セキュリティ
管理者パスワードさえあれば、誰にでもなりすまし、何でも閲覧できてしまう
PWNED 週刊コラム「PWNED」へようこそ。セキュリティ対策を十分に講じなかった組織から教訓をくみ取るこのコーナー、今週は悪意ある者に対して扉を大きく開け放っていながら、幸運にもその代償を払わずに済んだ企業の話をお届けします。
ネットワークに大穴を開けてしまった経験談をお持ちの方は、ぜひ[email protected]までお寄せください。ご希望があれば匿名での掲載も可能です。
今回の話は、仮に「マニー」と呼ぶことにする読者から寄せられたものです。数年前、マニーはある法律事務所で職を得ました。この事務所は、彼一人にチーム丸ごとの仕事を任せてしまい、事実上マニーが単独でIT部門を担うことになったのです。
まもなく彼は、会社のデータとアプリケーションのすべてが、一つの大きなWebベースのインターフェースに収められていることを知りました。そのインターフェースはクライアントの種類ごとに区分けされており、たとえば人身傷害事件用のエリアや、旅行払い戻し用のエリアなどが存在していました。
しかし、そこには一つだけ、大きくぽっかりと空いたセキュリティ上の穴がありました。それは、システム内の任意のユーザーとしてログインできてしまうマスターパスワードです。法律事務所内の多くの人間がこのパスワードを知っており、それさえあれば、健康記録に至るまで、あらゆるクライアントの詳細な個人情報を引き出すことができたのです。
「私はすぐにこれを重大なセキュリティリスクとして指摘しました」とマニーは語ります。「ですが、『ああ、それは管理者パスワードだよ。みんな使っているから触らないで』と言われてしまいました」
なりすましたい相手のメールアドレスさえ分かれば、このパスワードを使ってその人物になりすますことができました。これは社員にもクライアントにも当てはまりました。
「同僚が病欠? その人としてログインし、仕事を別の人に割り振って片付けさせる。クライアントが入力欄を埋め忘れた? その人としてログインして代わりに入力してあげる、といった具合です」とマニーは言います。
このシステム自体はすでに15年物で、技術的には化石のような年代物であり、刷新が切実に求められていました。そこでマニーは、まったく新しいシステムの構築を任されることになりました。上司はバックドアを組み込むことを望んでいましたが、マニーは当然ながらこれを拒否しました。
「バックドアを追加することはきっぱりと拒否しました」とマニーは振り返ります。「その結果、彼らは全ユーザーをシステム管理者に昇格させ、そのまま何事もなかったかのように業務を続けたのです」
マニーの経験から学べるのは、セキュリティの基本を心得た優秀なIT担当者であっても、無知な経営陣によって手足を縛られてしまうことがあるという点です。また、生活のために、IT担当者が強く反対するセキュリティ慣行に従わざるを得ない場合があることも、私たちは知っています。
結局のところ、たとえその言葉が「無知」であったとしても、最終的な決定権を握るのは上司なのです。 ®