セキュリティ

雪かきを手伝ってくれる親切な新入社員かと思ったらネットワーク管理者権限を奪われた事例


雪の積もった日に会社の出入口で「新しく入ったIT担当です。社員証がまだ使えません」と名乗る人物が現れ、雪かきを手伝ってくれたため社内に入れたところ、会社のドメイン管理者権限まで奪われたという事例をThe Registerが報じています。幸いなことに侵入者は犯罪者ではなく、企業から依頼を受けて弱点を探すレッドチーム、つまり許可を得て侵入テストを行う専門家でした。

Hackers shoveled snow for company, were rewarded with network admin access
https://www.theregister.com/security/2026/07/02/hackers-shoveled-snow-for-company-were-rewarded-with-network-admin-access/5265240


攻撃者目線でセキュリティ検証を行うコンサルタントのクリストファー・ジョンソン氏と同僚のマイケル氏は、顧客のセキュリティをテストするため、雪かきのために開いていた管理用ドアから社内へ入りました。

保守担当者が2人を呼び止めましたが、2人は「新しいIT担当だが社員証がまだ動かない」と説明し、さらに「滑って転びそうになったので雪かきを手伝います」と申し出ました。マイケル氏が雪かきを手伝っている間に、ジョンソン氏が「マイケルのノートPCを設定したいので2階に入らせてほしい」と依頼すると、保守担当者はジョンソン氏を建物内に通したとのこと。ジョンソン氏は建物へ入ると社内ネットワークへ接続できる場所を探し始めました。


ジョンソン氏が使ったのはRaspberry Piという手のひらサイズのコンピューターでした。Raspberry Piを社内の有線LANポートに接続できれば、攻撃者は建物の外からRaspberry Piを遠隔操作して社内ネットワークを調べられます。ジョンソン氏はAV機器用の収納スペースにRaspberry Piを接続しようとしましたが、会社は許可されていない機器の接続をブロックするネットワークアクセス制御を有効にしていたため接続できませんでした。

ところが、会議室にあった別のネットワークポートではネットワークアクセス制御が有効になっていませんでした。ジョンソン氏は会議室の中央付近にRaspberry Piを置き、見つかりにくくするためにゴミ箱で隠したとのこと。


侵入の翌日、会社側は2人の「新入社員」が不審な人物であったことに気づきました。保守担当者が雪かきを手伝ってくれたマイケル氏へ感謝を伝えようとIT部門を訪ねたところ、IT部門にはマイケル氏やクリストファー氏という新入社員の記録がなく、不審に思った会社側が映像を確認し、レンタカーのナンバープレートまで調べようとしたとのこと。しかしそうした調査の間も会議室のRaspberry Piは発見されず、2週間にわたって社内ネットワークにつながったままでした。

2週間の間にジョンソン氏たちはWindowsで社員アカウントや権限を管理する「Active Directory」へ接続し、ドメインコントローラーの場所を調べ、パスワードスプレー攻撃を行いました。パスワードスプレー攻撃は1つのありがちなパスワードを大量のアカウントに試す攻撃で、今回の事例では「winter2023!」というパスワードで50件から60件のアカウントにログインできたとのこと。

さらにジョンソン氏たちは社内システムで証明書を発行し、端末やユーザーの正当性を確認するActive Directory Certificate Services(ADCS)の設定も調べました。レッドチームはADCSのテンプレートや認証局に複数の弱点を見つけ、最終的にドメイン管理者権限を得ることに成功したとのこと。ドメイン管理者権限は社内ネットワーク全体を操作できる強力な権限であり、実際の攻撃者に奪われれば被害は深刻化します。


The Registerは、今回の事例から得られる教訓として、社員証を持たない外部の人物を安易に通さない訓練、会議室などのネットワークポートにもアクセス制御を徹底すること、弱いパスワードを防ぐポリシー、多要素認証の導入を挙げています。多要素認証はパスワードだけでなくスマートフォンへの通知や認証アプリのコードなどを組み合わせる仕組みで、パスワードが推測されても不正ログインを止めやすくなります。

レッドチームを監督していたダビッド・シュロス氏は「多くの人が犯罪の姿だと思っているものは、実際の犯罪の姿ではありません。ハリウッド映画のような思い込みです」と述べ、目出し帽をかぶり銃を持った人物が大声で押し入ってくるまで被害に遭っていると思わない偏りを「スキーマスク・バイアス」と呼んでいます。雪かき用のシャベルを持った親切そうな人物がネットワーク管理者権限への道を開くこともあるため、会社は今後、悪意がなさそうに見える人物への対応も訓練に含める必要があるとのことです。

・関連記事
北朝鮮労働者が309社で身元を隠しリモートワーカーとして働くことで25億円超を稼ぎ出した詐欺計画を支援した「ノートPCファーム」の運営者としてアリゾナ州の女性に拘禁8年半の判決 - GIGAZINE

「AIがシステムに侵入して自己複製する」というシナリオはもはやSFではなく現実になりつつある - GIGAZINE

侵入者を物理的に検知するWi-Fiルーターが登場 - GIGAZINE

政府請負業者を解雇された双子が報復として政府関連データベース96件を削除 - GIGAZINE

許可を得て裁判所にピッキングを行い逮捕されたセキュリティ専門家が9000万円の和解金を勝ち取る - GIGAZINE

in セキュリティ, Posted by log1d_ts

You can read the machine translated English article An example of a new employee, initially ….