アリババと40のサイバー脅威

毎度同じことを言うようですが、おとぎ話は、薄皮をまとった情報セキュリティレポートです。そして、後世の子孫たちへサイバー脅威に関する警告を残そうとしたのは、ヨーロッパの語り部だけではありませんでした。東にも、そうした語り部はいました。たとえば『千夜一夜物語』の主人公であるシェヘラザードは、まさに現代の動画付き情報セキュリティブログでしか為し得ないような情報発信を続けた人です。実は、彼女がそうしたのには、隠された思惑があったのでしたが…

…しかし、今回の記事で取り上げるのは、後に18世紀になってからシェヘラザードのブログに追加された、『アリババと40人の盗賊』の名で知られる事例です。物語の筋を知らない人でも「開け、ゴマ！」という言葉には聞き覚えがあるはずです。

この物語は「不正アクセスを防ぐためのパスワード利用」という概念を中心に進みます。しかし、物語の中で語られる情報セキュリティのヒントは、これだけではありません。では、アリババのインシデントを詳しく見ていきましょう。

保護されていないチャネルでのパスワード伝送

ある盗賊一味が、略奪品を洞窟に隠していました。洞窟内へ入るには「open sesame（開け、ゴマ）」というパスワードが必要でした。さて、この保護メカニズムには、数々の深刻な不具合が存在します。

物語の冒頭で、盗賊の頭領が入り口に立って大声で「開け、ゴマ！」と言うシーンがあります。この時点ですでに、複数の問題が明らかです。まず、パスワードが単純すぎます。次に、2段階認証が使われていません。それどころか、ユーザー名も使われていません。

さらによくないのは、パスワードがオープンなチャネルで伝送されている点です。近くで薪を集めていたアリババは、何の気なしにその言葉を耳にします。アリババは盗賊たちが去った後、よからぬ意図もなく、ただ好奇心から、そのパスワードを試します。しかし、洞窟をふさいでいた岩が開いたとき、洞窟の中に入ったアリババは、財宝の一部を持って行ってしまいます。

スパイウェアモジュール

家に帰ると、アリババは妻に金貨を数えさせます。妻は自分の手で数えようとしますが、あまりにたくさんあって途中で数が分からなくなってしまったので、義理の姉、つまりアリババの兄であるカシムの妻に、お金を量る器具を借りに行きます。

版によって、これが料理用のはかりだったり、何らかの壺だったりしますが、そのあたりは大した問題ではありません。問題は、急に器具を借りに来た義理の妹が何を量るのか気になったカシムの妻が、器具の底に蜂蜜（脂だとする版もあり）を塗っておいたことです。手元に戻った器具を見てあらびっくり、金貨が一枚、底に張り付いているではありませんか。ということは、義理の妹は金貨を量るのに使ったのです！

お察しのとおり、ここで描写されているのは、正規製品に組み込まれたスパイウェアモジュールです。カシムの妻はMalware-as-a-ServiceならぬMeasure-as-a-Serviceの形でデバイスを提供し、顧客のアクティビティを盗み見たのです。このくだりから得られる教訓は明らかです。「出所の信頼できるツールを使うこと」さらに「そのツールに脆弱性がないか、悪意ある何かが埋め込まれていないかを確認すること」。

忘れてしまったパスワード

次に起きた出来事は、私からすると、少々とってつけた感じがします。アリババはすべてをカシムに打ち明け、例のパスワードを教えます。カシムは、例の洞窟へ入ります。ところが、カシムはパスワード（出るときにも必要です）を忘れ、閉じ込められてしまい、戻ってきた盗賊たちに見つかって首をはねられてしまいました。―このくだりは明らかにマーケティング的メッセージを送ってきています。「パスワードを忘れたとき…それは自分の首が飛ぶとき」とか何かそういった類いのキャッチコピーの匂いがします。

この部分、実はササン朝当時の技術者が使っていたいにしえのパスワードマネージャーの宣伝が含まれていたのが、何度も語り継がれるうちに元のメッセージが消えてしまったのではないか、と私は疑っています。そこで埋め合わせに、私たちの宣伝を入れ込んでおくことにします→ カスペルスキー パスワードマネージャーは、パスワードやその他重要な機密情報を安全に保管します。

変わることのないパスワード

さて、物語に戻りましょう。カシムが戻ってこないので、親族たちは探しに出かけました。アリババは洞窟へ行き、兄の遺体を見つけ、埋葬のために持ち帰ります。

この過程で、気の毒にも無視されたパスワードポリシーの事例を見て取ることができます。盗賊たちは、この一件があってもパスワードを変えていません。理由は不明です。単に面倒くさがった結果かもしれませんし、そもそも認証システムがなっていないせいかもしれません。

同時に、彼らが単に管理者権限を持っていなかった可能性もあります。この洞窟が誰かから奪ったものだったとしたら（そもそも彼らは盗賊ですし）、彼らはパスワードを1つしか持っていなかったのだと考えられます。本当の持ち主は、管理者用パスワードを墓場へ持って行ってしまったのでしょう。

業者を通じた攻撃

アリババはこの話を秘密にしておきたかったので、遺体を首が切られたままで埋葬するわけにはいきませんでした。そこで、アリババと義理の姉と、彼女の召使いのモルジアナの3人は、事態の「難読化」工作に乗り出します。モルジアナは何度も薬剤師の元へ足を運び、カシムが徐々に容態を悪化させているように見せかけて、最終的に彼が自然死したと周りに報告しました。

その一方で、彼女は仕立屋を家に呼び寄せ、カシムの身体を元通りに縫い合わせました。それだけでなく、仕立屋に目隠しをして遠回りの道を使い、家の場所が分からないようにしました。

盗賊たちは、情報がどこから漏れたのか探っているうちに、仕立屋の元に行き着きます。報酬に金貨をやると約束し、盗賊たちはこの老人を同じように目隠しして、家までの道のりを無理矢理行かせました。

この例は、安全に暗号化された通信チャネルで業者と仕事をしていても、機密情報が漏れる可能性があることを示唆しています。おそらくモルジアナは仕立屋と守秘義務契約を結ぶべきだったのでしょう。

ハニーポット

盗賊団の1人が、今はアリババの住居となっているカシムの家の玄関に印を付け、夜になって仲間たちと共にやって来ました。しかし、抜け目のないモルジアナは玄関に印が付いているのに気づき、通り沿いにある家全部にまったく同じ印を付けて回って襲撃を防ぎました。

モルジアナは、実質的にこの通りをハニーポットに変えたのでした。ハニーポットというものは、サイバー犯罪者をおびき寄せる「おとり」です。ネットワークに侵入した攻撃者がハニーポットのどれかを実際のターゲットと間違えて攻撃を開始すると、攻撃者の意図や手法が明らかになります。攻撃者が間違いに気付いたころには政府のサイバー対応班がやってきて攻撃を停止させる、といった寸法です。

ただ、罪のない人々の家をハニーポットに使うことは倫理的にどうなのか、という疑問は残ります。しかし、実害は出ずに済みました。盗賊たちは計略に気付き、襲撃を中止したのでした。

コンテナー化

盗賊の頭領は、自分が攻撃の段取りをつけることにしました。彼は40個の壺を買い求め（壺を英語で言うと「Jar」、これはJava Archiveファイルの「JAR」を暗に示すと思われます）、2つを油で満たし、残りは空にしておきました。壺に油を入れたのはうわべを取り繕うためで、残りの壺には盗賊たちが入りました。

油売りになりすました頭領は、この荷を引いてアリババの家の前に現れました。一晩泊めてほしいとお願いして家の中に入れてもらい、皆が寝静まったころに盗賊たちを解き放つ、という計画です。

全体的に、この部分はコンテナー内に隠したマルウェアを利用したインフラ攻撃の説明になっています。入り口のスキャナーはコンテナーの中まではチェックしないため、脅威はセキュリティ境界を越えて入り込みます。こうして内部へ侵入した指令は、マルウェアをアクティベートするのです。

しかし、またしてもモルジアナが窮地を救います。壺の一つに入っている盗賊の声を聞きつけると、壺を一つ一つ確認して盗賊が入っている壺を突き止め、熱々の油を注ぎ入れて脅威を一掃します。別の言い方をすると、その当時にあって、すでに彼女はコンテナーの中身をスキャンするためのツールを持っていた、ということになります。

最終的には正義が勝ちます。盗賊の頭領は殺され、モルジアナはアリババの息子（この人は物語の最後に突然出てきました）と結婚しました。そして、アリババは、宝の詰まった洞窟のパスワードを知る唯一の人物であり続けました。

物語の教訓

• 認証システムを設計する場合は、セキュリティを考慮するべきです。ハードコードされたパスワードが暗号化されていない通信チャネルを伝送され多要素認証も設定されていない、という状態はトラブルを呼び込んでいるようなものです。
• サプライヤーや下請け業者の選定には注意する必要があります。できることなら、その会社が提供するツールやサービスに脆弱性がないか、悪意あるものが埋め込まれていないかを確認しましょう。また、全関係者の間で守秘義務契約書（NDA）を交わすことを忘れずに。
• 悪意あるコードが入り込むことのないように、コンテナー内部もスキャンするセキュリティソリューションを使用しましょう。