

  • 管理指示ポートアクセス制御不備(管理用コンソール→管理機サーバー)
  • 管理通信の偽装(管理機サーバー→社員PC)
  • 管理機との通信の悪用(社員PC→管理機サーバー)
  • 遠隔操作ポートのアクセス制御不備(管理用コンソール→社員PC)

 

社内にいる間はイントラネットのみで通信が行われていますが、出張などで社員PCを持ち出した際にUSBモデムなどを使用すると、社員PCにグローバルIPが振られ、その状態で管理機との通信を行うと管理機にもグローバルIPが振られ、管理機がインターネットに接続した状態となり、管理機が外部から攻撃可能な状態になっているということになります。
このとき、社員PCと管理機との間での通信内容は暗号化されているのですが、暗号の鍵がインストーラに埋め込まれた固定鍵を使用しており、社内の端末はすべて同じ暗号鍵を使用していることがわかりました。この鍵を使用し、ペイロードの暗号を解くと管理機のFQDNとポート番号が出て来た為、このFQDNとポート番号を書き換えれば、偽の管理機に接続することができるのではないかという仮説のもと試したところ、実際に偽の管理機に接続し、遠隔操作を行うことが可能となった。
上記は一例に過ぎず、他にもIDとパスワードで同一の暗号化アルゴリズムを使いまわしていて、簡単にパスワードを可視化できてしまうなどの脆弱性があり、通信やファイルを「暗号化」していることを過信してしまうことで、こういった初歩的な脆弱性が生じてしまうとのことでした。
IT資産管理ソフトウェアは社内の全PCをフルコントロールできるだけの強い権限を持っているにもかかわらず、こういった脆弱性対策が取られていないということがわかりました。
そこには、「社内のイントラネットでやり取りをしているから外部とのつながりはない」とか「通信は暗号化しているから大丈夫」といった部分の過信が原因であると感じました。
この講演を聴講して、私が感じたことは、今までは「有名企業が開発をしている」「多くの人が利用している」といったような非常に曖昧な判断基準でソフトウェアを信頼して利用してきたと思います。ですが、自分自身が全くそのソフトウェアのセキュリティ対策を知らずに、曖昧な部分を過信したまま利用し続けることは非常に危険であるということを強く感じました。

 

「攻撃者の行動を追跡せよ‐行動パターンに基づく横断的侵害の把握と調査‐」

2つ目の講演は朝長秀誠氏、六田圭祐氏による「攻撃者の行動を追跡せよ‐行動パターンに基づく横断的侵害の把握と調査‐」というテーマの講演です。
概要としては、攻撃者が侵入してからの行動パターンをさぐり、その行動パターンや使用したツールによりどのようなログが残るのかを調査するというものでした。
本公演を聴講して私が非常に驚いたことは、攻撃者の行動パターンで多いのが、正規のWindowsコマンドや正規のツールを使用するということでした。私の中では特殊なツールを使用して攻撃をするというイメージがあったので、正規のコマンドやツールを多用するというのは少し意外な結果でしたが、内容を聞いてみると攻撃者が正規のコマンドやツールを使用する理由として、「ウイルス対策ソフトに検知されない」ということが挙げられており、非常に納得しました。
実際にどのようなWindowsコマンドが多用されているのかというと、
■探索活動

  •  dir
  •  net

■感染拡大

  •  at
  •  schtasks

■痕跡削除

  •  del
  •  wevtutil

といったコマンドが多用される傾向にあるとのことでした。
ウイルス対策ソフトを入れているから安心ということはなく、侵入を許してしまえばウイルス対策ソフトに検知されることなく、正規のコマンドで情報を取られてしまう危険性があるということがわかりました。

 

セキュリティカンファレンスに参加してみて

上記2つの講演をはじめ、様々な分野の講演を聴講してみて、最終的に感じたことは、まだまだ視野が狭く、様々な視点からセキュリティを考えなくてはならないということでした。

私はまだIT業界の人間としての経験が浅く、セキュリティに関しての知識が非常に浅いこともあり、今まで持っていたイメージと実情とのギャップが非常に大きく、驚くことが多くありました。
今回の講演を聞いた上で、今後私が取り組んでいきたいこととしては、

  • コンピュータ全般の知識を身につける
  • サーバーの知識を身につける(ログ解析など)
  • 自分が使用しているソフトウェアのセキュリティについて知る

といったことから始めていきたいと思います。
IT技術でお客様にサービスを提供する仕事をしているので、自社で提供するサービス、業務で使用するソフトウェア等のセキュリティを知っておくということが、必要であると感じました。