セキュリティ怪談『音が聞こえる』|セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ
              

 コース:あっさり

セキュリティ怪談『音が聞こえる』

豊玉堂
決算期も折り返しを過ぎて、前期の振り返りと来年の予算を組み始める、そんな季節になってきました。
稲川豊玉堂です。みなさんお変わりないですか?

セキュリティのカレンダーでは、今期の教育予算の執行をそろそろ考えないといけなかったり、来季の施策に向けて予算を積み上げたり......はたまた、期の変わり目、ボーナスの区切りの退職者の対応をしなきゃいけなかったり、結構ホットな季節でもありますよね。
今日はそんなホットな季節に、みなさんとセキュリティにまつわる、ちょっと背中の涼しくなるようなお話を共有しようと、そんな試みになります。
短いお時間ではありますが、最後までお付き合いください。

それでは「セキュリティ怪談」そろそろ始めましょうか。

セキュリティ怪談キャッチ
これは私の友達が紹介してくれたSEの人から聞いた話です。
そのSEの人......仮にAさんとしときましょうか。

Aさんの会社はなかなかに立派な研究所を持っていて、そこで日々研究員の人たちが業務に励んでいる。
その成果として......研究の成果ってやつですね......盗まれちゃたまんない情報が、どんどんとたまっていくわけです。
そんなわけなんで、Aさんの会社、ネットワークセキュリティにはちゃんと力を入れようってことになった。

Aさんはそんな会社でシステム管理の仕事をしてたんですが、どういったわけか......まぁ、他の人よりちょっと詳しいってんで、セキュリティ担当者みたいなことも任されちゃった。
最初は「ちょっと無理だよ」とかいって断ってたんですが、同僚や上司から是非にと頼み込まれた。
元々責任感の強いAさんなので「じゃぁひとつ、やってみようか」なんて、最後には引き受けた。

そんなAさんが、そろそろセキュリティ担当者も板についてきたかなって頃のこと......
ある日の夜、Aさんが帰り支度をはじめると......



ぽーん


アラームが鳴った。



Aさんが帰り支度の手を止めて、端末をひょいとのぞき込むと、メールが届いてるんですね。
で、その着信アラームが ぽーん と鳴ったわけだ。

「あれ? なんだろうな」ってAさんがメールを見てみると、アンチウィルスソフトのマネージャーからなんか届いてる。

あるユーザーさんの端末PCでマルウェアの実行をブロックした。
で、そのアラートが管理者であるAさんに飛んできたってわけだ。

この会社のネットワークはWebのプロキシと......それからメールサーバーでもアンチウィルスをやってましてね。
メールの方は危ないのは隔離、ユーザーがわざわざ取り出さないと配信されないような仕組みになってる。
大事な情報を持ってますからね。かなり厳重にやってたわけですよ。

そうはいっても、Webやなんかでもって変なモノ見ちゃうとすり抜けるやつもある。
そういうこともありますからね。別に珍しい事でもないし、アラートが出たってことは止めたんだから、まぁ問題はない。
Aさん、その日は帰った。



で、また次の日も......また同じような時間帯に......Aさんが帰ろうとすると



ぽーん ときた。



で、メールを開いてみると......昨日と同じユーザーだったんだなぁ。
マルウェアの識別名は違うんですけどね、ユーザーは同じ。
「あれ? なんかおっかしいなぁ......」と思ったAさんでしたが、まぁ、偶然ってこともありますからね。
それにAさん、近くに社内ネットワークの一部更改を控えて忙しい時期だったもんで、業務も忙しい。
「今度会ったら聞いてみようか」って思いながらも、その日も帰った。

で、その後も何度か同じようなことがあったんですが、他の業務も忙しかったもんで手が付けられないでいた。
ネットワーク更改のあるお盆近くになると、不思議と例のメールも来なくなったもんで、Aさんすっかり忘れてた......



お盆も過ぎて、ようやくAさんも忙しさから解放された。
で、ふと思い出した。
「そういえば、あのメールなんだったんだろうな......」

さっきまですっかり忘れてたんですが、一度思い出すと気になって仕方がない。
もう遅い時間になってたんですが、Aさん、調査を始めた。

識別名を頼りに、ためしにメールシステムの隔離ログを検索すると、ダーっと出てきた。
添付ファイルのついた、ちょっと怪しい文章の......全く同じ内容のメールが、会社のいろんなメールアドレス宛に送られてきてる。
こういうの、ばらまき型っていうんですかね? あんまり出来の良くないのをバーっとばらまいて、引っかかったらしめたものって感じの......そんなメールがアンチウィルスに引っかかって隔離されたってログがたくさん並んだ。
で、日時はというと......全部同じ。ばらまき型ですからね、全部同じなのは当然なんだ。
でもね......時期がちょうど合うんですよ。例のアラートメールと。


「そんなはずないよなぁ」と思いながら、Aさんがそのユーザーの受信ボックスを調べると...
...あった。
全く同じ内容の、同じ添付ファイルのついたメール。


でも、ありうるわけないんだ。
だってそうでしょ? 
アンチウィルスは同じシグネチャでもって引っ掛けるんだから。
他の人宛のメールは隔離されているのに、そのユーザーさんのだけ通過する......そんなことあるわけないんだ。
でも原因はそのメール。どうやら間違いないんですよ。

「おかしいなぁ...なんかやだなぁ」って思ったんですが、始めちゃったからには途中でやめるわけにはいかない。
念のためってんで、メールの例外アカウントにそのユーザーが登録されてないか確認した。
なんかの間違いでもって例外ユーザーに登録されてたら隔離されませんからね。

でもやっぱり問題はないんです。

「おっかしいなぁ......」
Aさんこれには困っちゃった。
ありえないはずの事がおこってるんですよ。
もう人の気配もなくなった部屋の中で、Aさんがうんうん唸ってると......



ぽーん


来た。メールの音だ。
ドキーっとした。
シーンと静まった部屋の中、Aさん一人しかいない中で、アラームがやけに響いた。

「いやだなぁ......みたくねぇなぁ......」
そうは言ってもみないわけにはいかない。

メールを開いた。
読んで、Aさん背筋がゾーっとなった。
アンチウィルスソフトのマネージャーからのメール。
ユーザーは......やっぱり同じ。

こんな夜更けに、もうほとんど人も残ってないのに......
人がいないのに端末だけ勝手に動いてるとしたら......
これって、遠隔操作かもしれないわけですよ。

でもまぁ、とりあえず確認しなきゃってんで、Aさん、意を決してその端末が置いてある場所を確認することにした。
端末のある場所は研究棟、Aさんの今いる場所からは、長ーい渡り廊下を渡って反対側。

Aさん部屋を出て、しばらく行くと、月明かりがぼぅっと照らしている渡り廊下の先に、ぽっと明かりがともってる。
「あれ? まだ人がいるのかな?」
その明かりの中で、何かの人影が動いているのが見えた。

Aさんはそーっと近づいて、窓からのぞいてみると......
その人影は端末の前に座って何かやってるらしいんです。
その画面には......隔離したメールにアクセスするWebインターフェイスが......

Aさん、思わずって形で飛び出して叫んだ。
「なんでせっかく隔離したメールを開くんですか!」

そしたら、その人影がくるーっと振り向いて......
不思議なものを見るような目で、こう言ったっていうんです。
「いや、だって......なにが書いてあるか気になるじゃない」
「好奇心がないと研究職は務まらないのかもしれませんが......」
Aさん、そんな風に言ってましたよ。
「どんなシステムも、人の好奇心には勝てませんよねぇ」
そう悲しそうに、笑ってましたねぇ......
「セキュリティ怪談」、いかがだったでしょうか?
やっぱり一番怖いのはユーザーだよねって声はよく聴かれますが、みなさんの周りはいかがですか?
それじゃまた。
セキュリティ怪談キャッチ