大英博物館、解雇した職員の不正侵入でシステムトラブルに逢う。いい教材をありがとう!(IT管理者目線)
なかなか愉快なニュースが流れており、IT業界の管理者の皆さんは後方で腕組みしながらニヤァ…ってしていることでしょう。
いやなんていうか、こんな研修資料にオススメな事例の提供どうもありがとうございます。みたいな感じですよ。
大英博物館 解雇された元職員が館内のシステム破壊 展示中止など大混乱に
https://news.tv-asahi.co.jp/news_international/articles/000400287.html
BBCでのニュース
British Museum hit by alleged IT attack by ex-worker
https://www.bbc.com/news/articles/cd9qjde4wnqo
・先週解雇した職員(BBCソースだと請負業者)がシステムのある建物に木曜の夜に不正侵入
・いくつかのシステムをシャットダウン
・警官が駆けつけ、その場で逮捕
・システム復旧が間に合わず金曜は一部展示がクローズ、チケット発行なども出来なくなる
…という状況なのだが、これの何がマズいかというと、情報セキュリティの基礎の基礎である運用ルールが何重にも破られている、というところである。みんなセキュリティ研修はちゃんと受けたなー?! どうあるべきだったのか、どこがマズかったのか、3つ述べよって言われたら書けるよなー??!
というわけで、自分的に「ここがあかんやろ」というのを書いておく。
まず1つめ。
退職者がシステムのある建物か、システムにアクセスできる端末のあった場所に入れてしまっている。
つまり入館IDやシステムへのログイン権限が取り消されていない。
これはIT業界1年めの人でも知ってないとダメだし答えられないとちょっとまずい内容。
退職者のアカウントや権限は速やかに削除すべし、というのがセキュリティの基本。うちの会社も退職申請出したら申請日の18時にはアカウント消されてしまうので17時には全てお片付けしてお帰りください。って感じになる。
突発的によからぬ理由で解雇したなら、なおさら早く対処すべきで、何で権限を消していないのかが分からない。
入退室カードなどの権限を消していたにも関わらず、誰かと共連れで入室した可能性もあるが、その場合は「共連れ禁止」という現場ルールが守られていなかったのが問題となるだろう。
2つめ。
コマンドで強制的にシステムを落とされていた場合には、管理者権限の運用が不適切。
システムが物理的に破壊されていた場合には、物理的な保護が不十分。
システムをコマンドでシャットダウンないし停止させるには、管理者権限が必要だ。Linux系だとroot、Windows系だとadministrator。いったん個人IDでログインしてから管理者にスイッチするならまだしも、まさかダイレクトにその管理者アカウントでログインできるようになっていたのか…? とか、管理者が変わったのにパスワード変更してないの…? とかが思い浮かぶところである。
今回は解雇された職員自身が内部から破壊しているのでまだ犯人が分かりやすかったが、その職員が「あそこのシステムの管理者権限のパスワードはxxxやで」ってハッカーに漏らすだけでもヤバかったのでは。
もしサーバ室に入りこんでケーブル片っ端からぶっこ抜きました、とかいう破壊だった場合は、サーバ室への入室管理とか、サーバラックの施錠管理とか、物理的な保護が不十分だと思う。日本の金融系のシステムだと、基幹システムのある部屋は必ず二名入室かつ入室許可出してラックの鍵の借用申請と入室目的書いて…とか手続きが大変で、物理破壊に行ける状態にはない。そこまでしろとは言わないけど、システムの防御が甘かった可能性がある。
3つめ。
20時過ぎという遅い時間に一人で作業出来てしまっている。
システム管理者が夜間に建物に入って作業することは、障害とか、時間外の特別なメンテでもなければ、普通は無い。自分の担当したシステムだと、夜間に作業する時は夜間入室申請などが必要だったのだが、そういうのは無かったのだろうか。そして誰もおかしいと思わなかったのだろうか。
24時間/365日稼働している監視センターなら常に人がいるので夜間でも人の出入りはあるだろうが、同時に、常に人の目がある状況となる。警官が駆けつけてるところからしても、今回の犯行現場は、夜には誰も人がいないところだったのではないかと思う。
そうすると、そもそも夜間に作業出来る状況になってるのが間違い。時間外になると建物の入口が閉じて申請出した人しか通してくれないとか、時間外作業の申請をしていないのに管理者権限を使おうとするとアラートが発報されるとか、そういう抑止的な仕組みが全然無かったんだろうか。
ものすごく性善説で運用されていたんだな…という感じである。
あと挙げるとすれば、
正規職員ではなく請負だったっぽいので、「請負にシステム権限全部与えるなよ」という点。
ITシステムだけでなく警備システムにも損害を与えたという話なので、「一箇所に重要なシステムぜんぶ集めんなよ(警備システムまでIT担当一緒なん…?)」という話。
このあたり挙げておけば、セキュリティ研修の担当者もきっとニッコリしてくれるはず。
なお、イギリス関連だと、1年ちょい前くらいに大英図書館もランサムウェアの被害を受けて長期停止していた実績(?)がある。この時は復旧まで数ヶ月かかっていた。
大英図書館(英国図書館)、ランサムウェアによるサイバー攻撃によりサービス停止中。DB復旧に時間がかかるらしい
https://55096962.seesaa.net/article/501563144.html
ヒトというものは、利用者も管理者もセキュリティホール足り得るのです。しかも、そこは絶対防げない。
ただ基本的な防御策を取っておくことで、あまりにもショボい理由でのシステム停止は防げるし、誰かがポカミスしても二重三重の対策があればどっかで止められる。人の善意や注意力に頼るのはノーガード戦法に等しいので絶対にダメ。
これを機に、システム運用の建付けちゃんとできるといいっすね。
(※なお、ここで変なコンサルとか入れてしまい、カネだけ食われて状況は悪化する、というのが、日本ではよくあるパターン…。まともなセキュリティの専門家を雇おうね!)
いやなんていうか、こんな研修資料にオススメな事例の提供どうもありがとうございます。みたいな感じですよ。
大英博物館 解雇された元職員が館内のシステム破壊 展示中止など大混乱に
https://news.tv-asahi.co.jp/news_international/articles/000400287.html
BBCでのニュース
British Museum hit by alleged IT attack by ex-worker
https://www.bbc.com/news/articles/cd9qjde4wnqo
・先週解雇した職員(BBCソースだと請負業者)がシステムのある建物に木曜の夜に不正侵入
・いくつかのシステムをシャットダウン
・警官が駆けつけ、その場で逮捕
・システム復旧が間に合わず金曜は一部展示がクローズ、チケット発行なども出来なくなる
…という状況なのだが、これの何がマズいかというと、情報セキュリティの基礎の基礎である運用ルールが何重にも破られている、というところである。みんなセキュリティ研修はちゃんと受けたなー?! どうあるべきだったのか、どこがマズかったのか、3つ述べよって言われたら書けるよなー??!
というわけで、自分的に「ここがあかんやろ」というのを書いておく。
まず1つめ。
退職者がシステムのある建物か、システムにアクセスできる端末のあった場所に入れてしまっている。
つまり入館IDやシステムへのログイン権限が取り消されていない。
これはIT業界1年めの人でも知ってないとダメだし答えられないとちょっとまずい内容。
退職者のアカウントや権限は速やかに削除すべし、というのがセキュリティの基本。うちの会社も退職申請出したら申請日の18時にはアカウント消されてしまうので17時には全てお片付けしてお帰りください。って感じになる。
突発的によからぬ理由で解雇したなら、なおさら早く対処すべきで、何で権限を消していないのかが分からない。
入退室カードなどの権限を消していたにも関わらず、誰かと共連れで入室した可能性もあるが、その場合は「共連れ禁止」という現場ルールが守られていなかったのが問題となるだろう。
2つめ。
コマンドで強制的にシステムを落とされていた場合には、管理者権限の運用が不適切。
システムが物理的に破壊されていた場合には、物理的な保護が不十分。
システムをコマンドでシャットダウンないし停止させるには、管理者権限が必要だ。Linux系だとroot、Windows系だとadministrator。いったん個人IDでログインしてから管理者にスイッチするならまだしも、まさかダイレクトにその管理者アカウントでログインできるようになっていたのか…? とか、管理者が変わったのにパスワード変更してないの…? とかが思い浮かぶところである。
今回は解雇された職員自身が内部から破壊しているのでまだ犯人が分かりやすかったが、その職員が「あそこのシステムの管理者権限のパスワードはxxxやで」ってハッカーに漏らすだけでもヤバかったのでは。
もしサーバ室に入りこんでケーブル片っ端からぶっこ抜きました、とかいう破壊だった場合は、サーバ室への入室管理とか、サーバラックの施錠管理とか、物理的な保護が不十分だと思う。日本の金融系のシステムだと、基幹システムのある部屋は必ず二名入室かつ入室許可出してラックの鍵の借用申請と入室目的書いて…とか手続きが大変で、物理破壊に行ける状態にはない。そこまでしろとは言わないけど、システムの防御が甘かった可能性がある。
3つめ。
20時過ぎという遅い時間に一人で作業出来てしまっている。
システム管理者が夜間に建物に入って作業することは、障害とか、時間外の特別なメンテでもなければ、普通は無い。自分の担当したシステムだと、夜間に作業する時は夜間入室申請などが必要だったのだが、そういうのは無かったのだろうか。そして誰もおかしいと思わなかったのだろうか。
24時間/365日稼働している監視センターなら常に人がいるので夜間でも人の出入りはあるだろうが、同時に、常に人の目がある状況となる。警官が駆けつけてるところからしても、今回の犯行現場は、夜には誰も人がいないところだったのではないかと思う。
そうすると、そもそも夜間に作業出来る状況になってるのが間違い。時間外になると建物の入口が閉じて申請出した人しか通してくれないとか、時間外作業の申請をしていないのに管理者権限を使おうとするとアラートが発報されるとか、そういう抑止的な仕組みが全然無かったんだろうか。
ものすごく性善説で運用されていたんだな…という感じである。
あと挙げるとすれば、
正規職員ではなく請負だったっぽいので、「請負にシステム権限全部与えるなよ」という点。
ITシステムだけでなく警備システムにも損害を与えたという話なので、「一箇所に重要なシステムぜんぶ集めんなよ(警備システムまでIT担当一緒なん…?)」という話。
このあたり挙げておけば、セキュリティ研修の担当者もきっとニッコリしてくれるはず。
なお、イギリス関連だと、1年ちょい前くらいに大英図書館もランサムウェアの被害を受けて長期停止していた実績(?)がある。この時は復旧まで数ヶ月かかっていた。
大英図書館(英国図書館)、ランサムウェアによるサイバー攻撃によりサービス停止中。DB復旧に時間がかかるらしい
https://55096962.seesaa.net/article/501563144.html
ヒトというものは、利用者も管理者もセキュリティホール足り得るのです。しかも、そこは絶対防げない。
ただ基本的な防御策を取っておくことで、あまりにもショボい理由でのシステム停止は防げるし、誰かがポカミスしても二重三重の対策があればどっかで止められる。人の善意や注意力に頼るのはノーガード戦法に等しいので絶対にダメ。
これを機に、システム運用の建付けちゃんとできるといいっすね。
(※なお、ここで変なコンサルとか入れてしまい、カネだけ食われて状況は悪化する、というのが、日本ではよくあるパターン…。まともなセキュリティの専門家を雇おうね!)
