Scribble at 2021-05-18 07:43:53 Last modified: 2021-05-18 07:46:50

藤原竜也のコマーシャルでお馴染みの、アセット管理システムである SkySea がもつ脆弱性を狙ったという話だ。当社でも、ISMS の認証を受けていた頃に大塚商会から紹介されて、５年くらい SkySea を使っていた頃があった（もちろん SkySea の管理サーバもセットで何百万とするため、たいていの企業では月次のキャッシュ・フローに大きなインパクトを与えないためにリースを組むことが多く、当社でもサーバの減価償却法定年数の５年で契約した）。しかし、ノート・パソコンを使う営業とディレクターから何度かパソコンの動作が重くて適わないという相談を受けて、ログを取得するポリシーを見直しているうちに、これだけ取得するログの種類を除外しては使っている意味がないと判断した。よって、特にノート・パソコンからはクライアントをアンインストールするように指示して、導入してから３年ほど経過したら殆どのパソコンからアンインストールさせていた。

同じ頃に導入した Active Directory にも言えることだったが、これらの（僕に言わせれば情報セキュリティ対策の本質とはあまり関係がない体裁だけの）システムはクライアントとしてのパソコンのパフォーマンスが著しく下がってしまう。AD に至ってはマスターとスレーブの２台も認証サーバを社内に置いていたにもかかわらず、動作が非常に不安定で使い物にならなかった。しばしばユーザのプロファイルが破壊されて、AD サーバを経由するとパソコンにログインできなくなっていたからである。そのため、AD サーバを経由せずにドメインのローカル・ユーザとしてログインする方法を教えているうちに、AD は不要という結論になったのである。しかも AD はもともと macOS には何の関係もないため、アイデンティティの体系的な管理システムにはなっていない。

また、SkySea のようなシステムはバージョン・アップごとに販売代理店から追加のライセンスを購入する必要がある。そして当社の場合もそうだったが、バージョン・アップの情報なんて販売代理店は教えてくれない。一度だけバージョン・アップしたことがあったけれど、大手のメディアで話題にならない限りは、こちらもいちいちフォロー・アップなんてしていられないので、たまたま深刻な脆弱性があると知って当社からバージョン・アップを依頼したわけである。もちろん、この手の脆弱性は SkySea に会社のネットワークの外から攻撃をしかけることはできないので、きっかけとなるのは社員がアクセスするサイトから drive-by-download などで仕込むツールとか、メールの添付ファイルを開かせて仕込むツールとか、あるいはメールに記載した URL を踏ませて仕込むツールなどの自律的な挙動で外に「窓」を開けることから始まる。いま、リモート・ワークでも使っている AnyDesk のようなものと同じ仕組みを勝手に動かすわけだ。後は SkySea のクライアントかサーバの脆弱性を利用して遠隔操作するチャンスが作れたらおしまいというわけである。その後もボットや踏み台として使い続けられるし、使い終わったら「後始末」して自身をアンインストールすることもできる。さきほど NHK の『おはよう日本』で、影響を被った自治体からは「情報漏えいは認められない」と発表されているらしいが、単に情報を盗まれた痕跡を自分たちでは見つけられなかっただけの話だろう。侵入されたという事実が分かっていながら、何もされなかったなどということはありえない。

ただ、痕跡を見つけるのが難しい理由は明白だ。なぜなら、もともと SkySea というシステム自体が、社員のパソコンから色々なデータを抜き出して別のマシンに送信するという挙動によって、コンピュータ・ウイルスと殆ど同じことをやっているからである。