レッドチーム/ペネトレーションテストを守るために、「Black Hat USA 2020」講演レポート
依頼を受けた侵入テストで逮捕、起訴? ハッカーが語る体験談
2020年08月18日 08時00分更新
依頼主である州司法府は責任逃れに必死、残念な対応を見せる
このケースで残念なのは、侵入テストの依頼者である州司法府の対応だ。予備審問当日の朝、州司法府の担当者は保安官に提出する証言書をCoalfireのポータルサイトに共有した。そこには「今回の件は完全な誤解である」と記されており、Coalfire側が署名したら提出する旨も伝えられた。
しかし、郡政府の激しい反発に驚いたのか、はたまた侵入テスト実施の旨を郡政府に事前連絡し忘れたことを思い出したのか、何らかの理由からこの書類はすぐに削除されてしまった。そうした一連の動きは、Coalfireのサーバーにタイムスタンプ付きで記録されている。
また、州司法府が事情説明のため公開したプレスリリースも二転三転した。最初のリリースには「ビルへの不法侵入は意図していなかった」と記載、郡職員や保安官への謝罪と「ダラス郡保安官事務所や検察官と協力する」と明記していたが、その後に「その他裁判所への侵入も認識していない」と追記。さらに「物理セキュリティの侵入テストは依頼したが、(深夜帯にそこまでやるとは思っておらず)契約範囲について双方で認識の相違があった」とも追記している。
Coalfire側はこれに猛反発する。
「そもそも、州司法府からの最初の依頼は『業務時間外の建物自体のセキュリティ状況を重点的にチェックしたい』というものだった」とデマーキュリオ氏は説明する。この依頼の後、「業務時間内の職員に対するソーシャルエンジニアリングのテストもお願いしたい」と追加で依頼があり、日中のテストも行うことにした経緯がある。
「ネットワークのペネトレーションテストは朝6時から夜6時まで、施設への侵入テストは24時間いつでも実施可能であることを事前に確認している。時間外には誰が常駐しているのか、武装した警備員はいるのかも確認した。そもそも日曜日には庁舎は開いていないので、『日曜日からテスト開始』と契約した時点で『閉館中のテストも了承している』と理解するのは間違いではないはずだ」(デマーキュリオ氏)
契約前に行った話し合いのログもしっかり残っている
それに、もしも州司法府が問題を感じていたのであれば、いつでもテストを中止させることができた。Coalfireの両氏は逮捕前日の深夜、州司法府ビルへの侵入テストを実施し、IT部門のオフィスまで到達。その証拠として、担当者のデスクに名刺を置いた。翌日出勤した担当者は名刺を発見して、両氏に「侵入成功おめでとう」とメールを送信。さらに監視カメラ映像で、両氏がいつ、どのルートでビルに侵入したのかも確認している。「深夜の侵入テストやドア解錠がNGだと言うのであれば、この時点で中止の命令を出すことができたはずだ」と、ウィン氏は憤る。
「倫理的なハッカーを守るワーキンググループ」を立ち上げ
両氏に対するすべての起訴は今年1月末に取り下げられた。これで晴れて自由の身となったわけだが、保釈期間中は海外渡航が許されず、予定していた海外カンファレンスでの講演はすべて中止となった。また、侵入テスト用ツールが押収されていたため、その間はレッドチームテストの案件も受けられずにいたという。
何より、今回の一件によって両氏には「逮捕歴」が残ってしまう。「今後、侵入テストの際に警察官と対面し、身分証明書を照会されたときに、逮捕歴があれば怪しまれる。この業務を遂行していくうえでは大きな痛手だ」(ウィン氏)。
もうひとつ残念なことは、今回の騒動でアイオワ州最高裁判所が「業務時間外の侵入テストを一切禁止する」と通告したことだ。「侵入テストを行うことで深刻な脆弱性を多く発見できる。アイオワ州知事は『娘が勤める郡庁舎に強盗犯が忍び込むなど言語道断』と述べたが、侵入テストをできなくするのは、むしろ職員の安全を危うくする判断だと言ってもいい」(デマ―キュリオ氏)。
Coalfireでは、倫理的なハッカーを守るためのワーキンググループを立ち上げた。侵入テストなどの受託契約書における文言の明確さ、侵入テストの認知と啓蒙、逮捕されないための取り組みなどを議論していくという。デマ―キュリオ氏は聴講者に参加を呼びかけた。
「たとえば今回のケースでは、ターゲットとなる建物の権原保険会社に確認をとるべきだったのかもしれないが、そこまでやるべきなのかどうか私には分からない。そうした不明瞭で不安な部分を多くの人と話し合い、少しずつ解消できればと考えている。どの分野の人でも構わない。少しでも関心を持ってくれたら、ぜひ議論に参加してほしい」(デマ―キュリオ氏)
Coalfireでは「倫理的なハッカーを守るためのワーキンググループ」を立ち上げた
* * *
レッドチームやペネトレーションテストは、攻撃者の視点から“ギリギリを攻める”ことで、通常は見えてこないシステムの脆弱なポイントを探し出す有意義なサービスだ。だが同時に、そうとは知らされずテストされる側には悪感情を生む可能性もある。たとえばそれは、デマーキュリオ氏が引用したアイオワ州知事の発言にも明らかである(侵入テストに対する知事の認識は間違っているが)。テストを実施するセキュリティ企業とハッカーの法的な安全を確保することはもちろん大切だが、それだけはでなく、こうしたサービスについての社会的な啓蒙と理解の促進、ターゲットとなったテスト対象者へのフォローアップなどもあわせて考えていくべきかもしれない。Coalfireが立ち上げたワーキンググループにおいて、幅広い意見が交換されることを期待したい。
「逮捕されたときには、業界関係者から数多くの支援の手が差し伸べられた。知らない人たちからも激励のメールが届き、弁護士や法律家を紹介してくれる人もいた。心から感謝している。私たちセキュリティ業界の人たちは、みんなが安全に生活できるよう手助けたいと真摯に思って活動している。それは間違いない。このような悲劇が今後起こらないよう取り組んでいきたい」(ウィン氏)
