「敵を知って己を知る」──悪用厳禁の“ハッキングデモ”から攻撃者に与えている侵入の隙に気づく

攻撃者はどう侵入するのか？ 【悪用厳禁】のデモで実演

　具体的に攻撃者はどのようにOSINT技術を活用し、攻撃を仕掛けてくるのか。野溝氏は、攻撃を「ターゲットを決める」「開いているポートや脆弱性を確認」「ユーザーの列挙」「辞書攻撃」の4つのフェーズに分けて、テスト環境上に構築したWebサーバーへの攻撃を実演した。

　なお、デモシナリオのうち「開いているポートや脆弱性を確認」と「ユーザーの列挙」はアクティブスキャンに該当し、攻撃とみなされる可能性がある点を野溝氏は指摘。不正アクセス禁止法などの法令に抵触しないことを前提に、特別に許可を得た環境や自身が責任を負える環境以外では決して実践しないことが肝要だと注意喚起した。

　最初のステップでは、インターネットに接続されたサーバーやIoTデバイスや制御機器などの情報を検索できるWebサービスで攻撃対象を探す。

　攻撃対象が決まったら、開いているポートや脆弱性の有無を調べる。デモでは、野溝氏作「サイバーゼリア自動車教習所」のサイトに対して偵察用のコマンドを実行。SSH 22番ポートが開いていること、ApacheとWordPressが稼働していること、それぞれのソフトウェアバージョンなどが明らかになった。

　ここで野溝氏が注目ポイントに挙げたのは、脆弱性が多く報告され、公開されても修正が後回しにされがちなWordPressだ。WordPress専用の脆弱性のスキャンツールをかけると、攻撃対象のサイトで使用されているプラグインが更新されていない状態といった情報のほか、登録ユーザーの一覧が表示された。ユーザーは、「tanaka」と「maintenance」がいるようだ。野溝氏がWordPressのログインページのユーザー欄にtanakaと入力してみると、パスワードが誤りというエラーメッセージが返ってきた。これで「tanaka」というアカウントが存在することが確定する。

　最後は、辞書攻撃でパスワードを割り出す。よく使われるパスワードを集めた辞書（テキストファイル）を使ってツールを走らせると、tanakaのパスワードは「pokemon」であることが判明した。

「100％安全」は作れないからこそ、考え続けることが防御に

　こうして得られた情報は、不正なプログラムやバックドアを仕込むのに悪用することが可能であると野溝氏は言う。一例として、同氏が取り上げたのは政策研究大学院大学のインシデントだ。同事案では、公開Webサーバーの脆弱性を突かれてバックドアを仕込まれ、内部にまで侵入を許してしまった。報告書によれば、悪性プログラムが仕込まれたのは2015年。それから7年間沈黙を続けたのち、2022年8月にネットワーク内の複数のサーバーや端末に攻撃を開始。情報システム担当職員が多数のログイン試行のログを見つけて不審に思い、調査してようやく発覚したというものだ。

　同報告書では技術的な要因として、アカウントの棚卸が不十分であること、守るべき資産の全体像を把握できていなかったこと、脆弱性管理の仕組みがなかったことなどが挙げられた。これらの不備はいずれも、野溝氏が指摘したものである。

　「政策研究大学院大学が公開しているインシデント報告書は非常に学びの多い内容なので、同様の事態を防ぐためにも一読を勧めたい」（野溝氏）

　野溝氏は、「セキュリティに完成はない」と述べる。ガイドラインを満たしていれば十分かと問われることがあるが、100%安全と断言できる状態は存在しない。重要なのは、考え続ける姿勢であると説く。

　「セキュリティとは、守るべきシステムを利用者が安心して使えるようにするための不断の思考の営みだ。一緒に頑張っていこう」と呼びかけ、講演を締めくくった。