レッドチーム/ペネトレーションテストを守るために、「Black Hat USA 2020」講演レポート
依頼を受けた侵入テストで逮捕、起訴? ハッカーが語る体験談
2020年08月18日 08時00分更新
依頼主と共に綿密な計画を立て、実施を決定したレッドチームの物理侵入テスト。まさかテスト担当者が現行犯逮捕され、計10万ドル(約1,000万円)もの保釈金を支払うはめになるとは――。
2020年8月5日、6日にオンライン開催されたセキュリティカンファレンス「Black Hat USA 2020」の講演で、昨年9月に発生した“レッドチーム逮捕事件”の経緯と顛末について、当事者であるCoalfire(コールファイア)社のセキュリティ専門家2人が詳細に語った。
この事件は州政府/郡政府の独立性が高い米国固有の事情がからんだレアケースにも見えるが、セキュリティテストにおいて双方の見解や視点、感情の行き違いから大ごとに発展するケースは国や文化を問わないものだ。講演から事件を振り返り、今後同じ状況に陥らないためにも何ができるかを考えたい。
(左から)Coalfireシニアセキュリティコンサルタントのジャスティン・ウィン(Justin Wynn)氏、同 ゲイリー・デマ―キュリオ(Gary DeMercurio)氏
州政府から裁判所への物理侵入テストの依頼を受ける
Coalfireは、セキュリティ監査やペネトレーションテストのサービスを提供するアメリカの企業だ。同社は昨年、アイオワ州司法府のIT部門から、同州にある裁判所への物理侵入テストの依頼を受けた。
「レッドチーム」とは、攻撃者が実際に使用する手口やツールを使って顧客企業のネットワークや物理施設に攻撃/侵入を仕掛け、脆弱性や改善点を検証/報告するサービスだ。あらかじめ依頼側の担当者とともに攻撃シナリオや禁止事項を詳細に検討し、双方が合意した決定項目に沿って攻撃演習を実施するのが一般的だ。もちろんCoalfireでもそのようにしている。
さて、アイオワ州司法府から依頼を受けた侵入テストでターゲットとなったのは、司法府の本部ビルのほか、ポーク郡裁判所やダラス郡裁判所など計5か所だった。Coalfireは司法府と契約を締結し、テスト実施には長年の経験と実績を有する同社シニアセキュリティコンサルタントのゲイリー・デマ―キュリオ氏、ジャスティン・ウィン氏の2名を割り当てた。
契約書に書かれた侵入テスト開始日の9月8日は日曜日だった。2人はアイオワ州の州都であるデモインに乗り込み、まず昼間は攻撃ターゲットとするポーク郡裁判所を訪問して、警備体制や内部の様子を詳しく確認した。そして夜には建物に侵入し、指定されたターゲットの部屋まで到達できるかどうかをテスト。セキュリティの問題点や改善点を洗い出していった。
その夜は、最終ターゲットとされた裁判所のサーバールームまで苦もなくアクセスできたほか、法廷内にノートPCが放置されているのも発見した。「ディスプレイは開いたままで画面ロックもかかっておらず、おまけにパスワードが書かれた付箋まで貼ってあった」(デマ―キュリオ氏)。
翌日以降も、ターゲットを別の建物に変えながら侵入テストを行い、次々に成功していった。司法府本部ビルへ侵入した際には巡回中の州警察官に見とがめられたが、事情を説明して問題なくその場で解放。レッドチームテストは契約どおり、すべて順調に進んでいた。
いつもどおり侵入テストをしていたら…… 悪夢の火曜深夜
そして、問題の9月10日がやってくる。この日のターゲットはダラス郡裁判所の建物で、2人が裁判所に到着した頃には時計の針が深夜を回っていた。建物の入口に近づいた2人は、ロックを解錠しようとドアノブに手をかけた。だが、最後に退所した職員がきちんと閉めなかったのか、ドアは半開きになっていた。
テスト依頼者である司法府の担当者からは、入口ドアを開けると警報のスイッチが入り、30秒以内にパスコードを入力しなければアラームが鳴り出す仕組みだと教わっていた。この警報システムの動作テストも依頼されていたため、2人はいったんドアを閉め、ピッキングのテクニックを駆使して解錠したあと、ふたたびドアを開いた。その直後、「30秒以内にパスコードを入力せよ」という警告が流れた。警報システムは正常に動作しているようだ。
パスコードは教えられていないため、2人はよくあるパスコードの組み合わせをいくつかトライした。しかしどれも失敗し、警報が鳴り始めた。2人はどうするか迷ったが、ドアは開いているので、とりあえず警察官が到着するまでにどこまで侵入できるかを検証することにして、建物の内部へと歩を進めた。
レッドチームの侵入テスト対象に指定されたアイオワ州内の各裁判所
順当にセキュリティを突破しながら3階にたどり着いた2人が窓の外を見ると、数名の保安官が目に入った。警報が鳴り始めてからおよそ3分。この裁判所の真向かいにはダラス郡保安局のビルがあるので、警報を受けてすぐに駆けつけたのだろう。
侵入テストはここで終了することにして、2人は事情を説明するために階下へと降りた。入口付近にいた保安官代理に、これはレッドチームテストであることを説明し、司法府担当者の連絡先などを記した書類を見せた。保安官代理は書類を吟味し、問題ないと判断。「帰ってもいいよ」と言われた。
だが、その場に集まった警察官たちはレッドチームサービスに興味津々で、どうやって建物に侵入したのか、これまで侵入が難しかった建物はあるかなど、質問が止まらなかった。少しでもセキュリティの改善につながればと喜んだ2人は、その場にとどまってひとつずつ丁寧に回答していた。「ここまでは和やかな談笑だったよ」と、デマ―キュリオ氏は振り返る。
そうしているうちにダラス郡の保安官がやって来て、現場の空気が一変する。郡保安官は「この建物は郡の所有物。州はあくまでも『利用者』にすぎず、建物のセキュリティテストを許可できる立場ではない」と、2人の説明を一蹴。強盗容疑で現行犯逮捕された両氏は、手錠を掛けられて郡の保安官事務所に連行された。
両氏が記録していた当日の映像より。左が保安官代理、右が後からやって来た保安官
保釈金は合計10万ドル、強気の郡政府に振り回される
連行後、すぐに州司法府の担当者に電話をかけたが、返事は要領を得ない。さらに、翌朝の予備審問では、裁判官が「私の裁判所に侵入するなんてありえないことだ」と怒り心頭。司法府との契約で実施したテストだと説明しても、「そんな話を信じるほど私がバカだと思うのか」と一切取り合ってくれなかった。
結局2人は強盗罪で5年、強盗用道具の所持で2年、合計7年の刑で起訴されることが決定し、公判までの期間および最中の保釈金としてそれぞれ5万ドル(およそ500万円)が設定された。Coalfireが保釈金を全額支払い、刑務所で約20時間を過ごした2人は夜の9時ごろに保釈された。
ダラス郡政府が2人に対するすべての訴えを取り下げたのは、それから半年も経った後だった。
「起訴取り下げ」のニュースで報道される両氏
ダラス郡政府に加えて、ポーク郡も郡の所有物である裁判所の建物に対して州司法府が「勝手に」レッドチームテストを実施したことを問題視した。ポーク郡検察は、Coalfireの2人を訴えるのではなくアイオワ州司法府の責任を追及することにしたようで、ウィン氏に「『州から言われて罪を犯した』と証言してくれたら、あなた方を起訴しない」と持ちかけていたという。もっとも、両氏は違法行為は何もしておらず、正当な侵入テストであることの証拠書類もすべて残っているため、そうした持ちかけには応じなかった。
あきらめきれない検察は、今度はポーク郡最高裁判所のケイディ裁判長に訴えた。幸いなことに同裁判長は良識的な人物で、提出書類をすべて吟味したうえで、「Coalfireの両氏は契約に従っただけで有罪はあり得ない。不法侵入罪で起訴したところで、どこの裁判所でも敗訴になる」と断言したという。
「ある法律事務所が、州司法府の依頼でアイオワ州の過去の判例を調査したところ、州が裁判所の安全を担保する責任があると結論付けた」。つまり郡政府の主張とは異なり、州が裁判所のレッドチームテストを依頼することは何ら問題ないという判決が下る可能性が高いと、ウィン氏は説明する。
それでもポーク郡検察は粘って、州司法府の担当者を起訴するための準備に入る。だがその起訴直前、ケイディ裁判長が突然の心臓発作で逝去。その起訴はお蔵入りとなった。
