ハッカー初心者でも米国有権者詐欺防止組織に侵入できるという主張の正当性
Gizmodo が今週、不正投票防止を目指す政府のプログラムによって米国有権者の個人データや金銭的利益が危険にさらされていると報告(英文)しました。「Interstate Voter Registration Crosscheck Program(全州有権者登録点検計画)」と呼ばれるこのプログラムには、現在 28 の州が参加しており、2017 年現在で約 1 億人の投票者レコードが処理されています。Gizmodo の記事によると、侵入テストの会社や研究者の協力を得て同プログラムのアーカンソー州にあるサーバの脆弱性の発見を試みたところ、「ネットワークにおびただしい数のセキュリティ脆弱性が存在することが確認された」ということです。この調査によって、報告されていないさまざまな脆弱性がこのネットワークに存在することが明らかになりました。ある研究者は、ハッカー初心者であってもシステムに侵入できただろうと述べています。
とても興味深い内容の記事ではありますが、注意しなければならないのは、「調査に参加した研究者は、誰一人として、アーカンソー州のネットワークに実際にアクセスしたわけではなく、「受動的偵察」と呼ばれる方法で調査を実施した。つまり、ハッキング、テスト、あるいは何らかの攻撃的な行為が行われたわけではない。」としている点です。
このような受動的テストでは、実際の攻撃結果が提示されるわけではありません。このようなテストは、特定のサービスの潜在的脆弱性の特定には役立ちますが、それらの脆弱性が実際に「トリガー」されるまで、IPS、SIEM、マルウェア検知などの追加の制御によって攻撃をブロックできるかどうかを調べる手段がないのです。受動的分析にも確かにメリットはありますが、能動的テストでなければ、本当の脆弱性は確認できません。
同レポートはさらに、次のように説明しています。「ネットワークで有権者点検システムが存在する部分については、セキュリティが少しは強化されており、たとえば、いくつかの内部文書からもわかるように、公的機関の職員だけが使用する IP アドレス範囲にアクセスが制限されているようだ。しかしながら、ProPublica が報告しているように、執拗に攻撃を仕掛けるハッカーが、この対策を回避する方法を見つけ出す可能性は高い。最も単純なやり方としては、州関係者のメールアカウントを偽装して同システムの管理者を騙し、この範囲内にはない IP アドレスを追加させるという方法が考えられる。」
これは、とても重要な意見ですが、記事ではさらに、同システムのサーバがウォッチガードのセキュリティアプライアンスによって保護されているとも説明されています。Firebox を使って IP を制限するアクセスポリシーが作成されているとしたら、前述の「管理者を騙して新たな IP を追加させることでセキュリティを回避する」方法が成功する可能性はないはずです。その反対に、管理者が特定のアドレスを制限するポリシーを実装するのに苦労しているのであれば、新しい IP を追加するという依頼に大いに疑問を抱き、警戒するでしょう。極めて巧妙なフィッシングメールを作成しない限り、本物のセキュリティプロフェッショナルを騙して不正アドレスを追加させるのは困難です。
今回の調査で示されている論理は、受動的スキャンを誰でも簡単に実行できること、そして、スピアフィッシングが必ず成功することを前提にしています。スピアフィッシングはサイバー犯罪者にとって非常に一般的で効果的な方法であり、一般従業員の認証情報を盗む手段としては最適ですが、わずかな警告サインにも警戒するセキュリティ管理者を相手に成功するとは思えません。この調査は、中間者攻撃などの他の脅威についても過度に単純化されたシナリオを想定しているようですが、現実世界における設定でそういったハッキングを成功させようとすれば、初歩的なハッキング技術だけではない、高度なスキルが必要とされます。
さらには、ウォッチガードの管理インタフェースは、外部ネットワークに公開されないようにデフォルトで設定されています。必要とする認証情報を攻撃者が手に入れたとしても、ユーザが意図的にこのデフォルト設定を変更しない限り、管理用ログインが攻撃者にアクセスされる心配はありません。現段階では、使用するかどうかの判断はユーザに委ねられていますが、WatchGuard Firebox は、Radius などの MFA パートナーの統合により、管理、VPN、ユーザ認証で多要素認証(MFA)をサポートしています。
結局のところ、これらの受動的偵察によって明らかになった調査結果の多くはとても興味深いものではありますが、最終結論と言うわけではありません。このレポートで報告されている危険性は確かに存在するものであり、可能性として考慮しておかなければならないのは事実です。しかしながら、能動的テストが実施されない限り、ハッカー初心者であっても同システムに簡単に侵入できると結論付けることはできません。
– Marc Laliberte