 |
第3回 漏えい原因は怨恨の線が濃厚?
| 根津 研介 園田 道夫 宮本 久仁男 2005/2/25 |
|
 |
またしても陰謀? |
| 平山さん | 「社長が戻ったみたいよ!」 |
平山さんが知らせてくれた。おそらく報告を求められるはずだ。それまでにはもう少し調査を進めておきたかった。
ログの量がそれでも多いので手分けして、中村君はWebサーバ関連のログ、小野さんはtcpdumpのログを引き継いで見ていた。Webサーバのログを見ていると、時折管理画面へのアクセスが見える。
聞いたところではこの管理画面から、データベースの中身をすべてファイルに落とすことができるらしい。管理画面へのアクセスは該当期間中15回くらいあった。管理のアカウントは1つで、よくあることだがそれを共用していたらしい。従ってその15回のアクセスが誰なのか、というのは、それだけでは分からない。
しかし、WebサーバのログにはIPアドレスがある。IPアドレスを見ると、高原さんが1回、本山さんは0回、開発委託先に貸し出したPCからのアクセスが4回、残りは社外からダイヤルアップサーバを使ってアクセスしてきたものだった。
小野さんがtcpdumpのデータを抽出してくれたので、「15回すべて洗ってみよう」というときに、社長からの呼び出しが掛かった。「もう少し時間があれば」という思いを引きずりながら、3人は社長室へ急いだ。
社長は怒っていた。
| 社長 | 「君たちがマスコミを呼んだというのは本当か?」 |
| 3人 | 「え……?」 |
| 社長 | 「会社の方針に不満があるというのは本当か?」 |
訳が分からなかったが、考えられることは1つしかない。タヌキの陰謀だ。しかしなぜ陰謀?
| 小野さん | 「い、いや、そんな不満とかはありませんし、マスコミに……」 |
突然平山さんがキレ始めた。「ぐ、ヤバイ?」と中村君は思ったが、もう遅い。
| 平山さん | 「社長までそんなことおっしゃるんですか!? わたしがそんなことしたと!?」 |
社長も今回はひるまない(いつもは平山さんにアタマが上がらないらしいが)。
| 社長 | 「違うのか? 君たち以外には社内では誰も知らなかったぞ。秘密にしていたからな。もし違うというなら、どこからこの話が外に出て行ったのだ?」 |
| 平山さん | 「そんなことわたしたちにも分かりません! わたしたちは久保部長にいわれたとおり、たとえ社内の人にも漏らしたりはしてません!」 |
| 社長 | 「この事態を収拾することがもちろん最重要だが、残念ながら現状では君たちが信頼できるのかどうか分からん! コトがはっきりするまでいまの作業中止、会議室からPCを撤去し、携帯電話を預けてしばらく会議室にいるように!」 |
「な、軟禁じゃないですか」と心中突っ込みを入れる中村君。冗談みたいな事態だったが、全然冗談ではないようだった。
| 小野さん | 「ま、待ってください! あと少し、あと少しでどこから漏えいしたのか分かりそうなんです! それまで……」 |
| 社長 | 「ダメだ」 |
にべもない。
平山さんがものすごい勢いで飛び出していった。小野さんと中村君も仕方がなく後を追う。
これは従うしかないのか? しかし軟禁とはあまりにひどすぎる。PCだけでなく携帯まで取り上げるなんてそんなことあっていいのか? しかし、抵抗すれば疑われてしまう? 中村君たちはもしかしたら絶体絶命なのか?
◆次回予告◆
中村君たちは本当に「軟禁」されてしまうのか?
そして情報漏えいの原因はつかめないままになってしまうのか?
次回、中村君たちの大逆転はなるか?
【今回の教訓】 ・ログ戦略を立てましょう 今回の事例ではtcpdumpを取っていたことが不幸中の幸いとなっていますが、現実にはそんな準備がされていないことの方が多いはずです。しかし、サーバごとにサーバソフトが取得するログを取っているだけでは、情報漏えいはおろか、ワームなど自動的な不正アクセスソフトによる攻撃もちゃんと検知できないこともあります。ログは1つのアクセス、1つの通信に対して複数のポイントで取得するように戦略を立てておきたいところです。 また、システムが用意するシステムログを取るように設定しておくだけでは、この事例のようにWebアプリケーションを経由して漏えいしたかもしれない場合などにはほとんど役に立ちません。対攻撃、というこれまでの考え方だけでなく、対漏えいを視野に入れるには、これまでとは異なる記録機能などの導入も検討する必要があるでしょう。 例えば、IDS(侵入検知システム)というのは、警報装置としての役割だけでなく、通信の記録を取っておく装置としても使えます。警報装置として管理すると大変ですが、通信の記録装置とする場合には、いったん設定した後はほとんど放置しておけばよいわけです。 あるいは、Webアプリケーションに「いつ」「誰が」「どんなアクセスを行ったか」という記録を取らせておく機能が必要になることもあるでしょう。そのような機能を加えて、初めて何が起こったのかを追跡できるようになるわけです。 いい換えれば、戦略を立てるうえでは、常に「追跡できるのか」ということを意識すべきでしょう。 |
 |
3/3
|
| Index | |
| 漏えい原因は怨恨の線が濃厚? | |
| Page1 広山さんの事情 |
|
| Page2 記録を使って追いつめられるか? |
|
 |
Page3 またしても陰謀? |
| 基礎解説記事 | |
| にわか管理者奮闘記 | |
| 5分で絶対に分かるシリーズ | |
| 管理者のためのセキュリティ推進室 | |
| 情報セキュリティ運用の基礎知識 | |
| Security&Trustウォッチ |
 |
連載:にわか管理者奮闘記 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
