表示調整
閉じる
挿絵表示切替ボタン
▼配色
▼行間
▼文字サイズ
▼メニューバー
×閉じる

ブックマークに追加しました

設定
0/400
設定を保存しました
エラーが発生しました
※文字以内
ブックマークを解除しました。

エラーが発生しました。

エラーの原因がわからない場合はヘルプセンターをご確認ください。

ブックマーク機能を使うにはログインしてください。
カウントゼロ  作者: Co.2gbiyek
一線を越えた日
4/9

決行日

 9月の中旬に差し掛かったある日の18時半過ぎ、アキトは茅場町の雑居ビルの8階にあるシェアオフィスの個室トイレにいた。


 サクライ・アキトは拾った免許証に書いてあった名前だ。たが2年間使用したその名前に愛着が湧いた事もあり、退職後もその名前を名乗っている。


 先週、サクライ・アキト名義でシェアオフィスを契約する事が出来るかどうかを見定める際にこの8階のトイレを利用した。


 何気なくスマホのWifiを見ると見覚えがあるSSIDを拾っていた。その少し特徴があるSSIDの文字列は昔、自分の家で使っていたメーカーの命名規則と同じだという事に気がついた。


 試しにブラウザで初期IPにアクセスすると管理画面が表示された。同じように初期登録された管理者ID adminと初期パスワードP@ssw0rdを入力すると管理者メニーにアクセスする事ができた。そこからwifi接続用の正規のパスワードを入手した。


 アキトはインターネットに接続後、通信秘匿アプリを起動してVPN接続を行う。VPN接続をすれば通信は暗号化され、どこに接続して何をしたのか容易に調べることができない。


 このアプリは多段のVPNで構成されており、実体は接続している端末間が相互に通信を連携するピア・ツー・ピアネットワークとなっている。だから通信を解析するのは簡単ではない。例え、1つ2つのプロバイダが通信ログを開示したところで通信全てを解析することが出来ない。


 アキトはこのネットワーク接続ポイントを見つけてからスーパーマーケットのシステムにアクセスを試みていた。そしてコバヤシのアカウントでVPN接続できることを確認している。


 コバヤシのVPNアカウントは以前テストでドメインの管理者として参加したままだったのを知っている。コバヤシのアカウントでファイルサーバーにログインし、そこから社員のPC端末管理システムにログインできる事を確認した。


 アキトはWindows用のランサムウェアを圧縮してパスワードロックをかけ、PC端末管理システムのEドライブにアップロードする。パスワードロックをかけたのはメモリ領域にファイルが展開された時点でウィルス検知として検知されてしまうからだ。


 EドライブにあるDBフォルダ配下に表領域のファイルと似たような名前でランサムウェアを配置した。DBの表領域はウィルススキャンをしていない。


 それからクラウドに配置したDBのバックアップをすべて別のファイルと入れ替えておく。


 通信制御をかけながら最新のバックアップや人事、財務・管理会計のデータベースやファイルサーバー上の他の契約書をコピーする。


 コピー先として用意しておいたボットにデータを落として、そこから通信秘匿アプリでダークネット上で契約したファイルサーバに保存した。ダークネットで取引する際には個人情報を必要としないウェブマネーや仮想通貨が利用できた。


 通常到達できないIPが振られたランサムウェアの提供サイト、いつでもコントロールが可能なボット、サブスクリプション型のファイルサーバさえもダークネットで簡単に購入出来る。


 先日この接続ポイントからダークネットに接続して契約を行った。罪悪感は無かった。それは例えこの接続ポイントを特定されたとしても、どう捜査したところで自分までたどり着けないという確信があったからだ。


 この雑居ビルの8F共有トイレに入るまでの間に監視カメラもセキュリティゲートもない。シェアオフィスの入口にセキュリティゲートがあり、そのゲートの前に監視カメラがある。


 シェアオフィスを見学をしようと訪れた際にそれを知って契約を諦めた。監視カメラの角度はセキュリティゲートを通る人物を映すように固定されているのでアキトはゲートをくぐらず、共有トイレを借りて帰ろうとしたのだ。


 決行は水曜日の夜に決めていた。木曜の朝にPCが使えなくなり、その混乱の中、木曜の夜の月次締め処理が行えなくなれば支払先にまで影響を及ぼす。木曜中には事の重大さに気がつくだろう。


 バックアップも全て別のものに入れ替えておいたので木・金の2日で復旧などできるはずがない。そして、土・日で外部のシステム会社やセキュリティ会社との連携が遅れればより、不安が広がり次のステップが優位に進められる。


 決行日の今日、アキトは先月辞めたスーパーマーケットの売上データ分析用URLにアクセスする。


 売上データ分析サーバに仕込んでおいたプログラムはポート8443でセッション確立後にSSHプロトコルが使えるようにしてある。つまりインターネット越しにサーバのOSにアクセスすることが可能だということだ。


 社員はWebブラウザを使用して売上データ分析サーバのポート443へアクセスしている。そうする事で分析用の画面にアクセスする事ができる。

だが、ポート8443で特定のURLにアクセスする事でも応答がある事は誰も知らない。


 ポートスキャンはIPSでブロックされるのであくまでも特定のURL文字列にアクセスした後、通常通りのセッション確立を行う必要がある。そうすることでIPSは許可された通常のセッションとして許可される。

アクセス方法はWebブラウザではなく、コマンド実行用のTera Termがあれば容易にSSH接続する事ができる。


 一般ユーザでアクセスした後、管理者権限に昇格させる。そうする事で、あくまでも外部から脆弱性を突いた犯行に思わせる。改変されたライブラリはこのサーバを抜ける際に同じディレクトリに置かれた正規のライブラリとタイムスタンプを変えずに入れ替えてしまえば混乱するはずだ。セキュリティ関連の仕込みがなさすぎるのであとから何が起こったのか検証する事はできないだろう。


 認証基盤のLDAPからデータを全て吐き出す。パスワードがハッシュで暗号化されていたので再度テキストで吐き出す。管理者権限が取られてしまっていればシステム内の暗号化など意味をなさない。


 rootのパスワードが全て同じでシステム構築から一度も変更した事がないシステムなど腐る程ある。利便性とセキュリティはトレードオフだ。作業者と利用者が便利だと言うことはセキュリティが脆いという事に直結している。


 それからもう一つの経路を繋げる。それは社員が入力するのを何度も盗み見て把握した、この企業のVPNユーザとパスワードを利用した接続だった。


 コバヤシのアカウントは接続ログを削除しその後は使わない。社員のアカウントが利用されたという事が重要だ。LDAPにアクセスされた形跡があれば外部からこの経路も突破されてもおかしくはない。


 異常を知らせる運用管理サーバを停止し、次にメールサーバ、ウィルス対策サーバも停止する。

端末管理システムから端末側のウィルス対策ソフトをアンインストールして端末管理システムを停止する。


 メールサーバのログを確認して一連の操作に関連した通知が既に飛んでいないか確認をする。監視の仕組みもさまざまな状況を想定して考えられたものではなく、気休め程度のものだ。


 Eドライブにおいたランサムウェアを起動する。初期ターゲットにする社員の端末のアドレスを登録しておいた。


 停止したメールサーバを起動して、侵入に使った売上分析サーバのライブラリを正常なものと入れ替える。


 アキトが茅場町の駅を出たのは19時45分だった。

評価をするにはログインしてください。
この作品をシェア
Twitter LINEで送る
ブックマークに追加
ブックマーク機能を使うにはログインしてください。
― 新着の感想 ―
手口がやたら具体的なのが興味深いです。 今後の展開、注目してます。
感想一覧
+注意+

特に記載なき場合、掲載されている作品はすべてフィクションであり実在の人物・団体等とは一切関係ありません。
特に記載なき場合、掲載されている作品の著作権は作者にあります(一部作品除く)。
作者以外の方による作品の引用を超える無断転載は禁止しており、行った場合、著作権法の違反となります。

この作品はリンクフリーです。ご自由にリンク(紹介)してください。
この作品はスマートフォン対応です。スマートフォンかパソコンかを自動で判別し、適切なページを表示します。

↑ページトップへ