セキュリティ
人間のIT管理者は上司に親切にしていると思っていたが、実は脅威行為者を支援していた
PWNED またもやPWNEDへようこそ。このコラムでは、他者の恥ずべき失敗から学ぶことで、セキュリティの成功に向けて準備するお手伝いをしています。今日の悲劇的な話は、企業幹部のために良かれと思って警戒を緩めた個人たちの話です。決して賢明な判断ではありません。
ネットワークに大きな穴を開けてしまった人の話をお持ちですか?[email protected]で私たちに共有してください。ご希望があれば匿名での投稿も可能です。
今回の悲劇的な話の出所はBrandon Dixonで、彼は現在AI セキュリティ企業EntのCTOで共同創業者を務めています。しかし以前の人生では、Dixonは雇われのペネトレーションテスターであり、彼の話を聞いただけで私の残り毛すべてが立つほどの事柄を目にしていました。
あるペネトレーションテストの任務中、Dixonはソーシャルエンジニアリングを使用して誰かのアカウントを盗むのがどれほど簡単かを調べようとしました。答えは:ほぼ問題にもならないということでした。
Dixonはセキュリティ責任者になりすまし、パスワードを忘れたとITセキュリティに電話をしました。チャレンジ質問を尋ねられると、その答えも忘れてしまったと述べました。
その後、彼は使用したいパスワードを電話で提示し、彼らはそれを彼のためにリセットしました。その後、彼はネットワークに入ることができ、そこで好きなことをすることができました。
ここに明らかに間違っていることがたくさんあり、教訓を引き出すのがどこから始まるのか知るのが難しいほどです。ITサポート要員はDixonがセキュリティ責任者であることを言葉だけで信じるべきではありませんでした。特にチャレンジ質問に失敗した後は、パスワードリセットの要求を拒否すべきでした。彼らはおそらく「この人は幹部だし、機嫌を損ねたくない」と考えていたのであって、「すべての人が従うべき手順がある」とは考えていませんでした。
もう一つの問題は、IT部門がDixonが提案したパスワードを電話で入力したことです。まず第一に、IT部門は本当の従業員のメールアドレスまたは電話番号にパスワードリセットを送信すべきでした。第二に、ユーザー自身以外の誰かがユーザーのパスワードを知っているというのはセキュリティが非常に悪いです。そして私はこれを、問題がある場合、ITサポート担当者がチャットを通じてあなたのパスワードを求めるような会社で働いていた人間として言っています。
Dixonはまた、彼が製薬会社でコンサルティングをしていた時代のソーシャルエンジニアリングについて別の話も共有しました。競争相手のメンバーは営業およびマーケティング担当者に電話をかけ、同僚のふりをして、今後のドラッグについての情報を抽出しました。これにより競争相手は何が来ているか、そしてそれにどう対応するかを知ることができました。
問題を解決するのに役立つように、Dixonは実際の従業員が会話の開始時に秘密のパスワードを提供しなければならないシステムを導入しました。
「私は『Chal-Resp』と呼ばれるシステムを構築しました。『チャレンジ-レスポンス』の略で、ユーザーが実際の従業員と話していることを検証できるよう作業ペアリングを生成したものです」と彼はThe Registerに語りました。「呼び出し者は単語を言う必要があり、エンドユーザーは適切なチャレンジで応答する必要があります。従業員だけがアクセスできました。」
Dixonの両方の話に共通していることは、人間は喜んで協力し、親切にしたいという証拠です。しかし疑いはinfosecの根本全体であるため、職場で見知らぬ人に少し親切でないようにすることが私たち全員の責任です。 ®
翻訳元: https://www.theregister.com/security/2026/05/14/to-gain-root-access-intruder-just-had-to-ask/5239853
