第1回の記事では、われわれが直面した幾つかの問題点について説明した。今回は、その問題の中から実際にわれわれが犯してしまった「シナリオベース調査の問題」について説明しよう。
シナリオベースの調査の最も大きな問題は、「人には、『一度怪しい』と思ってしまうと、裏付けとなる証拠を探してしまう傾向がある」ことから生じるバイアスだ。シナリオを否定するような証拠があるにもかかわらず、シナリオ通りの結果を導いている他社事例を目にしたこともある。実際、われわれも今回紹介する事例で、そのような経験をしている。実際に調査している最中に、シナリオベースの罠に陥っていることに気がつくのは難しいものだ。ただ、この経験を経て、われわれはシナリオベースの調査にならないよう、注意してインシデント対応を実施するようになった。
調査したインシデント
ある組織から、不正アクセスによる情報流出が疑われるケースの調査依頼を受けた。内容は、次のようなものだった。
組織内の従業員にアクセスさせるため、従業員に一対一で対応できるよう重複しない自動生成された個人専用URLを準備し、公開サーバー上に用意した。そのURLはランダムな文字列で構成され、生成はウェブ管理者がPC上で実施している。各従業員に自分専用のURLがメールで個別に通知され、アクセスができるようになっていた。このような状況から、公開サーバーとはいえ、個人の専用URLには、組織内のネットワークからのみアクセスされることが期待されていた。もちろん、各種検索エンジンによってインデックス化されないように対策していた。
しかし、期待していない組織外の複数のIPアドレスから、個人の専用URLの一部に対して直接アクセスされる状況が発生した。以下は、状況を整理したポイントである。
- いずれもアクセスはリダイレクトされたものではなく、直接実施されている
- 特定の個人専用URLに対してのみアクセスされている
- アクセスを試みているIPアドレスは広く分散している。セキュリティーベンダーと考えられるIPアドレスも含まれている
- アクセス自体は常に行われているのではなく、散発的に継続している
これらのことから、一部の個人専用URLが外部に流出したことが強く疑われた。つまり、認知されていない不正アクセスにより、既に攻撃者が侵入している可能性を意味する。この“認知されていない不正アクセス”の可能性を調査することが、われわれIBM X-Force IRISチームへの依頼だった。
状況の確認と調査プランの設定
まずは依頼組織側からの情報をまとめ、状況を確認した。現在なら、ヒアリングを実施するとともに、各判断の根拠となった証拠の提供を求めるだろう。しかし、当時はヒアリングに頼ってしまった。実はこれも失敗の一つである。ヒアリング結果は次のようなものだった。
- アクセスは「HTTP GET」によるもの
- アクセスされた個人専用URLは複数だが、準備された総数に比べればわずか
- アクセス元のIPアドレスを確認すると、全世界に分散する複数のIPアドレスからアクセスされていて、顕著な偏りはない
- 個人専用URL自体はウェブサーバーの管理者のPC上で生成されていた
この段階では、まだ偶然にアクセスされたことを否定する材料は存在していなかったが、偶然であることを示す証拠というものは存在しないため、「何らかの不正アクセスがあったもの」との前提の元、調査を開始した。
