こんな物が読みたい : 電脳の深い闇の底から(仮) 作:144283
※あくまでもこんなものが読みたいということだけですので、出来はお察しください。 後、評価も不要です。
※専門用語が多めになっていますが、敢えて説明を載せていません。 ご注意ください。
『近年、増大するサイバー犯罪は日々進化を続けており現在に至るまでには大規模な被害が発生するようになって来ました。』
『これらの攻撃手法の対策を行うにはどうすれば良いのでしょうか?』
■
「ダメじゃないか! こんなミスをしては!」
「すいません」
今、私は中小企業の小さなオフィスで怒られている。 その理由は至ってシンプルなものであり、取引先に送付する文章の書式を間違えてしまったものである。
念のため印刷した後に上司のチェックを受けてもらったところとんでもないミスがあった為である。
「まぁ、発送前でよかったよ。 この部分の訂正は俺がやっておくから君は帰っていいよ」
私はそう上司に告げられ、家に帰ることにした。 最近入社したばかりで私自身こういったことには疎く日々研鑽しなければならないと自分自身でも酷く思っている。
今回のミスを自分なりに直す場所を考えながら、帰路につくことにしたのである。
やぼったい中古の軽自動車に乗り込んで、車を発車させずに職場の駐車場で一息つくのが私流の気分の切り替え方である。
「そうだ。 忘れていた」
気分を切り替えたことでとあることを思い出した。 出社前に設定しておいた自宅のサーバにとある命令を設定していたことを思い出したのである。
正直言って自宅に帰ってから進歩状況をチェックしても良いのだが、帰宅時間を考えると先に正常にプロセスが完了しているかをチェックしたほうが良いだろう。
手持ちのスマートフォンを起動して、自宅のネットワークに接続するためにVPNとの接続を確立する。 自宅のネットワークに対して攻撃をしてくる輩もいるので日々のメンテナンスは面倒なのだが、外部に直接設置するよりも安心感が違うのである。
VPNとの接続を確立した後に私はRDPを利用してスマートフォンに自宅のサーバの画面を映し出した。 その画面が映し出していた物は……。
「おっ、どうやら上手くいったみたいだな」
所定のフォルダに格納されたファイルを見て私はほくそ笑んだ。 そのファイルは某新聞社が定期的に情報を集積しているファイルサーバの中にあるファイルであった。
そう、私は普段はダメな新入社員をしているが裏の顔では様々な情報を集めるために様々な新聞社や官公庁を狙って攻撃を行っているハッカーである。
■
家に帰るということも忘れ、私は新聞社のファイルサーバから無断でダウンロードしたファイルを読んでいた。
侵入した新聞社のファイルサーバは丁寧にニュースのジャンルごとに選別されていた。 選別されたファイルサーバは私個人としては物凄くありがたいのである。 例えば情報統制によって報じられなかったニュース、その新聞社のスポンサーが起こしたトラブルなどを念のために文章として保存しているケースがある。
そのニュースをみればその新聞社に問題のスポンサーが存在していなかったときにどの様に報じていたのかが見えてくる。
こういうのを見ると私は非常に興奮してしまう。 自分なりにこれは稀有な性癖の類であると自覚しているが、別に日常生活において支障があるわけではないので改善するつもりは無い。
わざわざ新聞社の前でUSBメモリをわざと落とした意味が出てきたというものだ。
落ちていたUSBメモリの中身を見たくなるのはパソコン初心者ではない普段からパソコンを利用しているユーザーが抱える心理的な問題である。 しかし、ここまであっさりとC2サーバとの接続を確立できるとは思ってもいなかった。
これからは定期的な情報リソース源として利用できるものだなと嬉しかった。
――その時である。
「何やってんだお前」
■
突然声を掛けられておっかなびっくりで窓を見ると私を叱っていた上司だった。 上司であることに安堵した私は自動車の窓を開けて、上司を見る。
「スマートフォンばっかり弄ってないで、さっさと家に帰れよ?」
さっさと帰ったとばかり思っていたのだろう上司の困惑は私にとってもよくわかるものであった。 私はとっさに嘘をついた
「あぁ、すいません Twitter見てたもので」
そう答えると上司は呆れながらも苦言を呈した。
「最近の若い奴らはSNSに依存しすぎだろう」
確かに近年ではSNSが普及しているが、私は別に依存してるわけではない……と思う。 私はとりあえず頷いておく。 スマートフォンを鞄の中に片付けて、車に乗る前に買った缶コーヒーを飲んだ。 冷めていた。
「俺はもう帰るから、お前も帰れよ」
その上司の言葉を聞き、長居しすぎたかと感じた。 その上司の言葉に返事をした。
上司は複雑そうななんとも言いにくい呆れた顔をした後、私から離れていった。
それを見ながら私はスマートフォンを取り出し、接続を閉じる操作を行おうとした。 しかし、文章をみる途中で動作ログを示す端末が配置されているもう一つの仮想デスクトップを見て、気づいた。
県庁にセットしておいたバックドアとの通信がとれなくなったことを示すウィンドウであった――。
■
「で? どういうことっすか? これ」
「官公庁を狙ったサイバー攻撃よ」
県庁でセキュリティ対策の関連企業の『CSA』に入社したばかりの新入社員、岩波隆平は困惑していた。 その困惑の理由は自分の上司に当たる
なぜ、セキュリティ対策の関連企業に入社した彼が今県庁にいるのかというと県庁でインシデントの報告を受けたからである。
騒動の発端は偶然であった。 県庁内のコンピュータのメンテナンスに来ていた同企業がルータの状態を確認するために接続状況を端末経由で覗いていたときのことである。 DNSで名前解決を行わずに接続を行っていた通信が見つかったのである。
通信先を調べてみるとパッと見普通のブログであったが、どうもブログアプリケーションをインストールした際に出る初期のメッセージ以外ブログの記事が存在していなかった。
その違和感を感じたセキュリティ対策で出向して来ていたCSAの社員がその謎のブログサイトに接続してたコンピュータのプロセスを許可を得て確認したところ、謎のプロセスが走っており発覚した。
「サイバー攻撃ですか?」
「そうね その可能性が高いのだけど厄介なケースね」
新はため息混じりに語った。 県庁内のコンピュータに仕込まれていた謎のプロセスが定期的に外部のサーバと
「今、確認とって貰ってるけどもしかしたら犯人の自作ツールかもしれないわね」
新はそう語った。 岩波はその言葉を聞いて正直驚いた。
「スクリプトキディじゃないんですか?」
――スクリプトキディ。 他者が開発した侵入用のアプリケーションを利用して悪さを行う人間のことであるが、今回のケースでは合致しないようであった。
「その線はもちろん考えたのだけど違ったのよ。 出来るだけシステムのプロセスに紛れ込むように細工がしてあったのよ。既存のbotnetとかは既存のセキュリティ対策ソフトで検知出来るようになってるの。 だけどFUDとかされちゃうと検知できなくなるのは通例なのだけど、FUDした後のスパイウェアの説明欄はそのアプリケーション名になるの(※1)。 でも今回のケースは普通にシステムアプリケーションの説明に偽装されていたわ」
つまり、今回のケースでは既存のコンピュータの利用者では出来るだけ気づかないように設計されたスパイウェアであると判明したのだ。
しかしながら、新入社員の岩波にとってはこのスパイウェアの危険性がいまいち理解できてなかった。 その上で敢えて戸惑いながらもこういった。
「それってまずくないですか?」
その発言に新、新人の発言があまり分かってない上でも危険性にそれとなく気づけたことに評価をした。
「そうね。 かなりまずいわよ。 下手したら他のコンピュータにも感染が広がっている可能性があるのだから」
「他のコンピュータにもですか?!」
「まぁ、それは他に調査している社員からの報告を待つとして…………、ちょっとついてきて岩波クン」
他のコンピュータに感染していたケースも考えるとそれはかなりまずいケースなのだが、新にはかなり気になるポイントがあった。
(なぜ、データが暗号化されていないのかしら?)
スパイウェアを仕込めるだけの発想と行動力、技術力に加えそれなりに手間が掛かっている。 それだけの労力が掛かっている以上、何かしらの対価を求めることが自然である。
CSAには以前、ランサムウェアの被害にあった顧客からの相談依頼があった。 暗号化の解除のためには全ての暗号化を解除できるマスターキーを探すか、環境に応じた個別の解除用の鍵を探す必要があった。
今回のケースでは官公庁ということで身代金を要求しても通る可能性は低いが、それでもやってみても問題ないはずである。 ところが今回のケースでは暗号化すらされず、だた情報を収集していただけである。
(仮想通貨のウォレットから調べることも可能かと思ったのだけど厳しいわね……)
そう考えていると新の目的の場所に到着した。 その場所は――
「ここは……サーバルームですか?」
「そうよ」
新は岩波の疑問に即答した。
■
サーバルームに入ると県庁のサーバ保守を行っている座って作業をしている職員がいた。 新にとって都合が良かった。 顧客のサーバを安易に触ることは禁じ事項の一つであるが、職員に代わりに調べさせれば問題ない……はずである。
「ちょっといいかしら?」
座って作業を行っていた職員に声を掛ける新。 その職員はいきなり声を掛けられて驚いたが、すぐに後ろを振り向いた。 さえない眼鏡を掛けた若い男性であった。 歳は20台ぐらいだろうか?
「……えーっと、今トラブルの対応をしている『CSA』の方ですか?」
どうやら、職員の間でも情報流出が起きていた可能性があると話題になっていたらしく今の対応を行っている会社の名前も周知のことであった。 なおさら、都合が良かった。
「そうです。 ちょっとお伺いしたいことがあるんですが」
新は運がよかった自分に感謝しつつも質問をぶつけることにした。
「なんでしょう?」
「こちらのサーバの接続状態を確認したいのですが……」
新が気になっていたのはデータの暗号化を行わなかった目的だ。 身代金を要求しなかったということは金銭目的の攻撃の可能性は低く、加えて無差別な攻撃ではない可能性のほうがやや高い。
そこで気になっていたのがサーバルームに置かれているサーバの状態である。 もし、新のとある仮定が本当なのであれば――
「コマンドは何と打てば?」
「スーパーユーザーの権限で『netstat -alA inet』よ。 無理だったら一般ユーザー権限でもかまわない」
サーバが現在どこと接続をしてるのかを調査することにしたのである。 職員もパソコンにはかなり詳しかったようですらすらとコマンドを打ち込み命令を実行する。
ずらりと並んだ出力結果見て、気になるものをペンとメモ帳でメモする新。 スマートフォンでメモをしなかったのには彼女なりの理由があるのだが、それはさておき新入社員の岩波はただそれを観察しているだけであった。
「ご協力感謝いたします。」
メモを終わらせた新は職員に感謝の言葉を掛けつつ、その場を後にした。 岩波もなれない調子で別れの挨拶をした。
「会社に戻るわよ」
新はCSAの本社に戻ることにした。 他の社員も調査を行っていることでもあるし、ここで出来ることはあまりなさそうであると考えたからである。
■
「これは……」
メモに記した接続先を調べると国内のサーバに繋がっているものが多くある中で一つ奇妙なものを新は発見した。
「ロシアのサーバ……? なんでこんなところに?」
一つだけ示されたアドレスのサーバ所在地はロシアだった。 実際にそのアドレスにアクセスすると更新が放置されたロシアのアーティストの公式サイトだった。
しかし、変な話である。 なぜデータサーバがロシアのアーティストの公式サイトに繋いでいたのか? サーバルームにいた県庁職員が見ていたのか?
そこで新はそのアーティストのドメインにでたらめなURLを指定して404ページを表示させることにした。 そこにあったのはhttpdの標準的なエラーページである。 しかしながらバージョンがかなり古い。
「管理状況があまり良くないみたいね…… というかこれWordPressじゃない」
戻るボタンを押して改めてページのソースを見ればWordPressの表記が見つかり、しかもそのバージョンはかなり古いものであった。
ご丁寧に外部から不正アクセスできるタイプのものである。
新の疑念が確信に変わった瞬間である。
「まずいわね……これは」
新はこの後にあるインシデント対応会議でこれを議題に出すことにした。
■
CSAの社内で始まったインシデント対応会議が始まった。 まずは眼鏡の少々目の隈の主張が大きい社員が問題のコンピュータの内で走っていたプロセスについての説明を始めた。
「まず、問題のプロセスに関してですが、開発環境が日本語であることが判明しました」
この発言に驚いたのは新もそうだが、他の社員も同様であった。 最近では中国語やロシア語、英語のものが多い中で日本語の環境で作られたという事実はなかなかにショッキングな出来事である。
数年前に起きた冤罪事件でも使われた不正なアプリケーションの開発環境が日本語であったことが判明しており、その犯人の逮捕にかなりの人的リソースが割かれたのは警察内部でも相当の負担であったと聞いている。
「落ち着いてください。 しかしながらこれは以前あった
「どういうことだ?」
その質問をしたのは初老に入ったばかりの上司の白柳巌である。 白柳は統括役の役割としてはとても適任であるが、情報分野をメインで活躍しているわけではない。 だからこそ、意味のある存在なのだ。
「まず、以前のアレにあったSambaCry(※)の脆弱性関連のコードすら見つからなかったんです」
しかしながら、SambaCryの脆弱性が含まれていなかったということは別経由の感染経路がある可能性がある。 白柳はそれを突っ込むことにした。
「だが、別の経路があるんだろ?」
「ちょっと、気になるコードがありまして……」
「気になるコード?」
白柳は白髪交じりの短髪を手で掻きながら首を傾げた。
「httpのパケット模したものなんですが…………通るはずがないんです。 パケットのデータの一部がでたらめなので400が帰ってくるだけのコードなんです」
「なのに入ってるのか」
「それ見つかってないexploitじゃないんですか?」
白柳の発言の途中で割り込んだのは峰里京太郎というCSAの社員の一人である。 灰色のスーツをカジュアルに着こなした姿で鋭い指摘を飛ばす。
「それはまだ調査中です。 全部解析が終わったわけじゃないので」
それに返すは先ほど報告した社員である。隈がまた悪化したように見えるが大丈夫なのだろうかと新は感じていた。
会話が途切れたタイミングを見計らって
「ちょっとよろしいですか?」
新はデータサーバにあった奇妙な通信について発言しようとした矢先である。
「すいません! 失礼します!」
そのときであった。 別の男性社員が会議中に飛び込んできた。
「会議中だぞ!」
檄を飛ばす白柳に入ってきた男性社員が一瞬ひるんだが、負けずに
「中央日報でインシデントが発生しました!」
その言葉に会議室の中は騒然となった。
■次回予告
県庁で発生したインシデント対応に追われるCSAの社員たち。
そんな中で発生した新たなインシデントで驚愕の事実が発覚する。
中央日報で発生したインシデントとは?
次回――、『Fetcher 2』
◆
なーんてのが読みたいんですけど誰か書いてくれませんか?
外部公開するつもりはないですし、誰かこういうネタで書いてくれるといいなーって思ってます。
後、続きません。
後、警視庁サイバー犯罪対策課にしたほうがよかったかも……うーん、後の祭り!