分析:アイオワ州ダラス郡の裁判所で有料のセキュリティ侵入テストを実施していたところ、コールファイアのゲイリー・デマーキュリオ氏とジャスティン・ウィン氏が逮捕されてから6週間が経ちました。誰もが不正行為はなかったと認めているにもかかわらず、2人は依然として刑事告発を受けています。彼らは不正行為を否認しています。
デモイン・レジスター紙(無関係)は、ウィン氏とデマーキュリオ氏が物理的な侵入テストが失敗した後、重罪の窃盗から軽減された軽罪の不法侵入で起訴されたと報じている。
コールファイア社のCEOトム・マクアンドリュー氏は、テスターたちが無罪放免になるまで彼らを支援し続けると誓った。
「アイオワ州で起こっていることが他の地域でも起こり始めたら、市民を守るべき人々の誠実さを誰が守れるというのか?」とマクアンドリュー氏は書いている。「これは、何百万人もの情報セキュリティ専門家にとって恐ろしい前例となり、彼らも職務を遂行しているだけで犯罪者として刑務所行きになるかもしれないと危惧している。」
では、何が間違っていたのでしょうか。また、他のセキュリティ専門家が現場にいるときに、どうすれば同様の運命を回避できるのでしょうか。
ダン・テントラー氏はフォボス・グループのCEOで、10年近くにわたり企業向けにレッドチームによるペンテストを実施してきました。ウィン氏やデマーキュリオ氏のように逮捕・起訴されたことはないものの、危機一髪の経験は何度かあるとテントラー氏は語っています。
一度、武装警察からクローゼットに隠れなければならなかったことがあるが、一度も手錠をかけられたことはなく、逮捕されたこともない。
「ある時、私は武装警察からクローゼットに隠れなければなりませんでした。婚約を仲介した人たちが、メールに一人の人物の名前を載せていなかったからです」とテントラー氏は今月、レジスター紙に語った。「その一人とは、コンピューター側の担当者と物理的なセキュリティ側の担当者をつなぐ存在だったんです」
エンタープライズ・ペンテストとは、まさにこのような性質を持つテストです。セキュリティ会社は企業から委託を受け、デジタルおよび物理セキュリティの両面からテストと検証を行い、顧客の脆弱性がどこに潜んでいるかを明確に把握します。専門家は基本的に、プロジェクトの合意された範囲内でシステムや場所に侵入し、企業の防御体制や従業員の裏をかくために報酬を受け取ります。テスターはハッカーや犯罪者のように考え、行動しなければなりません。つまり、プロジェクトについて何も知らない従業員に、悪事を企んでいると思われてしまう可能性があるのです。
テントラー氏によると、ほぼすべてのペンテストには、誰がどこにいつ立ち入ることができるか、そしてどのシステムを調査できるかを明確に規定した書面による合意と文書が含まれるという。通常、これはセキュリティ会社と顧客が同席し、「テーブルトップ」セッションを実施することで行われ、想定されるシナリオとその対処方法を説明する。
最終結果として、テストの範囲とパラメータの合意、そして、ペンテスターに施設へのアクセス権を付与する短い文書と、問題が発生した場合に備えて顧客会社の事情に詳しいメンバーの連絡先番号が作成されます。
「万が一、何か問題が起きる可能性を最小限に抑えるために、数人のスタッフが待機しています」とテントラー氏は説明した。「『警察を呼ぶ前に、こちらの番号に電話してください』と書かれた手紙を渡します」
テントラー氏によると、問題はペンテストが本質的に秘密主義であるという点です。施設のセキュリティを最適に評価するためには、現場のスタッフにテストが行われていることを一切知らせず、レッドチームは実際の攻撃者と同じように行動できる必要があります。
まずは言い訳を用意しましょう
テントラー氏によると、鍵となるのは、現場作業と検査実施の手配を行った関係者を繋ぐ明確な人的ネットワークを確立することだ。このネットワークが途切れると、検査は軌道から外れる可能性がある。
コールファイアの場合もそうだったようだ。報道によると、米国アイオワ州は裁判所システムのITインフラと施設への侵入テストを要請し、コールファイアと要件に同意していたにもかかわらず、ダラス郡の警察には通知されていなかった。そのため、デマーキュリオ氏とウィン氏が夜間に裁判所に忍び込んだ後、侵入警報が鳴った際、警察は現場に到着し、不法侵入があったと判断した。
政治が重要な役割を果たしたようだ。デモイン・レジスター紙は、アイオワ州の司法と郡保安官の間で、今回の裁判とは無関係の権力闘争が繰り広げられていると報じており、この対立が2人を拘束し起訴するという決定に影響を与えたようだ。
本質的には、当時デマーキュリオ氏とウィン氏は正式な侵入テストを実施していたことを示す文書を所持しており、警察も電話でその事実を確認できたにもかかわらず、郡保安官はとにかく彼らを逮捕したのです。
「私はデマーキュリオ氏とウィン氏に、この裁判所はダラス郡の納税者の所有物であり、州にはこの建物への侵入を許可する権限はないことを助言した」とチャド・レナード保安官は騒動後、記者が入手した電子メールで説明した。
保安官がペンテスターを手錠で拘束したセキュリティ調査を覚えていますか?契約書は公開されているので、誰が失敗したのか判断できます。
続きを読む
元ペンテスターで、現在はバグ報奨金制度を主催する Bugcrowd の創設者であり、情報セキュリティ研究の標準化に取り組む Disclose.io の共同創設者でもある Casey Ellis 氏は、Demercurio 氏と Wynn 氏が置かれている状況は、多くの点で、企業にソフトウェアの脆弱性を報告しようとしてトラブルに巻き込まれるホワイトハット研究者の状況と酷似していると指摘した。
「脆弱性開示やバグ報奨金制度にも類似の事例があります。研究者が範囲や計画から逸脱してしまうこともあれば、発見された情報を受け取る側の人々が恐怖を感じることもあります」とエリス氏はThe Register紙に語った。
「おそらく、何が起こっているのか理解できず、それを脅威と受け取り、当然の行動をとった人もいただろう」
いずれにせよ、侵入テストでは発見されることが大きな部分を占めるため、侵入テスト実施者の安全を確保し、刑務所に収監されないようにするためには、コミュニケーションが不可欠です。
テントラー氏は、理想的には現場スタッフがレッドチームを捕まえられるようになるべきだと述べた。物事がうまくいけば、状況はすぐに収束し、多くの場合、全員が教訓を得て円満に帰宅できる。
「これまで捕まった時、一度も手錠をかけられたことはなく、逮捕されたこともありません」とテントラー氏は語った。「警官たちを呼んで握手させ、道具を見せれば、うまく対処できれば最終的には警官と仲良くなれるんです」
結局のところ、Coalfireの危機はアイオワ州当局と郡当局間のコミュニケーション不全が原因で、2人の情報セキュリティ専門家が政治的に厄介な存在として扱われることになったようです。レッドチームとそのクライアントは、独自のテストを設定する際にこの点を念頭に置くのが賢明でしょう。
テントラー氏とエリス氏は両者とも、こうした状況を避けるための鍵は、明確なコミュニケーション、明確なガイドライン、そしてどのようなシナリオでも対処する明確な計画を立てることだと同意しています。
これが、皆を安全に保つ鍵であるようです。®
