自社ビルの暖冷房からエレベーターまでハッカーの思いのまま

顧客ネットワークをさらに強化する、ペネトレーションテストとは？

2015年01月30日 11時00分更新

文● NERD＠ASCII.jp、イラスト●安谷隆志

　ASCII.jp編集部はだめなナードの集まりである。技術好きなオタクである彼らは、見果てぬITの未来を求めて日夜くだらない議論を続けている。要はITサイコー、テクノロジーこそエクスタシーが信条の集団である。知識はときに適当で、理屈はおおむね机上の空論だが、ごく稀に役立つ情報やアイデアが出てくることもある。この連載は、狭い編集部の片隅で、妄想という名の夢を語らう、風呂敷だけを広げた議論の記録である。

ロボットに自分の個人情報をバラされそうになるという恐怖体験……

　「いや～……前回はヒドイ目に逢ったよ」
　「ペネトレーションテストの話？」
　「そう、それそれ。本当に俺の個人情報、全部バラされちゃうかと思ったよ。あんなことするなら事前に言っといてくれればいいのに！」
　「深夜にコソコソ集まっていた我々が悪いんじゃ……」
　「でも、社内システムに侵入できれば何でもやりたい放題なんて、ちょっとワクワクするよな。映画に出てくるクラッカーみたいじゃん」
　「まあ、いろいろネットワークで制御してる大企業のビルなんかは、本当に何でもできちゃうらしいですけど……」
　「よし！今回はペネトレーションテストについて、もうちょっと掘り下げてみようぜ」

実際にネットワークを攻撃して強度を測る「ペネトレーションテスト」

　「まずは基本的なおさらいです。企業のITネットワークは、金銭や情報目当てのハッキングを受ける場合があります。大企業だと毎日のようにサイバー攻撃を受けるのも当たり前です」
　「うん、それぐらいは聞いたことあるよ」
　「当然、きっちりセキュリティー対策を行なう必要がある。そこで、企業にセキュリティーサービスを提供する企業が、実際に顧客のネットワークや情報資産をクラッキングしてみせるのがペネトレーションテストです。クラッカーと同じ手法でネットワークに侵入して、リスクにさらされた情報を見分け、現状行われているセキュリティー対策を評価、さらなる対策を講じるのが目的です。その名の通り、侵入（penetration）テストってことですね」
　「この間は『そんなことしていいのかよ！』なんて言ったけど、確かに攻撃してみれば弱点とかは丸わかりになるもんな。本物のクラッカーにやられる方がずっと危ないわけだし」
　「あくまで顧客の要望でやってるからね。こういうサービス自体は、多くのベンダーが提供してるよ。もちろん、成果の度合いは企業が抱えているハッカーの腕前次第なんだけどさ」
　「ペネトレーションテストの内容も、ベンダーによって微妙に違うんですよね。第3者がシステムのコントロールを得られるようなリスクがあるかどうかを知ることをゴールにしている場合もあれば、システムを掌握した後でどんなことができるかまで実演する場合もある。前回取り上げたデル・セキュアワークスは後者です」

侵入した上で、どこまでやれてしまうか実演してみせる。そんなペネトレーションテストも存在する

セキュリティーベンダーが実演する、企業ネットワーク侵入の手法とは？

暗号化していないFTPが侵入のきっかけに……

　「侵入って言うけど、具体的にどういう風にテストしてるのか説明してくれよ！　できれば難しくならない程度に」
　「努力しますけど……まず、テスターは顧客に対し、社外からネットワークへの侵入を試みます。簡単な侵入方法の一例を挙げると、自動スキャンで特定した、足がかりになるようなポイント。たとえば不特定多数の人間がアクセスできるanonymous FTPサービスを足がかりに、FTPデータ内の情報を繋ぎ合わせ、ウェブサイトの管理をしている人事・IT担当者などの情報をプロファイルしていくんです」
　「何言ってんのかよく分かんねーよ！」
　「要するに、侵入前の情報収集ですよ。具体的な目的としては、社内データベースに入り込むためのID・パスワードを探すことが挙げられます。FTPは古くから利用されているファイル転送プロトコルですけど、脆弱性が多かったり、そのままだとクライアントとサーバー間の通信を暗号化できなかったりして、侵入の足掛かりにされやすいんです」
　「へー……暗号化できないとどうなるの？」
　「パケットをキャプチャー（盗聴）すれば、誰でもIDやパスワードを手に入れて、ファイルを書き換える権限を持ったアカウントを使えちゃうってこと。まあ、これはセキュリティー対策が相当甘いケースだね」
　「そんなに簡単なのか……。普段あんまり気にしてないけど、利用するときは気を付けたほうがいいんだな」
　「こうしたプロセスを経ることで管理者が何を制御し、アカウントにどういった権利を付与しているのかも特定できることがあります。重要なデータを保管しているサーバーでは、FTPの利用はできる限り避けたほうがいいでしょう」

最悪、ビルの機能ごと乗っ取られてしまう可能性も

　「社内ネットワークへの接続情報を抜き出せれば、それで侵入成功です。仮にデータベース管理システムに入れるようになるとこの時点で、けっこう重要な情報にアクセスできます。社員の自宅の住所、電話番号、メールアドレス、社員IDの情報を含むコンタクト情報が含まれていることもあるみたいですね」
　「こうやって、侵入に成功したらテスト終了……って場合もあるけど、さっきも言った通り、ペネトレーションテストは実際にその後どこまでの権限にアクセスできるのかを検証する場合もあるんだよ。侵入が成功した後は、基本的にはハッシュをローカルにダンプして、ツールでパスワードを抜いていくの繰り返し。で、ドメインコントローラーのアクセス権を獲得できれば、ネットワーク内のあらゆる権限に管理者権限でアクセスできるようになるわけ」
　「おっ、いよいよハリウッド映画っぽくなってきたな！　で、具体的には何ができるんだよ」
　「簡単なのだと、個人情報の閲覧や書き換え。人事データベースで社員の経歴を自由に書き替えたり、顔写真を変えて全員同じ顔にしちゃったりとか」
　「やっぱり一番怖いのはビルの機能の遠隔操作ですよね。監視カメラの映像をリアルタイムで確認できたり、空調処理システムにアクセスしてビル全体の温度を変更したり、エレベーターを勝手に動かしたり……。ペネトレーションテストだと、本当にやってみせるらしいですから、そういうこと」
　「怖すぎる……」
　「『侵入しちゃえば御社の社員情報、ぜんぶ見れちゃいますよ？』とか『空調とかエレベーターとかコントロールし放題ですよ？』みたいなのを目の前で見せられたら、結構ショッキングだろうね」
　「米国の企業だと、Suicaのような機能を持つIDカードがデータベースに登録されている場合があって、カードシステムにお金を追加……なんてことも可能らしいですよ」
　「本当になんでもありだな！」
　「前回も言いましたけど、IoT（Internet of Things）促進の流れで、ネットワークに繋がる機器がどんどん増えてます。でも、それだけハッキングの危険性は高まるわけです。ハッキングの芽を事前に可能な限り潰しておくという意味で、ペネトレーションテストには大きな意味があると思いますね」