決行日
9月の中旬に差し掛かったある日の18時半過ぎ、アキトは茅場町の雑居ビルの8階にあるシェアオフィスの個室トイレにいた。
サクライ・アキトは拾った免許証に書いてあった名前だ。たが2年間使用したその名前に愛着が湧いた事もあり、退職後もその名前を名乗っている。
先週、サクライ・アキト名義でシェアオフィスを契約する事が出来るかどうかを見定める際にこの8階のトイレを利用した。
何気なくスマホのWifiを見ると見覚えがあるSSIDを拾っていた。その少し特徴があるSSIDの文字列は昔、自分の家で使っていたメーカーの命名規則と同じだという事に気がついた。
試しにブラウザで初期IPにアクセスすると管理画面が表示された。同じように初期登録された管理者ID adminと初期パスワードP@ssw0rdを入力すると管理者メニーにアクセスする事ができた。そこからwifi接続用の正規のパスワードを入手した。
アキトはインターネットに接続後、通信秘匿アプリを起動してVPN接続を行う。VPN接続をすれば通信は暗号化され、どこに接続して何をしたのか容易に調べることができない。
このアプリは多段のVPNで構成されており、実体は接続している端末間が相互に通信を連携するピア・ツー・ピアネットワークとなっている。だから通信を解析するのは簡単ではない。例え、1つ2つのプロバイダが通信ログを開示したところで通信全てを解析することが出来ない。
アキトはこのネットワーク接続ポイントを見つけてからスーパーマーケットのシステムにアクセスを試みていた。そしてコバヤシのアカウントでVPN接続できることを確認している。
コバヤシのVPNアカウントは以前テストでドメインの管理者として参加したままだったのを知っている。コバヤシのアカウントでファイルサーバーにログインし、そこから社員のPC端末管理システムにログインできる事を確認した。
アキトはWindows用のランサムウェアを圧縮してパスワードロックをかけ、PC端末管理システムのEドライブにアップロードする。パスワードロックをかけたのはメモリ領域にファイルが展開された時点でウィルス検知として検知されてしまうからだ。
EドライブにあるDBフォルダ配下に表領域のファイルと似たような名前でランサムウェアを配置した。DBの表領域はウィルススキャンをしていない。
それからクラウドに配置したDBのバックアップをすべて別のファイルと入れ替えておく。
通信制御をかけながら最新のバックアップや人事、財務・管理会計のデータベースやファイルサーバー上の他の契約書をコピーする。
コピー先として用意しておいたボットにデータを落として、そこから通信秘匿アプリでダークネット上で契約したファイルサーバに保存した。ダークネットで取引する際には個人情報を必要としないウェブマネーや仮想通貨が利用できた。
通常到達できないIPが振られたランサムウェアの提供サイト、いつでもコントロールが可能なボット、サブスクリプション型のファイルサーバさえもダークネットで簡単に購入出来る。
先日この接続ポイントからダークネットに接続して契約を行った。罪悪感は無かった。それは例えこの接続ポイントを特定されたとしても、どう捜査したところで自分までたどり着けないという確信があったからだ。
この雑居ビルの8F共有トイレに入るまでの間に監視カメラもセキュリティゲートもない。シェアオフィスの入口にセキュリティゲートがあり、そのゲートの前に監視カメラがある。
シェアオフィスを見学をしようと訪れた際にそれを知って契約を諦めた。監視カメラの角度はセキュリティゲートを通る人物を映すように固定されているのでアキトはゲートをくぐらず、共有トイレを借りて帰ろうとしたのだ。
決行は水曜日の夜に決めていた。木曜の朝にPCが使えなくなり、その混乱の中、木曜の夜の月次締め処理が行えなくなれば支払先にまで影響を及ぼす。木曜中には事の重大さに気がつくだろう。
バックアップも全て別のものに入れ替えておいたので木・金の2日で復旧などできるはずがない。そして、土・日で外部のシステム会社やセキュリティ会社との連携が遅れればより、不安が広がり次のステップが優位に進められる。
決行日の今日、アキトは先月辞めたスーパーマーケットの売上データ分析用URLにアクセスする。
売上データ分析サーバに仕込んでおいたプログラムはポート8443でセッション確立後にSSHプロトコルが使えるようにしてある。つまりインターネット越しにサーバのOSにアクセスすることが可能だということだ。
社員はWebブラウザを使用して売上データ分析サーバのポート443へアクセスしている。そうする事で分析用の画面にアクセスする事ができる。
だが、ポート8443で特定のURLにアクセスする事でも応答がある事は誰も知らない。
ポートスキャンはIPSでブロックされるのであくまでも特定のURL文字列にアクセスした後、通常通りのセッション確立を行う必要がある。そうすることでIPSは許可された通常のセッションとして許可される。
アクセス方法はWebブラウザではなく、コマンド実行用のTera Termがあれば容易にSSH接続する事ができる。
一般ユーザでアクセスした後、管理者権限に昇格させる。そうする事で、あくまでも外部から脆弱性を突いた犯行に思わせる。改変されたライブラリはこのサーバを抜ける際に同じディレクトリに置かれた正規のライブラリとタイムスタンプを変えずに入れ替えてしまえば混乱するはずだ。セキュリティ関連の仕込みがなさすぎるのであとから何が起こったのか検証する事はできないだろう。
認証基盤のLDAPからデータを全て吐き出す。パスワードがハッシュで暗号化されていたので再度テキストで吐き出す。管理者権限が取られてしまっていればシステム内の暗号化など意味をなさない。
rootのパスワードが全て同じでシステム構築から一度も変更した事がないシステムなど腐る程ある。利便性とセキュリティはトレードオフだ。作業者と利用者が便利だと言うことはセキュリティが脆いという事に直結している。
それからもう一つの経路を繋げる。それは社員が入力するのを何度も盗み見て把握した、この企業のVPNユーザとパスワードを利用した接続だった。
コバヤシのアカウントは接続ログを削除しその後は使わない。社員のアカウントが利用されたという事が重要だ。LDAPにアクセスされた形跡があれば外部からこの経路も突破されてもおかしくはない。
異常を知らせる運用管理サーバを停止し、次にメールサーバ、ウィルス対策サーバも停止する。
端末管理システムから端末側のウィルス対策ソフトをアンインストールして端末管理システムを停止する。
メールサーバのログを確認して一連の操作に関連した通知が既に飛んでいないか確認をする。監視の仕組みもさまざまな状況を想定して考えられたものではなく、気休め程度のものだ。
Eドライブにおいたランサムウェアを起動する。初期ターゲットにする社員の端末のアドレスを登録しておいた。
停止したメールサーバを起動して、侵入に使った売上分析サーバのライブラリを正常なものと入れ替える。
アキトが茅場町の駅を出たのは19時45分だった。