英国の独占情報セキュリティ企業 NCC Group は、CREST ペンテスト認定試験の合格を支援すると称するフォルダーがいくつかのリポジトリに出現した後、社内トレーニング資料が GitHub に漏洩したことをThe Registerに認めました。
先月開設されたアカウントによってCloudy Code Shackに投稿されたこれらの文書は、「cheatsheets」というフォルダに保存されていました。非常に率直で情報に基づいたトレーニング資料のコレクションのようでした。問題のリポジトリは現在GitHubから削除されていますが、フォークされたコピーがまだ残っている可能性があると認識しています。
GitHubの「チートシート」リポジトリにあるNCCブランドの「ソリューション」。クリックして拡大
ドキュメントには、CREST試験に関する情報を段階的に解説したガイドとウォークスルーが掲載されていました。notes.txtというファイルには、「アプリ試験のクローンで1回で合格」という一文があり、「試験前に直属の上司またはADに相談して予約してください」と付け加えられていました。また、「CRTトレーニングコース」には「模擬試験」や「社内CRT試験」といった記述もありました。
「CREST CRTおよびCTT試験のチートシートとレポート」というラベルの付いたリポジトリ内のファイルの一部。クリックして拡大
CRESTはCRT(CREST Registered Tester)と呼ばれる認定資格を提供しています。CRESTのウェブサイトに記載されているように、この試験は実践的な演習であり、受験者は「一般的なネットワーク、アプリケーション、データベース技術全体にわたる既知の脆弱性を発見することが求められます」。
社内文書の暴露は、英国の緊密な情報セキュリティコミュニティーにおいて、NCCとCRESTの関係の本質について議論を巻き起こした。
NCCグループの広報担当者はThe Register紙に対し、これらのファイルは「NCCグループの古い社内研修資料と、NCCグループに誤って帰属されているか、NCCグループとは無関係のコンテンツを組み合わせたもの」であると述べた。また、NCCのCISOであるドミニク・ビーチャー氏がGitHubに投稿し、ファイルを共有した人物に連絡するよう呼びかけていたことも確認した。
NCCグループはEl Regに対し、これがCISOのドミニク・ビーチャーがGitHubのリークページに投稿した本物のメッセージであることを確認した。
匿名を条件にThe Registerに連絡を取った情報筋によると、このデータの存在は英国の情報セキュリティ界では「公然の秘密」だったという。ファイルを検査した別の情報筋は、「資料の中には最新の試験内容が含まれているものもあれば、10年以上前のものもある(ただし、資料作成時点では最新の情報である)」と語った。
CRESTのCRT認定試験には、「受験者の技術知識を評価することを目的とした多肢選択式セクション」も含まれています。多肢選択式の試験問題と思われるもののコピーも、ハイライトされた回答とともにGitHubにアップロードされていました。
正解が黄色で強調表示された多肢選択式試験と思われるスクリーンショット
複数の情報筋がThe Registerに語ったところによると、リポジトリ内のファイルの少なくとも一部は、開くとcanarytokens-dot-netというドメインに接続しているようだった。VirusTotalのエントリによると、あるファイルは2つの検出エンジンで汎用リモートアクセス型トロイの木馬として登録されたものを読み込んでいたようだ。しかし、canarytokenのウェブサイトは、ファイルを開くと自動的にアドレス帳に紐づくハニーポット型のファイル追跡トークンで、無料で入手できるようだ。
「CRESTは厳格なNDAを締結しており、これらの試験に関するいかなる試験/ラボの内容の開示も禁じています。これは当然のことです」と、 Sと名乗るReg読者は語った。「もし私がNCCグループの顧客だったら、資格のあるCRESTテスターにお金を払ったのに、これらの[文書]を受け取ったおかげで試験に合格したテスターが来たかもしれないと腹を立てたでしょう。」
Twitter上では他のユーザーも同様の懸念を表明している。
分裂はしていますが、ここで問題となっているのはそこではありません。問題は、秘密保持契約(NDA)の濫用と、CRESTの企業行動規範(CoC)と、トレーニングや資料の作成に携わったメンバーの行動規範(CoC)の両方への違反です。NCCとCRESTはジャムサンドイッチのような関係にあり、これは非常に厄介な状況です。
— Scriptmonkey_ (@scriptmonkey_) 2020年8月11日
CRESTの広報担当者はThe Register紙に対し、研修教材は現行の試験とは関連性がないと述べたものの、CRESTの創設メンバーであるNCCが提供したものだと認めた。同組織は声明で次のように述べている。
CRESTの広報担当者は、「GitHub上の『crestnda』と『crestapproved』の返信はいずれもCRESTが投稿したものではなく、これらのアカウントはCRESTとは一切関係がありません。引き続きこの件について調査を進めています」と付け加えました。
NCCの広報担当者はEl Regに対し、「当社はCRESTの会員資格、CREST行動規範の誠実性、そして関連する義務を非常に真剣に受け止めており、CREST会員としての義務を遵守しています。現在、掲載された資料を精査しており、CRESTと緊密に連携しています」と付け加えました。
数年前、明らかにカンニングペーパーにアクセスできなかった大学院生研修生が、ラップトップから離れる前にKali Linuxをロックする方法を300人のスタッフにメールで問い合わせ、NCCを雇用審判に訴えた。
NCC のロンドン証券取引所における株価は、本稿執筆時点で 181.30 ペンスでした。®
