ある中小企業の悲劇:被害者なのに加害者になるとき

サプライチェーン攻撃はこうして起きる – 自社のセキュリティ対策が不十分だったため、ある小さな広告代理店は窮地に陥ります。

ビルは朝一番の電話が嫌いです。怠け者だからではありません。仕事というものは、通勤ラッシュに乱された心のバランスを取り戻してから始めるものだと考えています。仕事前に、コーヒーのお代わりをするくらいの余裕はほしいもの…しかし、電話は鳴り続けています。

「いい加減にしてくれよ!3回鳴らして出なければ切るってのが礼儀だろ?気を遣えよ。こっちが何か大事なことをしてたらどうするんだ?」ビルは文句を言いながら、机の上に積まれた書類の山をかき分け、鳴り続ける電話を掘り出しました。

「ビル、USBメモリを読み込めないんだ」電話の向こうからレイアウトデザイナーが泣きつきます。

「それは、ぼくがずっと前に、きみのマシンのポートをぜんぶ無効にしたからだよ。ファイルはみんな、セキュリティ対策されたコンピューター経由で読み込む規則だよ、知ってるだろ?アルバートに聞いてくれ。ぼくの好きにしていいんなら、きみをインターネットから切断してやるところだ」ビルはそう答えたあと、自分にだけ聞こえるように付け足しました。「それからお前の腕をもいでやる」

「分かってるよ!でも、今回はぼくだけじゃないんだ。誰のコンピューターでも読み込めないんだよ。助けてくれよ。ほんとうに大事な仕事なんだ。今すぐレイアウトを直さないと、殺されちゃうよ。アルバートは昼過ぎまで帰ってこないし」

「ドワイト、仕事は全部アルバートを通すって決めたじゃないか。ファイルはすべて、アルバートのコンピューター経由で受け渡しするって。そっちの部門でセキュリティソフトが入っているのはそれしかないんだから。まあいいや、誰がいきなりUSBメモリでファイルをよこしたんだ?」

「クリスティン。至急、チラシのレイアウトを変えてくれって。すぐに印刷に出さなきゃならないんだって。だから、速攻で終わらせないと、殺されちゃうよ。アルバートがいてもいなくてもクリスティンには関係ないんだ。分かるだろ?」

「ぼくはそのうち、きみのUSBメモリに殺されるな。分かった、ちょっと待ってて」

ビルは電話を切ると、じっと天井を見上げて考えました。確かに、デザイナー部の部長は鬼だ。それに、外部から受け取ったファイルの処理手順みたいな決まりをちっとも気にしていない。システム管理者であるビルは立ち上がって伸びをすると、ノートパソコンを脇に抱えて、デザイナー部に向かっていきました。

マジェンタエルク広告代理店のオーナーたちは、自分たちを非常に有能だと思っています。家族経営のデザインスタジオとして始まったマジェンタエルクは、今では100人近い従業員を抱える会社に成長しました。現在、デザイナーだけの部門やWeb開発部門、小さい印刷所(実は3年前に買収した小企業)も持っています。妄想じみた要求をするクライアントの心をも射抜く発想ができる、クリエイティブなディレクターもいます。クライアントの中には国際的に有名な大企業も数社あり、マジェンタエルクを信頼して、広告キャンペーンを任せてくれていました。

しかし、IT部門の体制をそれなりに整えるために必要な人材はまだそろっていません。ビルはもともと、電話1本でコンピューターの修理に駆け付ける便利屋でしたが、数年前、マジェンタエルクに採用されました。今はすべての機器を1人で管理しています。手伝いのスタッフを1人でいいから雇ってくれとオーナーに頼んでいますが、なかなか話に応じてもらえません。

「USBメモリを出して!」ビルはそう怒鳴りながら、ノートパソコンを開きました。「何が読めないの?ぼくのマシンでは異常ないよ。ドライバーをインストールして…スキャンして…次は…ほら、開いた。プロジェクトフォルダーがあるじゃない」

そのとき、セキュリティソフトが赤いウィンドウを表示したのです。そこには、「悪意あるオブジェクト、Trojan.downloader.thirdeye.n が検知されました」と書かれていました。ビルは茫然と画面を見つめています。

「ドワイト、一体これは何だ?これをどこかで開こうとしたのか?」ビルが突き付けた指の先にはLayout_corrections.docx.exeというファイルがありました。

「ファイルを変更するのに、ほかに何をするっていうの?開こうとしたよ、でも、全然開かなかった。クリックしたけど、何も起こらなかったよ」

「これがドキュメントではないのも分からない?拡張子がEXEだろ!」

「拡張子なんて表示されてないよ。アイコンと名前だけだ。なんで怒鳴るの、クリスティンのファイルを開こうとしただけなのに」

「まあ、確かにそうだ。登録されている拡張子は表示されないから」ビルはしばらく考えました。「分かった、落ち着こう。どのマシンで試したか、覚えてる?」

「ええと、アンナ・ミラーのマシン、経理の。それから、カメラマンのノートパソコン。あと、物流のレーナ。それから、Web開発のトム。あとは、ケイトの…ちょっと待って、ウイルス?ぼくのせいじゃない!たぶん、カメラマンが感染してたんだ」

「これはただのウイルスじゃない…きみ専用の特別なトロイの木馬なんだ。誰でもいいから適当に感染させようとしたわけじゃない。誰かが”この”USBメモリに入れたんだ」ビルはルーターのWebインターフェイスにログインし、ドワイトが挙げたコンピューターをすべて隔離しました。「ところで、クリスティンのパスワードはどこで手に入れたの?彼女、昨日、出張に出かけたろ?」

「紙に書いて、キーボードの下にはさんであるんだ。誰でも知ってるよ…」レイアウトデザイナーは、勢いにのまれたまま、つぶやくように言いました。「家にもどこにも持っていってない、昨日、見つけたばかりだし」

「”見つけた”って、どういう意味だ?」ビルは驚いて聞き返しました。

「クリスティンが、USBメモリを受付に預けておいたんだよ。至急レイアウトを変えろってメモと一緒に」

「何を言ってるんだよ。クリスティンは昨日、出かけるまでほとんど1日中会社にいたじゃないか。USBメモリと指示のメモを受付に預ける理由はないだろ?そんなにしょっちゅうメモをよこすか?直接、会って話をつけるタイプじゃないか、彼女は。それに、ファイルならサーバーにアップロードすればいいんだ。あ、まずい!サーバーを忘れてた!」ビルは再び、キーボードを叩き始めます。「受付には誰でも、何でも預けられる。で、正確には何時だったの?」

「覚えてないなぁ。夜だったよ。家に帰ろうとしてたら、イボンヌから、誰かがUSBメモリの入った封筒を受付に置いていったって、連絡が。夕食を食べに行こうとしていたところで、誰かは分からなかったって。で、ぼくは戻ってきて、アンナのノートパソコンで、クリスティンのパスワードで…あとは、さっき話したとおりだ」

「いいかい、ドワイト、誰かが…」説教を始めようとしたところで携帯電話が鳴りました。CEOだ!「嫌な予感がする…」

「どうした?なぜ、席にいないんだ」気の短いCEOが問いただしてきました。

「すみません、デザイナー部門で問題が発生したもので。誰かが、USBメモリを…」

「デザイナー部門はどうでもいい」CEOがさえぎりました。「今さっき、オスターバーグ&ジョーンズ社から電話があった。夕べから、Webサイトがウイルスをばらまいているそうだ。社外でそのサイトにアクセス権を持っているのは、バナーを更新する我が社だけだそうだ。とにかく、このウイルスが我が社のせいではないことを証明する必要がある。我が社の責任ではないと仮定してだが」

「うーん。アクセス権を持っているのは誰ですか?」ビルはたずねました。だんだん寒気がしてきました。

「正確には分からん。Web開発の人間が数人。サイトを開発した担当者だ。あと、おそらく、ドワイト。もちろんクリスティン、彼女の客だからな。それに、クリスティンが何でも仕切りたがるのは、きみも知っているだろう」

「えーと、まことに言いづらいのですが…」ビルの声が急に小さくなりました。「実は、おそらく我々の責任ではないかと」

「何ということだ。彼らは訴えると脅している。もし、我が社の責任ならば、きちんと説明をしなければ。今日中に詳しい分析を頼む。調査に外部の専門家が必要ならば、すぐに知らせてくれ。オスターバーグ&ジョーンズ社へお詫びに行くときに、完璧で誠実な報告を持って行かねばならないからな。さて、ざっと概要を説明してもらおうか。一体何が起きたのだ?」

「何者かが、ウイルスを仕込んだUSBメモリを意図的に送り込んできたようです。本当の標的は、オスターバーグ&ジョーンズ社だったのでしょう。セキュリティとはどのようなものか、ご存じですよね。できるだけのことはしますが、機器も、人手も、モノも足りていないので…セキュリティソフトさえ…」

「分かった、分かった。私のせいだと言いたいのだろう。スタッフを増やそう。それから、全社員にセキュリティソフトだ。もしこの山を乗り越えられたらの話だが。かなり厳しそうだ」

このストーリーから分かること

  • 外部から受け取ったファイルに対するこの会社の手続きは、完璧で適切です。しかし、守られていませんでした。一部の従業員が、セキュリティよりも仕事の方が重要だと思っているからです。実際は、経営者からの直接命令よりも、セキュリティを優先する必要があります。
  • パートナーのリソースにアクセスできる人間が多すぎると、誰がアクセス権を持っているのか誰にも分からなくなるため、問題が悪化します。アクセス情報を知っている人は1人、多くても2人までにするのが理想的です。また、ログインのたびに認証情報が要求されるようにしてください。認証情報はブラウザーに保存しないでください。保護されていないコンピューターからアクセスするのと同じくらい危険です。
  • パスワードを紙に書いてキーボードの下に挟んでおくなど、あり得ない話のように思うかもしれませんが、実際、多くの企業で行われていることなのです。これは絶対にやめてください。たとえ、これまで誰もあなたのオフィスに入ってきたことがなかったとしても、チームメンバーの誰かが問題をおこすかもしれません。
  • 信頼できるセキュリティ製品を必ずインストールしてください。すべてのマシンに。例外なく。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?