2018年9月13日
常識を疑え！ハッカー視点のセキュリティ
筆者）株式会社トライコーダ 上野宣

第６回 欲しいのはダンジョンの地図！ファイルサーバはハッカーにとっての宝箱

皆さんは自社のファイルサーバがキレイに整理整頓されている自信があるでしょうか。不要なファイルはないでしょうか。アクセス権限はしっかり管理されているでしょうか。

内部ネットワークに侵入したハッカーは、情報収集のためにしばしばファイルサーバの中にあるファイルを漁ります。なぜなら、そこにはハッカーが欲しい情報がゴロゴロ置かれている可能性が高いからです。この記事を読んだ後はファイルサーバの整理をしたくなるかもしれません。

まずはダンジョンの地図を手に入れろ

筆者の会社で提供している「ペネトレーションテスト」ではお客さまとの契約の元に、お客さまの会社のネットワークにハッカーが侵入するのと同様の手口で侵入するサービスを提供しています。
このペネトレーションテストでは擬似的な標的型メールをお客さまの会社に送って、添付した遠隔操作用のRAT（Remote Administration Tool）を実行してしまった従業員の端末から社内の調査をスタートすることがあります。これはハッカーも同様で、標的型攻撃の初期段階では仕掛けたRATによって遠隔操作が可能になったところからスタートします。
この状況はロールプレイングゲームの主人公がダンジョンに入ったばかりで、ダンジョンの全体像もわからないし、自分がどこにいるのかわからないような状況に似ています。
この状況に置かれたら欲しいものは何でしょうか。まずは地図があると嬉しいですね。
これはハッカーも同様です。この地図はどこにあるのでしょうか。意外と多いのがファイルサーバの中なのです。ファイルサーバの中を漁っていると、ネットワーク構成図や、IPアドレス割り当て表みたいなものを見つけることがよくあります。
これはロールプレイングゲームで宝箱を開けたら、ダンジョンの地図が入っていたようなものです。管理者の置き忘れでしょうか。それとも全社員に共有しようとしたのでしょうか。

次は魔法の鍵を手に入れろ

内部ネットワークへの侵入を果たしたハッカーは、次にネットワーク内の他のコンピュータやサーバなどに侵入したいと考えます。最初に標的型メールに引っかかったユーザーの端末の中に欲しい情報があるとは限りませんので、他の端末を探しに行くようになるのです。
他の端末に侵入するにはハッカーは何をするのでしょうか。1つは脆弱性や仕様を悪用すること。もう1つは、クレデンシャル（資格情報）を悪用することです。代表的なクレデンシャルは「ユーザー名」と「パスワード」です。

ハッカーはユーザー名やパスワードを手に入れたいと思っているのですが、各々の従業員が大事に管理していて、ハッカーが簡単に手に入れられるようなものではありません…。
そのはずなのですが、ファイルサーバの中からパスワードの一覧が書かれたファイルなどがよく発見されます。EXCELシートに書かれたものから、パスワード管理ソフトのファイルなど、さまざまな形で保存されています。しかも、そのファイル自体が暗号化されていないため、誰でも中身を読むことができることも多くあります。

特にActive Directoryを構築しているような場合において、Domain Adminsなどのドメイン管理者アカウントが手に入るとネットワーク内のほとんどの端末を掌握したも同然です。
これはロールプレイングゲームで宝箱を開けたら、すべての宝箱が開く魔法の鍵が入っていたようなものです。

他にも開発者が置いたであろう、Webアプリケーションなどのソースコードも役立つことがあります。たとえば、データベースに接続するためのIPアドレスやクレデンシャルが記載されていたりすると、その会社の重要なサービスのデータベースの中身が盗まれてしまう可能性があります。
また、リモートサーバに簡単に接続するためのスクリプトなどが置いてあることもあり、ダブルクリックをするだけでIPアドレスもクレデンシャルも入力不要で使えるものまであります。

こんなファイルサーバに心当たりはありませんか？

ここまでに挙げたものは、特殊な例ではなく、しばしば見かける「ペネトレーションテストあるある」なのです。ハッカーは華麗なハッキングテクニックも使いこなしますが、そんなテクニックを披露するまでもなく、ファイルを検索するだけであなたの組織を攻略してしまう可能性もあります。
組織が大きくなるにつれて、メンテナンスがしにくくなったファイルサーバを放置していたり、誰が設置したかよくわからないファイル共有サービスなどはありませんか。今一度見直してみることをお勧めします。