会社から外部へのファイル・データ持ち出し対策

雑記帳

ベネッセの子会社での情報漏えい事件では、スマートフォンを使ってデータをPCから取り出していたらしい。 そこで、私の研修先の会社の社内SE部門の人たちは、以下の内部者によるファイルやデータの持ち出し対策を行っていた。

  • 資産管理ソフト(SKYSEA Client View)を導入
    • USBメモリやスマートフォンを挿しても書き込めないように設定
    • ネットワーク経由でもSKYSEAにログが残るからわかる
  • SKYSEAの機能で知らない機器がネットワークに接続されても検知できる(ただし、よく仕組みはわかっていない模様)
  • Webフィルタリングソフト(InterSafe CATS)も導入
  • 会社のメールサーバ経由での送受信メールはすべて保管

M&Aアドバイザリーという業務の特性からとにかく情報漏えい対策にお金はかけており、 セキュリティには相当な自信をお持ちでいらっしゃった。

ただ、素人目からしても抜け道がいくつか見えたので、研修を終えて自分の会社に戻った瞬間に以下に対して策を講じた。

  • Bluetoothが使い放題で、右クリックして「送る」メニューをするだけで簡単にファイル送信可能。
  • またOfficeのBluetoothアドイン経由でも送信可能。
    ※SKYSEAにはBluetoothに接続する機器を制限する機能があるが、iPhoneとのテザリングや無線マウス、キーボードを使用している人がいるので研修先企業では禁止にできなかった。
  • ネットワークの共有(ICS)や、SoftAPにより個人端末を社内LANへ接続可能
    ※SKYSEAにはネットワークに登録されていないMACアドレスの端末が接続されたことを検知・遮断する機能あり。だが直接外部端末を社内ネットワークに接続しない(PCでNAPTを行う)場合は、SKYSEAでは検知不可能。
  • IISをインストールし、AdHocやWiFi Directで接続されると外部端末からアクセスしての持ち出しが可能。
    ※SKYSEAはユーザが新たなソフトウェアをインストールすると検知できる。しかし、SKYSEAのサーバにIISも入れる必要があるためデフォルトだとIISがホワイトリストに入ってしまう。
  • Hyper-Vをインストールして仮想マシン経由でアクセスされると制限が効かず、ログも残らない。
  • 各ユーザに管理者権限を与えているので、デフォルトで管理共有が有効になっており、外部端末からアクセスして持ちだし可能。
    ※SKYSEAには共有フォルダの作成を制限できる機能はあるが、インストール時点で作成されていた場合は禁止できない。
  • NTFSのジャンクションと上記の方法(ICS、SoftAP、IIS)の組み合わせで、ローカルファイルへのアクセスに見せかけてファイルサーバのファイルも持ち出し可能なので、 ログを見てもファイルサーバからデータを持ちだしたことが分からない。
  • 会社では携帯電話にiPhoneを採用しており、クライアントPCにはバックアップ用にiTunesをインストールしている。 構成プロファイルでApple Storeの使用を禁止しているが、
    • iTunesを使ってPCからApple Storeのアプリを自由にインストール可能
    • しかもiTunesのファイル共有機能も有効なので、iPhone経由でいくらでも外部に持ち出せる
  • 標準ブラウザとしてFirefoxを採用しているが、Firefox Syncで個人アカウントを作成し、ブックマークやパスワードを個人PCと同期可能。
  • テキスト情報ならブックマークに見せかけて同期すれば持ち出せる。
  • Google Chromeで個人のGoogleアカウントとしてログイン、同期可能なので、Firefox Syncと同様にいろいろ持ち出せる。
  • また、Google Cloud Printにより家のプリンタに出力することも可能。
  • Google ChromeではInterSafe CATSとSKYSEAの組み合わせではログ取得ができないので、 InterSafe CATSに引っかからないウェブサイトであれば、ファイルをアップロードし放題。ログも残らない。
    ※これはSKYSEAの問題ではなく、InterSafe CATSのフィルタリングがかなりエグい仕組みのため
    Feb. 6 2016 追記: InterSafe CATS 4.3以降はこの競合問題は解決した
  • Skype.exeを実行不可にしているものの、Skype for Business(Lync)はスルーなので、ファイル送信し放題
  • また、「Skype.exe」という名前のファイルを実行禁止・ファイル名変更禁止したりできるが、それでも抜け道はある
    ※SKYSEAはexeファイルのハッシュ値でブラックリストを作成できる ⇔ 1bitでも違うexeファイルを作れば抜けられる

※はSKYSEAの製品自体が悪いわけではないことの説明。 私はSKYSEAはいい買い物だったと思っているので誤解なきよう。

研修先の人間は社内SE(システムエンジニア)やITエンジニアと名乗りながらも、

  • SKYSEAやInterSafe CATSの動作の仕組みを理解しようとしない
  • マニュアルやドキュメントを読み込まない
  • 技術的なものはすべてベンダー任せで、必ずベンダーよりも知識が劣る

という凡そ技術者とは言えない人間たちだったので、 導入するソフトウェア(SKYSEA Client ViewやInterSafe CATS)が機能的にいくら優れていようとも、使いこなせるとは思えなかった。

Aug. 3 2015 追記

さらに以下の抜け穴を発見。

  • 仮想マシン(VirtualPC, VMWare, VirtualBox)がインストールできるので、以下略。
  • ステガノグラフィーの有名所を以下略。