米国内務省(DoI)は、主にWi-Fi防御の欠如により、最新のコンピュータセキュリティ評価で見事に不合格となった。
これは、同省の監察官(NextGov経由)の報告書[PDF]によるもので、その報告書では、他の欠陥の中でも、スマートフォンとバックパックに詰め込まれた200ドル未満の機器を使用して、インド省の内部ワイヤレスネットワークに無線で侵入できることがわかった。
ご存じない方のために説明すると、内務省はアメリカの自然公園、政府所有地、そして先住民のためのサービスを管理しています。数百もの異なるプログラムに約7万人の職員を擁する巨大な組織です。
「これらの攻撃は、我々が省庁施設を捜索した際に警備員やITセキュリティ担当者に検知されなかったものの、非常に成功しました」と侵入テスト報告書は指摘している。「実際、複数の部署で無線ネットワークトラフィックを傍受し、解読しました。」
さらに悪いことに、2つの支局に関して、当社の侵入テストは問題の無線ネットワークをはるかに超えて内部ネットワークへのアクセスに成功しました。さらに、支局のIT担当者の認証情報を入手し、その認証情報を使って支局のヘルプデスクのチケットシステムにログインし、その担当者に割り当てられたチケットのリストを閲覧することができました。
簡単に言うと、レッドチームは正規のWi-Fiベースステーションを装った悪意のある無線アクセスポイント(いわゆる「Evil Twins」)を設置し、それらを利用して、ガジェットに接続した無防備なユーザーからネットワーク認証情報を収集していました。そのため、正規の無線ネットワークだと思っていた連邦政府職員は、ログイン情報を収集する偽のネットワークに接続していたのです。
この情報を利用し、犯人らは正規のネットワークに参加し、2つの支局の内部システムにアクセスしたほか、無線LAN経由で送信される多数のアカウント認証情報を盗聴・解読した。報告書より:
実際、攻撃は非常に成功し、「ある部署は防御を強化するために、全社規模の無線インフラを3週間停止した」という。これらのユニットは、具体的なハードウェアは不明だが、おそらくバッテリーに接続されたWi-Fi対応のRaspberryPiのような機器を搭載していたと思われる。その外観は以下の通り。
無線テストユニットの1つ。バッグに入れると… 出典:米国政府。クリックして拡大
情報セキュリティの専門家らは、侵入者がシステム間を自由に移動できるネットワークセグメントの欠如、無線ネットワークのインベントリ記録の不完全さ、悪意のある人物がネットワークトラフィックを盗聴するために悪用される可能性のある事前共有キーへの依存など、その他のセキュリティ上の欠陥も指摘した。
「ネットワークがセグメント化されていない場合、攻撃者は一度支局のネットワークに侵入すると、制限や検知を受けることなく他の支局やそのコンピュータネットワークに侵入できる」とレッドチームは説明した。
最終的に、ペネトレーションテスト担当者らは、同省の不備は上層部から生じたものだと述べた。多くの支局では、ネットワークを安全に保つための指導が十分に行われていなかったという。基本的なセキュリティ対策への配慮が欠如していたため、外部の者がユーザーの認証情報を盗み出し、Amazonで購入した電子機器を詰め込んだバックパックだけで米国政府内部に侵入することができたのだ。
あなたがハッキングされたのは、最先端のネットワーク防御が欠如していたからではありません。サイバーの達人があなたを狙ったからでもありません。もっと単純な理由です。
続きを読む
「当局の矛盾した時代遅れのガイダンス、不完全なインベントリ、そして技術的なセキュリティテストの欠如が、安全でない無線ネットワークの導入につながった」と報告書は痛烈に批判した。「固有のユーザー認証情報と事前共有鍵を用いた個人認証プロトコルの脆弱性を悪用した。さらに、当局が最小権限の原則を遵守せず、適切な多層防御セキュリティ対策を講じていなかったため、必要以上のアクセス権限を取得してしまった。」
さらに悪いことに、レッドチームのメンバーは、官僚主義が邪魔をしていなければ、もっと理論的にはもっと大きなダメージを与えることができたはずだと主張しています。彼らにノートパソコンをもう少しと経費精算書をすぐに渡してください。
「信頼できるインベントリが不足していたため、計画していた追加テストを実施できませんでした」と彼らは指摘し、「また、高リスクネットワークにテストを集中させる能力にも限界がありました」と述べた。
監視機関の報告書は政府のIT体制に関するものですが、その調査結果と勧告は民間組織、特に米国政府と契約業務を行っている組織にとって注目すべきものです。政府に対する複数の攻撃は、まず請負業者のネットワークを標的として実行されています。®
