エシカルハッキングサービスを手がけるPen Test Partnersのセキュリティ研究者であるKen Munro氏は最近、顧客のネットワークに侵入するためのバックドアとして機能していたあるデバイスを探し出すために、顧客のオフィスビルのシステム天井のなかを探し回るという作業で丸1日を費やした。
問題のデバイスは、ワイヤレス式の画面共有デバイスだった。このデバイスは、ノートPCから無線で送信されたプレゼンテーションを大型ディスプレイやプロジェクタに表示するためのものだ。
この種のデバイスはほとんどの場合、周辺環境から隔離され、接続できるのはPCと大型ディスプレイ、あるいはプロジェクタのみに設定しておくべきなのだが、Munro氏によるとこのケースでは、業者が「何も考えず、あるいは誰かに尋ねることなく」企業ネットワークに接続してしまっていたのだという。その結果、潜在的な攻撃者は公開されているWi-Fiネットワークから該当デバイスを経由し、企業ネットワークへと直接侵入できるようになっていたのだった。
これは、オフィスに新たに設置されたスマートデバイスが、どのようにして意図せぬセキュリティの弱体化を引き起こしてしまうのかを示すほんの一例でしかない。
Munro氏は「無線接続機能を有するさまざまなコーヒーマシンが職場に持ち込まれ、オフィスのWi-Fiネットワークに接続されるという事例を目にしており、そういったものによってセキュリティ脆弱性が引き起こされる事例を何度も扱った経験がある。つまり、スマートなコーヒーマシンがネットワーク上の脆弱性になり、ハッカーがそのマシンに侵入し、そこを踏み台として企業ネットワークに入り込むということだ」と述べた。
また同氏は「自動販売機が企業の有線ネットワークに接続され、バックドアになっていた事例もある」と付け加えた。
レガシーシステム
スマートオフィスのセキュリティにまつわる難題は2つに分類できる。1つ目は、オフィスのインフラを管理する目的で導入されたシステムだ。こうしたビル管理システムは既に、多くのオフィスでドアや、暖房や空調管理などのシステムを制御しており、何年も前から実際に利用されている。
しかしこれらのシステムは、セキュリティをほとんど考慮せずに、あるいは不適切な設定で据え付けられている場合がしばしばあり、サイバー脅威への対策がほとんど、あるいはまったくない状態でこういったシステムが公共インターネットに誤って接続されてしまっているという事例も数多く見受けられる。これらシステムのコントローラはハッカーにとってはつまらない、あるいは取るに足らない標的のように思えるかもしれないが、ビルのすべてのドアをロックされたり、データセンターの空調管理システムを停止されれば、問題はあっという間に深刻なものとなる。
