検索
特集/連載

実録――無線LANへの侵入者を目前で阻止Case Study

偶然ネットワークへの侵入現場を押さえたことが、侵入探知と予防を年中無休体制で実行する専用センサーの導入につながった。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 ある日の午後、ネッド・アリソン氏は偶然、自分のネットワークに侵入しようとしている人物を見つけた。「ある人物が通りを隔てた向かいのホテルのワイヤレスネットワークに自分のマシンを接続させようとしているのが、私の机から見えた。私はただ好奇心から彼の行動を見つめていた」とアリソン氏。

 このホテルではインターネット接続は有料制を採っていることが分かり、この男は次をあたり始めた。そして、近くのコーヒーショップを試した。だが、駄目だった。そこも有料だった。さらに、この男は何カ所かほかを試した。だが、それでも駄目だった。そして次に、目の前を通り過ぎるUPSの配送トラックも試してみた。だがやはり、駄目だった。電波は一瞬で消え去った。

 この侵入未遂者は丹念に通りを進んでいた。そして、アリソン氏は次が自分のネットワークの番だと気付き、愕然とした。

 「有線ネットワークに接続されたコンピュータのワイヤレスNICが作動し、信号を発している」との警告を受け取ったのは、ちょうどそのときだった。pingしているノートPCは、ほぼ無制限のネットワークアクセス権限を備えたデータベース管理者のものだった。

 「ああ、なんてことだ!」

 ある日の午後、ネッド・アリソン氏は偶然、自分のネットワークに侵入しようとしている人物を見つけ、思わずこう言った。実際の感嘆符はもっと大きなものだっただろう。だが、アリソン氏にとってはありがたいことに、彼はその標的をとらえていた。その標的は彼の支配下にあった。

 情報システムセキュリティ協会(Information Systems Security Association:ISSA)のサクラメント支部で副会長を務めるアリソン氏は当時、カリフォルニア州のある有名な州機関でネットワーク/セキュリティの専門家として働いていた。機関名は明らかにしていないが、同氏によれば、この政府機関は州に関する重要なデータを含むネットワークを有している。なお、アリソン氏は情報セキュリティプロフェッショナルの認定資格制度として最も権威のあるCISSP(Certified Information Systems Security Professional)の資格取得者でもある。

 この州機関は、倉庫にワイヤレススキャナを導入したいと希望していた。だが、この倉庫はワイヤレス通信が盛んな大通りに面していたため、なかには、バーコードリーダーをセキュリティリスクととらえる向きもいた。倉庫で伝送される情報には財務データが含まれる場合もあるからだ。だがアリソン氏が指摘しているように、「セキュリティはビジネスに可能性を与えるものであって、ビジネスの可能性を奪うものではない」。そこで、同氏は計画の立案に着手した。

 だがアリソン氏によれば、この機関の所在地近辺は「非常にリッチなワイヤレス環境」を備えた地域であり、無料のワイヤレスインターネットアクセスを求める輩がよく群がっているという。同機関では既に、二要素認証、トークン、デバイス証明書など、ありとあらゆるセキュリティ手段を講じていたが、ワイヤレススキャナはそのいずれもサポートしていなかった。

 アリソン氏は、バーコードスキャナとそのワイヤレス接続が通りに漏れないよう、倉庫に防壁を構築する方法、つまり、ある種の見えないフェンスを構築する方法を探した。同氏は外部からの侵入も、内部からの流出も望まなかった。アリソン氏はワイヤレスセキュリティベンダー、ネットワークケミストリーの製品であれば、自分が必要としている要素を満たせることが分かった。ネットワークケミストリーは同機関に、倉庫を囲い込み、有効なデバイスを認識するシステムを提供した。無効なデバイスや無許可のデバイスが侵入を試みると、その作業効率を低下させるべく、ターピット機能が作動するようになっている。

 そうしたなか、冒頭の「ああ、なんてことだ!」の日がやってきた。アリソン氏はこの日、ネットワークケミストリーの「RFprotect Mobile」を使って、その地域のワイヤレス環境をチェックしていた。ノートPCベースのこのポータブルアナライザーは、サイトの調査、セキュリティ査定、センサーの位置のプランニング、事件対応などに利用できる。また、そのエリアにおけるワイヤレス活動の概略も提供してくれる。

 「ある人物が通りを隔てた向かいのホテル(のワイヤレスネットワーク)に自分のマシンを接続させようとしているのが、私の机から見えた。私はただ好奇心から彼の行動を見つめていた」とアリソン氏。

 このホテルではインターネット接続は有料制を採っていることが分かり、この男は次をあたり始めた。そして、近くのコーヒーショップを試した。だが、駄目だった。そこも有料だった。さらに、この男は何カ所かほかを試した。だが、それでも駄目だった。そして次に、目の前を通り過ぎるUPSの配送トラックも試してみた。だがやはり、駄目だった。電波は一瞬で消え去った。

 この侵入未遂者は丹念に通りを進んでいた。そして、アリソン氏は次が自分のネットワークの番だと気付き、愕然とした。

 「有線ネットワークに接続されたコンピュータのワイヤレスNIC(ネットワークインタフェースカード)が作動し、信号を発している」との警告を同氏が受け取ったのは、ちょうどそのときだった。pingしているノートPCは、ほぼ無制限のネットワークアクセス権限を備えたデータベース管理者のものだった。

 NICで信号を発するのは同機関のポリシーに違反する行為だが、このノートPCは新品だったため、まだデフォルトモードに設定されていた。この新品のノートPCのデフォルト設定では、アドホック接続やピアツーピア(P2P)接続も含め、利用できるすべてのワイヤレスネットワークに接続するよう設定されていた。信号を発するNICというのは、デフォルトモードに設定されたままの新しいWindowsマシンでよく見られる脆弱性だ。とにかく、NICが信号を発しているということは、誰かがそのノートPCにワイヤレスに接続し、有線ネットワークに橋渡しできてしまうということだった。そのような事態をアリソン氏は決して望まなかった。だが、そうした事態がまさに起こりかけていた。

 「この男は私のネットワーク上のデバイスを試そうとしていた。私はこの男が“ああ、新しいマシンだ。接続してみよう”と言うのを見た」とアリソン氏はこの侵入未遂者について語っている。

 アリソン氏はRFprotect MobileとそのQuickLocate機能を使って、信号を発しているノートPCが1つ上のフロアの部屋にあることを突き止めた。同氏はこのワイヤレス泥棒が侵入する前に、かろうじてそのマシンを特定し、管理者アクセス権限を取得してNICを止めることができた。攻撃の裏をかき、無許可のネットワークアクセスを阻止することができたのだ。

 「この製品があったからこそ、私は上のフロアに上がって、侵入を防ぐことができた」とアリソン氏は語っている。

 アリソン氏のネットワークに接続しようとした人物に悪意があったかどうかは定かでないが(おそらく、単にケチな輩が無料のワイヤレス接続を探していたのだろう)、深刻な影響をもたらしていたかもしれない。この不審者がシステムへの侵入に成功していれば、彼が接続しようとしていた「特権的ネットワークステーション」を拠点にネットワーク中を巡り歩いていたとも限らない。そうなれば、この人物はほとんどのネットワークデータにアクセスできていただろう。そして、この不法侵入者が同機関のネットワーク上で何か違法な行為を行ったりしていれば、ネットワークホストであるアリソン氏とそのスタッフらの責任が問われていただろう。

 侵入にとどめを刺せたのは適切なタイミングで適切な場所にいられたからだ、とアリソン氏は考えている。この出来事は同氏にとってストレスにはなったものの、その一方では、「ネットワークケミストリーの製品が必要なツールである」ということを上層経営陣に説得するための十分な証拠にもなったという。この侵入未遂事件からほどなく、同機関はネットワークケミストリーの「RFprotect Distributed」システムを導入した。侵入探知と予防を年中無休体制で実行する専用のセンサーだ。アリソン氏によれば、RFprotectシステムはワイヤレス環境のセキュリティ保護手段を自動的に提供してくれるため、同氏のチームはもはや、手作業やまぐれの侵入阻止に頼る必要はなくなったという。

 「この事件のおかげで、われわれは目を開かされた。この問題についてわれわれがいかに脆弱だったかを皆が理解することができた」と同氏。

 この侵入未遂者がホテルのシステムへの接続を試みるのをアリソン氏が目撃してから、NICカードを停止させるまでは、わずか5分程度の出来事だった。だが、実際に事態の進展を観察しているときはもっと長い時間に感じられた、とアリソン氏は語っている。

 「彼が通りを歩いていくのを、私は文字通り、ただ見ていた。最初は“なかなかやるじゃないか”と傍観していたのが、突然、“ああ、なんてことだ! 誰かが私のネットワークにpingしている!”という驚愕に変わった」と同氏は語っている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る