シス管、自作自演する
「引退間近のシステム管理者、データを盗み逃亡すべく、サイバー攻撃をでっちあげ」
そのシステム管理者には悩みがありました。
「金が足りない」
外国の浜辺の街に家を買いたいのですが、その金がありませんでした。そんな時、彼のもとに誘いがかかります。
「貴社のデータ、売りませんか?」
これで家が買える。売るしかない。しかし、ただデータを盗んではバレてしまう。どうするか。そこで彼は考えました。
「ハッカーに盗まれたことにすればいい」
彼はある日、隣国(車で1時間)から脆弱性スキャナを自社サイトに適用し、架空の「サイバー攻撃」の準備をしました。翌日には、管理者パネルから自社サイトの1つを、ハクティヴィストからの攻撃風に書き換えました。書き換え「事件」を社内で報告すると、「停止時間を最短化するため」としてサーバの全データを削除し、全てを以前の状態に復旧、自分が行ったことの痕跡を抹消しました。そして呼ばれたのが、スイスHigh-Tech Bridgeでした。
「会社を騙すために社員が架空の攻撃」(High-Tech Bridgeの創設者によるブログ記事)
https://www.htbridge.com/blog/fake-attacks-by-insiders-to-fool-companies.html
High-Tech Bridgeのメンバーは、サーバ上で全てが消されているにも関わらず、残った情報から真相を解き明かしたようです。創設者ブログの記事を脚色して書くなら……。
調査員「変ですねえ」
システム管理者「変、ですか?」
調「この攻撃、反グローバル主義などを掲げているわけですよね。ハクティヴィストによる犯行だと」
シ「そうですね」
調「ところで、この前日の調査とおぼしき脆弱性スキャンですが、これは△△を使ってますね」
シ「ほう、△△というものですか」
調「はい。私もこれを使われた例は初めて見ましたよ」
シ「そんなに珍しいものなんですか」
調「ハクティヴィストが使うのは、という意味ですけどね。本格的な連中や脆弱性調査サービスでは見かけますよ。しかし……なにせ、あれは一般人が使うには値段が高すぎます」
シ「…………たまたま誰かが持ってたんじゃないですかね」
調「そうですね。あと、御社もライセンスをお持ちですね」
シ「どういう意味でしょうか?」
調「いえ、ただの事実です」
調「それに、この攻撃は日中に行われてますね」
シ「そうですね」
調「一般的に、ハクティヴィストの活動時間は深夜です。こんな時間、連中は学校か勤務先に行ってますよ」
シ「ニートがやったのでは?」
調「しかもですね、スキャン元も変なんですよ。ファイアウォールのログを見てください。IPアドレス、隣国にある○○のWiFiサービスのものですよ」
シ「でも、その店なら誰でもアクセスできますよね。特定されなくて好都合なのでは?」
調「場所が分かってしまうだけでも問題ですよ。店に監視カメラがあれば特定されかねません。普通、こういう時はTorなどを使って匿名化を行うものです」
シ「そう……なんですね。そういうのはあまり詳しくなくて……」
調「ちなみに、現地まではここから車で1時間ですね」
シ「ずいぶん近いですね……」
調「また、ファイルの書き換えも謎です。普通、ハクティヴィストが外部から侵入した場合、ファイルの書き換えにはシェルコマンドを使いますよね。スクリプト化したものも含めて」
シ「そう……なんですかね?」
調「しかし、今回は明らかに管理者向けコントロールパネルから書き換えている。外部からの侵入なら、最初に取得できる権限は一般ユーザーレベルで、そこから権限上昇の脆弱性を突いて、さらにブラウザ上からアクセスしなくてはなりません」
シ「確実に全てのファイルを書き換えるために管理者権限をとったのでは?」
調「さらに言えば、管理者向けコントロールパネルは、接続元IPアドレスを限定しています」
シ「IPアドレス?そんなもの、偽装すればいいじゃないですか!」
調「そうですね」
調「でも、偽装すべきIPアドレスを、外部の人間がどうやって調べますか?それに、これらは全てファイアウォールの内側の話です。IPアドレスを偽装するには、結局対象アドレスのマシンに侵入して、SSHシェルでも走らせて、そこを経由する必要があるでしょう。そんな手間を例えばアノニマスがかけますかね?」
シ「さあ、どうでしょう……」
調「そして、今回奇妙なことは、書き換えられたサイトです。」
シ「と、言いますと?」
調「御社は著名な金融企業ですよね。アクセスも多い」
シ「そうかもしれません」
調「しかし、犯人はマイナーなサーバを攻撃した」
シ「たまたま気づいたんじゃないですかね」
調「普通、企業名が出たら、ググりますよね。で、最初に出てくるところを書き換える。しかも、多くが集まるサーバこそが狙い目なのに」
シ「狙い目?」
調「あのサーバのCMS、めちゃくちゃ古いですよ。一発で攻略できます。もし私がハクティヴィストだったら、真っ先にあの間抜け……もとい、脆弱なサイトを書き換えるでしょうね。アクセスは多いし攻撃し放題ですから。あ、もちろん後で進言しておきますよ。あのサーバは脆弱すぎるって」
シ「……でも、アノニマスは、結構とんちんかんなサイトを攻撃してますし……」
調「ところで、攻撃されたサーバは、Webアプリ含めて、ちゃんと保守されてますよね」
シ「……はい、それが私達の仕事ですから」
調「そうですよね。何せ重要なデータがありますからね」
シ「……もちろんです。それが何か?」
調「ところで、こちらでも調査したんですよ。連中は攻撃が成功したら、宣伝します。ただのDDoSでも何かすごいことのように」
シ「はあ」
調「しかし、今回は攻撃成功などのツイートや書き込みが見当たらない」
シ「他の攻撃の合間だった、とか」
調「そういえば、もうすぐ定年でしたよね」
シ「はい。引退後は、ゆっくり海辺で暮らしたいなって」
調「引っ越すんですか?家を買う資金は?」
シ「いや、それは……」
調「脆弱性スキャンがあった日、あなたは休みを取ってましたね」
シ「……はい。セキュリティの催しがあったので」
調「この日にあったセキュリティイベントですね……そういえば、脆弱性スキャンの起点がすぐそばですね」
シ「……何が言いたいんですか?」
調「もう1つ、重要な事実があります」
シ「……なんでしょうか……」
調「書き換えられたサーバ、全部データを消去してバックアップから復旧しましたよね」
シ「はい。サービス中断時間を最小にしなければと思いまして」
調「おかしいですね。サービス復旧なら、別のサーバを用意して、そこに構築すればいいじゃないですか。あなたのような優秀なシステム管理者がフォレンシクスを知らないはず、ありませんよね?わざわざセキュリティの催しに出るために会社を休むような人なのに」
シ「ええと……あまり詳しくなくて」
調「フォレンシクスは証拠保全のための基本ですし、御社の手順書にもしっかり書いてありますよね」
シ「そ、そうですが……」
調「御社の経営陣への報告書ですが、内部犯行の可能性が高いと記述しました」
シ「……」
調「管理用コントロールパネルへのアクセス権をもった人物の可能性が高いと書きました」
シ「……」
調「システム管理部門、特にそのトップであり、なおかつ引退が近いあなたには、細かい調査が行われるでしょうね」
シ「……しかったんですよ」
調「?」
シ「家が、欲しかったんです。海辺の」
調「……この近くに、いいバーがあるんですよ。どうですか?」
色々創作を含んでますが、途中で出した状況証拠は実際の話とのこと。
個人的には、この記事を読んで思い出したのは「超可能犯罪」です。 さすがに「事実は小説より奇なり」まではいってないと思いますが、いい線はいってると思います。
工藤伸治のセキュリティ事件簿 シーズン4 超可能犯罪 第1回「プロローグ:混沌の海のファネル」
