ジョン・ストランドは侵入を生業としている。侵入テスターとして、組織に雇われて防御システムを攻撃し、実際の犯罪者が発見する前に脆弱性を暴くのを手伝う。通常、ストランドは自らこれらの任務に着手するか、ブラックヒルズ情報セキュリティの経験豊富な同僚を派遣する。しかし2014年7月、サウスダコタ州の刑務所への侵入テストの準備中、彼は全く異なる方法を取った。母親を派遣したのだ。
公平を期すために言うと、これはリタ・ストランドのアイデアだった。当時58歳だった彼女は、外食産業で30年の経験を経て、前年にブラックヒルズの最高財務責任者に就任したばかりだった。その経験を活かして、州の保健所検査官を装って刑務所に入ることができると確信していた。必要なのは偽のバッジと、適切な口調だけだった。
「ある日、母が近づいてきて、『あのね、どこかに侵入したいんだ』と言ったんです」と、今週サンフランシスコで開催されるRSAサイバーセキュリティカンファレンスでこの体験を語るストランドさんは語る。「しかも相手は母。何て言えばいいんだろう?」
それは言うほど簡単なことではありません。ペネトレーションテスターはよく、クリップボードと少しの自信があれば驚くほど遠くまで行けると言いますが、州立矯正施設での初心者のテストは、とにかく気が遠くなるような作業です。ペネトレーションテスターは契約上、クライアントのシステムへの侵入が許可されていますが、もし見つかれば緊張が一気に高まる可能性があります。最近、職務の一環としてアイオワ州の裁判所に侵入した2人のペネトレーションテスターが、地元当局との衝突で12時間も拘留されました。
リタ・ストランドの任務は、彼女の技術的専門知識の欠如によっても複雑化していた。プロの侵入テスターであれば、組織のデジタルセキュリティをリアルタイムで評価し、特定のネットワークで発見された情報に基づいてバックドアを仕掛けることができる。リタは衛生検査官の仮面を完璧に着こなしていたが、ハッカーではなかった。
ジョン・ストランド提供
ブラックヒルズ刑務所は、リタを刑務所に送り込むため、偽のバッジ、名刺、そしてジョンの連絡先が記された「マネージャー」カードを用意した。リタが内部に侵入したと仮定し、ジョンは施設のアクセスポイントと物理的なセキュリティ設備の写真を撮影する。ジョンは、リタ自身にコンピューターをハッキングさせる代わりに、いわゆる「ラバーダッキー」と呼ばれる悪意あるUSBスティックをリタに渡し、あらゆるデバイスに差し込ませた。このUSBスティックはブラックヒルズ刑務所の同僚にビーコンを送り、刑務所のシステムへのアクセスを可能にする。こうして、リタが暴れ続ける間、彼らは遠隔で侵入テストのデジタル面の作業を行うことができた。
「たいていの人は、最初の数回はすごく不安になります」とストランド氏は言う。「でも彼女は準備万端でした。刑務所のサイバーセキュリティは、言うまでもなく極めて重要です。もし誰かが刑務所に侵入してコンピューターシステムを乗っ取ることができれば、誰かを刑務所から連れ出すのは非常に容易になります。」
侵入テスト当日の朝、ストランド夫妻と同僚数名は車で刑務所近くのカフェへ向かいました。準備としてキャラメルロールとピーカンパイをつまみながら、ノートパソコン、モバイルホットスポット、その他の機器を準備室に並べました。準備が整うと、リタは一人で刑務所へ向かいました。
「彼女が飛び立っていく時、私は心の中で、これは本当にまずい考えだと思いました」とストランドは言う。「彼女にはペネトレーションテストの経験もITハッキングの経験もありません。『お母さん、もし状況が悪化したら、すぐに電話を取って私に連絡して』と私は言っておいたんです」
侵入テスターは通常、疑いを持たれないよう、できるだけ早く施設に出入りしようとします。しかし、45分待ってもリタの姿は見えませんでした。
「1時間くらい経って、パニックになってしまった」と彼は言う。「もっとよく考えておくべきだったと思ったよ。だって、みんな同じ車に乗っていたから、今は人里離れたパイ屋にいて、彼女のところに行く手段もなかったんだから」
突然、ブラックヒルズ刑務所のノートパソコンが点滅し始めた。リタの仕業だったのだ。彼女が仕掛けたUSBドライブがいわゆるウェブシェルを作成し、カフェのスタッフが刑務所内の様々なコンピューターやサーバーにアクセスできるようにしていた。ストランドは、同僚の一人が「お母さんは大丈夫だよ!」と叫んだのを覚えている。
実際、リタは刑務所内で全く抵抗を受けなかった。彼女は入り口の警備員に抜き打ち健康検査を行うと告げると、彼らは彼女を中に入れただけでなく、携帯電話を貸し出し、その一部始終を録画した。施設の厨房では、冷蔵庫や冷凍庫の温度をチェックしたり、床やカウンターの細菌を綿棒で拭き取るふりをしたり、賞味期限切れの食品を探したり、写真を撮ったりした。
しかし、リタは職員の作業エリアや休憩エリア、刑務所のネットワーク運用センター、さらにはサーバールームまでも見学することを要求した。すべて、虫の発生、湿度、カビの有無を確認するためだとされていた。誰も拒否しなかった。彼女は刑務所内を一人で歩き回ることさえ許され、写真を撮ったり、アヒルのおもちゃを置いたりするのに十分な時間を与えられた。
「査察」の終わりに、刑務所長はリタに自分のオフィスに来て、施設の給食サービスの改善策を提案するよう依頼した。彼女は、数十年にわたり衛生検査の現場に身を置いてきた経験から得た知見に基づき、いくつかの懸念事項を説明した。そして、特別に用意したUSBドライブを彼に手渡した。州には便利な自己評価チェックリストがあり、今後、査察官が来る前に問題点を特定するために活用できると、彼女は所長に伝えた。
Microsoft Word文書には悪意のあるマクロが仕込まれており、刑務所長がクリックした際に、ブラックヒルズに自分のコンピュータへのアクセスを許可してしまった。
「ただただ唖然としました」とストランド氏は語る。「圧倒的な成功でした。セキュリティコミュニティにとって、根本的な弱点や、組織のセキュリティにおいて権威に丁寧に異議を唱えることの重要性について、この出来事から学ぶべきことは数多くあります。たとえ誰かがエレベーター検査官や衛生検査官などだと名乗っていたとしても、私たちは相手に質問をする姿勢をもっと磨く必要があります。盲目的に決めつけてはいけません。」
他のペンテスターは、リタのストーリーは例外的であるものの、彼らの日常の経験を強く反映していると強調しています。
「物事の物理的な側面、そして何を主張できるかは信じられないほどです。私たちはいつも同じような仕事をしていますが、めったに捕まりません」と、侵入テスト会社TrustedSecの創業者デビッド・ケネディは語る。ケネディは、自身が主催したセキュリティカンファレンス「ダービーコン」で、ストランドの話を要約版で初めて聞いた。「検査官、監査官、権威者を自称すれば、何でもあり得ます」
2016年、リタは膵臓癌で亡くなりました。彼女は二度と侵入テストを行う機会を得られませんでした。ストランド氏は、母親が侵入した刑務所がどこなのかは明かしませんでしたが、その刑務所はその後閉鎖されたとだけ述べています。しかし、彼女の努力は大きな影響を与えました。「侵入テストの結果、刑務所のセキュリティは向上しました」とストランド氏は言います。「また、刑務所の健康管理プログラムも改善されたと思います。」
WIREDのその他の素晴らしい記事
- シグナルはついに安全なメッセージングを一般向けに提供する
- プリンセス、プラントインフルエンサー、そしてピンクコンゴ詐欺
- マーク・ワーナーが巨大IT企業とロシアのスパイに挑む
- 宇宙エンジニアが回転式携帯電話を自作した方法
- 火山の中で命を危険にさらしている硫黄採掘労働者たちに会いましょう
- 👁 顔認識の秘められた歴史。さらにAIの最新ニュースも
- 🎧 音に違和感を感じたら、ワイヤレスヘッドホン、サウンドバー、Bluetoothスピーカーのおすすめをチェック!
