![]() |
第3回 漏えい原因は怨恨の線が濃厚?
根津 研介 園田 道夫 宮本 久仁男 2005/2/25 |
|
![]() |
記録を使って追いつめられるか? |
顧客情報に触ったとおぼしき関係者のリストに情報を書き込んでいると、いろいろ見えてくるものがあった。例えば広山さんだ。広山さんはもともとの顧客情報管理システムの設計にかかわっていたが、その後ブランクを経てシステム管理のアウトソース先として関係しているらしい。期間は特定できていないが、漏えいしたと思われる最近3カ月以内の時期に関係していたと思われる。
そういう人はほかにも何人かいた。広山さんの現在の会社であるB社に開発業務の一部を委託している、中村君の会社と直接かかわりのある会社、A社(中村君の会社の顧客情報管理システムの開発外注先)の社員たち。中村君の会社の担当、松田さん。中村君の会社の営業職である本山さんと技術部の高原さん。今回の開発業務にかかわっているのはこんなところだ。本山さんと高原さんの名前は意外だったが、開発中のシステムのテストや要件出しというところでかかわっていたらしい。
小野さん | 「仕事で実際に顧客情報に触っていそうなのはこれくらいかなあ」 |
中村君 | 「あくまで仕事の上で、ということですよね」 |
そうなのだ。もし、開発中のシステムや、サーバの管理に問題があれば、別に顧客情報管理システムの開発業務に関係していなくても情報を見ることができたかもしれない。しかしそれは現状をもっと調べてみないと分からないし、調べても分からないかもしれなかった。情報漏えいというのは全く厄介な事態だ。
突然平山さんが2人を呼んだ。
平山さん | 「ちょっと! ひどいことになってるわ……」 |
平山さんが指し示す画面に出ているのは、人事総務の同僚からのメールだった。
平山さん | 「一律500円をお客さんに払おうという動きが社内にあるみたいね。最近のトレンドに乗ったってわけね」 |
中村君 | 「さっきのニュースに架空請求の被害まで出ていたのに、そんなもんで間に合うのかなあ?」 |
小野さん | 「多分無理だな。むしろ500円ぽっちとかでお茶を濁そうとしたら、ほかの同業者にごそっとお客さん流れるんじゃないか? 最初のお見舞い金くらいの意味はあるかもしれないけど……」 |
中村君 | 「被害を受けてる人にとってはありがたいどころか腹立たしいだけなんじゃないですかね?」 |
「どうせタヌキが動いているのだ」と思うと気力が失せていくが、そんなことはいっていられなかった。
中村君はtcpdumpのログ解析を進めている。ようやく関係なさそうなデータを除く方法論が分かってきたが、処理が重いためなかなか進まないのが難点だった。
なにしろ、社内の情報セキュリティ整備が進んできて余計な通信が減っていたとはいえ、膨大なログから記録を抽出しなければならない。まずは期間によるふるい落としだ。クレームをつけてきたお客さんの話では、1カ月前に住所の更新を届け出て、その新しい住所に架空請求が来た、という話だった。開発中のデータベースに住所変更が反映されたのが間もなくだとすると、その時期以降に漏えいしたとすべきだろう。届け出そのものは平山さんが書類を確認したため、時期は1カ月前としてそれ以前のデータをざっくり削った。
次にサーバでふるい落としを行った。データベースサーバと、顧客情報管理システムのWebアプリケーションが稼働しているWebサーバへのアクセス以外をふるい落とした。これはIPアドレスを基に特定できる。
さらに中村君はナイスなアイデアを思いついた。そもそも「どこから漏えいしたのだろう?」という話が発端だ。報告から見て大量のデータが一気に漏えいしているようだ。「データベースからデータベースのファイルそのものを吸い出すのかなあ?」と漠然と思っていたが、それだけではないことに気付いたのだ。開発中のWebアプリケーションに、大量の顧客データを出力する機能があるかもしれない、ということに。
松田さんに聞いてみるとそういう機能があるらしい。ならば、Webサーバのログ、もしくはアプリケーションのログを見て、それをtcpdumpの記録と照らし合わせるとさらにいろいろ分かるかもしれない。
少し光が見えてきた。
![]() |
2/3
|
![]() |
Index | |
漏えい原因は怨恨の線が濃厚? | |
Page1 広山さんの事情 |
|
![]() |
Page2 記録を使って追いつめられるか? |
Page3 またしても陰謀? |
基礎解説記事 | |
にわか管理者奮闘記 | |
5分で絶対に分かるシリーズ | |
管理者のためのセキュリティ推進室 | |
情報セキュリティ運用の基礎知識 | |
Security&Trustウォッチ |
![]() |
連載:にわか管理者奮闘記 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
![]() |
|
|
|
![]() |