2019/04/12

大統領所有のリゾート施設への不正侵入者

ホテル Wi-Fi WiFi リゾート
2019 年 4 月 12 日 Trevor Collins 著

ジェームズ・ボンド、あるいはジョニー・イングリッシュの映画に登場するスパイさながらに、2 つのパスポート、4 台の携帯電話、ラップトップ、外付けハードドライブ、USB メモリを持つ一人の女が、トランプ大統領が所有し、休暇でよく訪れる高級クラブに現れました。ユージン・チャンという名前の彼女は、南フロリダのマールアラーゴを訪れ、泳ぎに来たと警備員に話しましたが、警備責任者が宿泊者名簿を調べたところ、彼女の名前は見つかりませんでした。彼女は、英語を話せるにもかかわらず、話せない振りをしました。警備責任者は彼女が宿泊客の関係者だと考え、彼女を通しました。

受付に着いた彼女は、イベントに参加するために来たと受付係に告げました。ところが、そのようなイベントの予定はなかったため、受付係も宿泊者名簿を調べましたが、彼女の名前はありません。受付係は、彼女に状況を説明し、立ち入ることはできないと告げてから、シークレットサービスに連絡しました。

シークレットサービスからの質問に対し、彼女は、参加するイベントのパンフレットを見せましたが、そのイベントは存在しなかったため、シークレットサービスも彼女に対し、退去するよう命じました。シークレットサービスが彼女の荷物の中から発見した USB ドライブにはマルウェアが含まれていましたが、シークレットサービスの PC はマルウェアの感染を免れました。

現在も捜査が続いているこの事件は、セキュリティの良い例と悪い例を示しています。米軍でコンピュータセキュリティアナリストとして勤務していた時に、境界セキュリティに関するトレーニングを受けたことがありますが、その時の経験から、この事件に、セキュリティの正しい見本と悪い見本の両方を見つけることができました。先ず初めに、境界セキュリティという点では、大きなミスを犯してしまいました。彼女の名前は宿泊者名簿に載っていませんでしたが、警備員は彼女を宿泊客の関係者だろうと推測しました。彼女が施設に立ち入る明確な理由を説明しなかったにもかかわらず、侵入を許してしまったのです。彼女は自分の国籍を理由に英語を話せない振りをして、警備員を混乱させました。推測に頼ることなく、わかりやすい質問を使って、正当な答えが得られるまで何回でも繰り返し、明確な答えが得られない場合は、立ち入りを許可するべきではありません。受付係とシークレットサービスが明確な質問を繰り返したために、彼女が施設のさらに奥まで立ち入ることはできませんでした。

彼女の存在が物理的なリスクであったのは明らかですが、所持品である電子機器によるサイバーリスクにも注目する必要があります。仕事柄、複数の携帯電話を持っている人ももちろんいますが、4 台も持っている人は稀であり、泳ぎに来たのであれば、携帯電話を何台も持ち歩くことはないはずです。彼女の計画が USB ドライブを会議室の近くに落としておくことであった場合、高いレベルの警備責任者がそれを拾って、好奇心から自分の PC に差し込んでいた可能性があります。電話を落として立ち去ることが目的だった場合、かかってきた電話が録音されてしまう恐れがあります。ハッカー御用達の「ラバーダッキー」と呼ばれる USB ドライブがあり、攻撃者は標的が拾ってコンピュータに差すことを想定し、これらのデバイスを標的の目に入るような場所に落としておきます。

この事件からは、いくつもの教訓を学ぶことができます。特定の場所への物理的なアクセスを許可する場合、条件を満たしていることを必ず確認し、例外を設けるべきではありません。この規則に従っていれば、侵入者であるチャンが最初のチェックポイントを突破することはなかったでしょう。さらには、USB ドライブだけでなく、どのようなデバイスが見つかった場合であっても、安全な環境でウイルススキャンを実行してドライブの内容を確認することなく、コンピュータに接続するべきではありません。より安全なのは、テストに使用するコンピュータをネットワークから切り離しておくことです。適切なトレーニングを実施することで、マールアラーゴより安全な環境が実現するでしょう。

Firebox/XTM FirewareOS バージョンアップのお願い