多国籍コンサルティング会社デロイトがハッキング被害に遭ったという月曜日のニュースは、同社によって小さな事件として片付けられた。
今では証拠から、この業界が侵入されたことは驚くことではないことがわかる。セキュリティの面では、あらゆるところに侵入が及んでいるようだ。
火曜日、デロイトの社内VPNパスワード、ユーザー名、業務詳細と思われる情報が、GitHubでホストされた公開リポジトリ内に潜伏しているのが発見されました。これらの情報は過去1時間ほどで削除されました。さらに、デロイトの従業員が会社のプロキシログイン認証情報を自身の公開Google+ページにアップロードしていたようです。この情報は6ヶ月以上もそこに掲載されていましたが、数分前に削除されました。
私たちは鋭い目を持つ読者からこれらのページについて知らされ、問題となる可能性のあるデータのスクリーンショットをいくつか入手しました。
GitHubに流出した、デロイトのネットワークにアクセスするためのVPNの詳細と思われるスクリーンショット。パスワードと思われる部分は検閲済みです。
Deloitte プロキシのログイン情報が記載された Google+ ページのスクリーンショット
企業のログイン情報が漏洩する可能性があるだけでなく、デロイトは、社内システムや潜在的に重要なシステムを多数、リモートデスクトップアクセスを有効にした状態で、不必要にパブリックインターネットに公開しています。これらの機器はすべて、業界のベストプラクティスに従い、ファイアウォールや二要素認証で保護されているはずです。皮肉なことに、これはデロイトが顧客に推奨しているベストプラクティスとほぼ一致していると思われます。
「ここ1日だけでも、世界中に7,000台から12,000台のオープンホストが散在しているのを発見しました」と、フォボス・グループの創設者でセキュリティ研究者のダン・テントラー氏は本日、 The Register紙に語った。「地球上の数十の事業部門、そして数十のIT部門が、それぞれ全く異なる適性レベルを示しています。『真に悪用可能』という言葉が頭に浮かびます。」
例えば、南アフリカにあるデロイト所有のWindows Server 2012 R2マシンがRDPをフルオープンにしており、Microsoftベースのネットワークの重要な頂点であるActive Directoryサーバーとして機能しているように見えました。しかも、懸念すべきことに、セキュリティアップデートがまだ適用されていない状態でした。他の事例では、IT部門が古いソフトウェアを使用していることや、その他多くのセキュリティ上の欠陥が明らかになりました。
以下は NetBIOS が開いているシステムの例です。
ほら見て、445 の Deloitte サーバーがインターネットに公開されている https://t.co/BMFJqG0s3m
— ダン・テントラー (@Viss) 2017 年 9 月 25 日
実稼働の税務 DNS サーバー、
一体何が問題になるんだ? pic.twitter.com/IeHSf7L1Vz
これは、RDP が開いている Active Directory サーバーのように見えます...
「a;sljfasdfjadjaserfaweakjwtgfaehasrhfasd;laksfkasrohawghasedjas;faskdga'seraowhjasjdfasdlfasgajhsdfjarfhoae;ahd pic.twitter.com/54O2PDy7zV
— ダン・テントラー (@Viss) 2017 年 9 月 25 日
...管理者ユーザーもいますが、よく見ると Windows Update はまだ保留中です。
pic.twitter.com/iGlTg4Kqh8
— ダン・テントラー (@Viss) 2017 年 9 月 26 日
そして、他の情報セキュリティ専門家が指摘しているように、Shodan を使って検索できる他の多くの情報がオンライン上に存在し、悪意のある人や好奇心旺盛な人によって突き止められるのを待っています。
Deloitte の米国オフィスには、Netbios から RDP、Exchange Admin(単一要素)などなど、あらゆるものが揃っています。監査人を雇うべきです。pic.twitter.com/C8aoN5YQMn
— ケビン・ボーモント 🙃 (@GossiTheDog) 2017年9月25日
これらのシステムは、コンサルティング大手の社内ネットワークへのハッカーの重要な足掛かりとして使用される可能性がある。
Google+ページには、デロイトの従業員が個人ページにVPNアクセス制御を書き込み、誰でも閲覧できるようにしていたことが示されていたようです。Googleの誇る検索機能を使えば、ハッカーは攻撃を仕掛けるのに十分な情報を簡単に見つけ出すことができ、成功率も高くなるでしょう。
業界トップのITセキュリティコンサルティング会社を自称するデロイトにとって、これはまさに恥ずべき事態だ。同社は、自社の技術専門家向けサービスを高額で他社に販売し、数百万ドルもの利益を上げている。しかし、自社のITインフラに潜在する大きな穴を無視しているようだ。
今回明らかになった詳細は、アナリスト企業ガートナーにとっても、かなり恥ずかしいものとなっている。ガートナーは6月にデロイトを5年連続で世界最高のITセキュリティコンサルティング企業に選出している。ガートナーは、この結論に至った経緯に関する情報提供の要請に未だ応じていない。
デロイトのビジネス慣行は他のセキュリティ研究者からあまり好まれていないため、事態はさらに悪化している。同社は、特に侵入テストにおいて、請負業者への報酬を低く設定することで有名であり、デロイトが自社のセキュリティ対策をあまりにもお粗末にしているという、ある人たちの不幸を喜ぶ声も上がっている。
Deloitteは常に、1人1日あたり1,000ドル未満という、ペンテストの価格を破ることを目指してきました。さて、今ならその価格で何が得られるのか、お見せできます。
— レスポンダー (@PythonResponder) 2017年9月25日
「エキファックスとデロイトの間では、アメリカのセキュリティ業界の大企業が誇大な主張をしているものの、実際はまったくの偽善者だということがわかり始めている」とテントラー氏は語った。
「デロイトは、超一流のセキュリティ人材を揃えていると主張しているはずです。もしそうだとしたら、その人材を自社のインフラに活用することを検討するかもしれません。」
デロイトはコメント要請に応じていない。®
