第3回 漏えい原因は怨恨の線が濃厚?

根津 研介
園田 道夫
宮本 久仁男
2005/2/25
※ご注意
本記事はフィク ションであり、実在の人物・組織などとは一切関係ありません。

 またしても陰謀?


平山さん 「社長が戻ったみたいよ!」

 平山さんが知らせてくれた。おそらく報告を求められるはずだ。それまでにはもう少し調査を進めておきたかった。

 ログの量がそれでも多いので手分けして、中村君はWebサーバ関連のログ、小野さんはtcpdumpのログを引き継いで見ていた。Webサーバのログを見ていると、時折管理画面へのアクセスが見える。

 聞いたところではこの管理画面から、データベースの中身をすべてファイルに落とすことができるらしい。管理画面へのアクセスは該当期間中15回くらいあった。管理のアカウントは1つで、よくあることだがそれを共用していたらしい。従ってその15回のアクセスが誰なのか、というのは、それだけでは分からない。

 しかし、WebサーバのログにはIPアドレスがある。IPアドレスを見ると、高原さんが1回、本山さんは0回、開発委託先に貸し出したPCからのアクセスが4回、残りは社外からダイヤルアップサーバを使ってアクセスしてきたものだった。

 小野さんがtcpdumpのデータを抽出してくれたので、「15回すべて洗ってみよう」というときに、社長からの呼び出しが掛かった。「もう少し時間があれば」という思いを引きずりながら、3人は社長室へ急いだ。

 社長は怒っていた。

社長 「君たちがマスコミを呼んだというのは本当か?」
3人 「え……?」
社長 「会社の方針に不満があるというのは本当か?」

 訳が分からなかったが、考えられることは1つしかない。タヌキの陰謀だ。しかしなぜ陰謀?

小野さん 「い、いや、そんな不満とかはありませんし、マスコミに……」

 突然平山さんがキレ始めた。「ぐ、ヤバイ?」と中村君は思ったが、もう遅い。

平山さん 「社長までそんなことおっしゃるんですか!? わたしがそんなことしたと!?」

 社長も今回はひるまない(いつもは平山さんにアタマが上がらないらしいが)。

社長 「違うのか? 君たち以外には社内では誰も知らなかったぞ。秘密にしていたからな。もし違うというなら、どこからこの話が外に出て行ったのだ?」
平山さん  「そんなことわたしたちにも分かりません! わたしたちは久保部長にいわれたとおり、たとえ社内の人にも漏らしたりはしてません!」
社長 「この事態を収拾することがもちろん最重要だが、残念ながら現状では君たちが信頼できるのかどうか分からん! コトがはっきりするまでいまの作業中止、会議室からPCを撤去し、携帯電話を預けてしばらく会議室にいるように!」

 「な、軟禁じゃないですか」と心中突っ込みを入れる中村君。冗談みたいな事態だったが、全然冗談ではないようだった。

小野さん 「ま、待ってください! あと少し、あと少しでどこから漏えいしたのか分かりそうなんです! それまで……」
社長 「ダメだ」

 にべもない。

 平山さんがものすごい勢いで飛び出していった。小野さんと中村君も仕方がなく後を追う。

 これは従うしかないのか? しかし軟禁とはあまりにひどすぎる。PCだけでなく携帯まで取り上げるなんてそんなことあっていいのか? しかし、抵抗すれば疑われてしまう? 中村君たちはもしかしたら絶体絶命なのか?

◆次回予告◆

中村君たちは本当に「軟禁」されてしまうのか?
そして情報漏えいの原因はつかめないままになってしまうのか?
次回、中村君たちの大逆転はなるか?

【今回の教訓】

・ログ戦略を立てましょう

 今回の事例ではtcpdumpを取っていたことが不幸中の幸いとなっていますが、現実にはそんな準備がされていないことの方が多いはずです。しかし、サーバごとにサーバソフトが取得するログを取っているだけでは、情報漏えいはおろか、ワームなど自動的な不正アクセスソフトによる攻撃もちゃんと検知できないこともあります。ログは1つのアクセス、1つの通信に対して複数のポイントで取得するように戦略を立てておきたいところです。

 また、システムが用意するシステムログを取るように設定しておくだけでは、この事例のようにWebアプリケーションを経由して漏えいしたかもしれない場合などにはほとんど役に立ちません。対攻撃、というこれまでの考え方だけでなく、対漏えいを視野に入れるには、これまでとは異なる記録機能などの導入も検討する必要があるでしょう。

 例えば、IDS(侵入検知システム)というのは、警報装置としての役割だけでなく、通信の記録を取っておく装置としても使えます。警報装置として管理すると大変ですが、通信の記録装置とする場合には、いったん設定した後はほとんど放置しておけばよいわけです。

 あるいは、Webアプリケーションに「いつ」「誰が」「どんなアクセスを行ったか」という記録を取らせておく機能が必要になることもあるでしょう。そのような機能を加えて、初めて何が起こったのかを追跡できるようになるわけです。

 いい換えれば、戦略を立てるうえでは、常に「追跡できるのか」ということを意識すべきでしょう。


3/3
 

Index
漏えい原因は怨恨の線が濃厚?
  Page1
広山さんの事情
  Page2
記録を使って追いつめられるか?
Page3
またしても陰謀?


基礎解説記事
にわか管理者奮闘記
5分で絶対に分かるシリーズ
管理者のためのセキュリティ推進室
情報セキュリティ運用の基礎知識
Security&Trustウォッチ

連載:にわか管理者奮闘記


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH