2016年2月5日（金）

情報セキュリティの運用面での脆弱性情報にも届出制が必要なのではないか。

株式会社エネルギア・コミュニケーションズ 基盤サービス部
EGNサービスチーム サブマネージャ　濱本　常義

　　
　筆者は広島という地方で、電力系通信会社に所属し、電力グループ、地域の情報セキュリティ対策のお手伝いをしています。また、個人で、セキュリティもみじという、広島でのオフラインの情報セキュリティ勉強会や、IPAのセキュリティ・キャンプ事業のお手伝いなどをしております。
 
　皆さんの記憶にも新しいと思いますが、某通信教育会社の個人情報漏えい事案後、組織内の情報セキュリティ対策が、単なる実施したかどうかではなく、より厳密に、その運用状況のチェックまで求められるようになりました。
 
　該当の企業も、後に出てきた報告書を見る限り、USB経由での書出しに対しては、書出し制御するシステムが導入されていたり、データベースでの大量の個人情報の取得を監視しているなど、性悪説を念頭に対策がされているように見えました。このように、ほぼ国内トップクラスのセキュリティ対策をしていたにもかかわらず、事件が発生してしまった点を見ると、悪意を持った作業者が、自分の与えられた権限内で悪意をもって行動した場合に、その犯行を防ぐのがいかに難しいかが分かります。また、一度作ったセキュリティシステムのセキュリティレベルを維持することの難しいさも分かって、身につまされる事件でした。
 
　筆者においても、この事案、非常に感慨深いものとなりました。なぜなら、実は、この事案の情報漏えいの運用面での脆弱性となっていた携帯電話の該当OS(Android 4.0)が備えるファイル転送のMTP(Media Transfer Protocol)によって、企業のUSBデバイス接続の制限が効かなくなる脆弱性について、実は事件が発生する2年も前の2012年には気がついていたからなのです。
 
　当時、Galaxy Nexusを私用で買って自宅のPCに繋げたときに、携帯電話がUSBストレージではなくて、携帯電話のアイコンになった事に気がつきました。疑問に思って調べて見ると、Andoroid 4.0以降では、ファイル転送に、デジカメなどが使っているプロトコルMTPが採用されている事が分かりました。（当時、主流だったAndoroid 2.0系のファイル転送はUSBマスストレージ機能などでした）ここで、これは情報漏えいに悪用できるのではないかとピンときました。なぜなら、筆者はエンドポイントの資産管理系のデバイス制御に対応したセキュリティ製品を構築・運用していた経験があり、これらの製品が経験上、OSの新しい機能などに対応、追随できず、本来有効であるべきセキュリティ対策が一時的に無効になってしまう事があることを経験的に知っていたからです。
 
　確認してみると、案の定、ファイル操作系のAPIを使ってファイル操作を記録していたり、USBマスストレージに対するデバイス制御を行なうタイプのセキュリティ製品のファイル操作履歴取得機能やデバイス制御機能が、Andoroid 4.0系の携帯電話には効かない事が分かりました。筆者は,セキュリティ製品が機能対応するまで待てなかったので、Microsoft標準のActive Directoryの機能でクライアントOSにおいてWPD(WindowsPortable Devices)の接続を禁止するグループポリシーで、クライアントPCとAndoroid携帯電話の接続を無効化することで対応しました。
 
　これは、私がセキュリティ診断系の技術者でもあり、OSなどの新機能や管理機能があった場合に思考を悪人視点で逆転させて、管理者にとって便利な運用機能は、攻撃者にとっても便利な機能であるということをいつも念頭にして思考するよう心がけていたからです。かつ、セキュリティ製品の構築・運用の経験があり、セキュリティ製品には運用面、技術面で穴があることが多いことを知っていたからこそ気がついたのです。セキュリティ診断技術者のように攻撃者の視点で物事を思考することを日常的に行なっておらず、セキュリティ対策製品の導入時の機能を信用して運用だけしている方々では、なかなか気がつかなかったのではないかと思われます。
 
　事実、私が脆弱性を発見した当時、この問題に気が付いて警鐘を鳴らす者も、国の機関も組織もありませんでした。これらの脆弱性の注意喚起を行うIPAやJPCERT/CCからも注意喚起が出ていません。なぜなら、この機能は、単にPCから携帯電話へファイルが書き出せるOSの機能としては正常な機能で、厳密にはOSやアプリケーションの機能としては脆弱といえるものではなかったからです。ある意味、情報セキュリティにおける対策当初は対策がなされた情報持ち出しのリスクが、OSやアプリのアップデートを行っていく過程で新たに生まれた、いわば運用面での脆弱性であったからです。
 
　このセキュリティ対策製品の脆弱性を、筆者は気がついた当時、公開しませんでした。なぜなら、以下の理由からです。セキュリティ対策製品のアップデートは、本番業務に影響がないように安全な運用を求められる性格上、安易にアップデート作業を行ないません。アップデートは、運用中のシステム全体を対象に慎重なテストを経てから導入しなければ、却ってシステムの可用性等が損なわれるおそれがあります。そのため、インターネット上で、直接リスクにさらされているわけでもなければ、導入されたセキュリティ対策の機能に満足している間はそんなに頻繁にアップデートしません。自身も、セキュリティ対策製品の運用者でもあったため、今回の事例のように、セキュリティ対策製品が新たに生まれたリスクに対する対策の機能が対応していないにもかかわらず情報公開してしまうと、運用面でのゼロデイの脆弱性となってしまい、日本中のセキュリティ製品の運用者が困ってしまうと思ったからです。
 
　この脆弱性が存在しても,ファイル操作で機密情報の情報持ち出しの記録はほぼ取れますし、情報持ち出しが禁止された組織において,ファイル操作履歴などから、後で必ずばれるリスクを侵して会社のPCに私物の携帯電話を繋げる可能性は低いだろうと考えました。そして,セキュリティ対策製品がこの脆弱性に対応したら、WEB媒体でこの記事を書いて啓発しようと思っていましたが、日々の忙しさにかまけて情報公開しないうちに、某通信教育会社の事案が起きてしまったのは痛恨の極みです。
 
　また、某通信教育会社事案発生時の手持ちの運用面での脆弱性としては、Andorid携帯電話のBlueTooth接続でのデザリング機能がありました。これは、利用IDがユーザ権限のPCでも、BlueToothデバイスがインストール可能で、そのBlueToothデバイスとAndoroid携帯とのペアリング後、デザリング機能で組織のインターネット接続の裏口として利用可能で、さらにそのPCとAndroid携帯との間で、FTPや、ファイル共有機能を使って情報持ち出しが可能でした。これも危ないと言うことで、複数のデバイス制御系のセキュリティ製品対策メーカに連絡して、デバイスのホワイトリスト化機能が必要ではないかということを伝えました。かなりのセキュリティ製品が対応したので、これを機会に、情報公開したいと思います。
 
　このように、日々、私達のような情報セキュリティの運用に携わる者の元にあるセキュリティ製品の運用面での脆弱性ですが、実は情報共有の手段が非常に個人的なつながりに頼ってしまっていると感じています。似たような試みの、JPCERT/CCの脆弱性情報ハンドリングの対象は、ソフトウェア/ハードウエアシステム等におけるセキュリティ上の欠陥に係わる情報で、IPAの脆弱性関連情報の届出受付などは、ウェブアプリケーション（ウェブサイト）およびソフトウエア製品の脆弱性関連情報が対象です。今回、該当する運用面での脆弱性の届出先としては、どちらもしっくり来ませんので、新たに運用面での脆弱性情報届出制度があっても良いのではないかと思います。こういった、届出制度が実施されることを望みます。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。