E5:蠅の群れとスズメバチ – 網戸に空いた穴

ハンターは、そびえたつ巨大な城の塔が映し出す影の下で座っていた。右手の先には、ゴロゴロと喉を鳴らしているキャットがいる。恐れを知らない相棒だ。この比較的ではあるが、涼しい影の下で、ハンターとキャットは辛抱強く待っていた。そこは、城の内側に通じるゲートを見渡すには絶好の場所だった。中庭の向こうをじっと見つめ、ゲートを出入りする来訪者の列を静かに観察する。手順はいつも同じだった。ゲートに来訪者が近づくと、警備員が大きく手を広げて道を遮る。小さなテーブルの前に腰掛けている別の警備員が身分署名書を受け取り、テーブルの上で分厚いノートにその情報を記録する。「見知らぬ者」が「既知の者」となり、警備員は道を開ける。来訪者はまぶしい太陽の光の中から薄暗い通路に進み、石とモルタルでできた巨大な要塞の中に消えてゆく。

この手順を1時間も見れば、ハンターにとっては十分だった。彼は立ち上がって、背筋を伸ばした。キャットはあくびをし、光る眼でハンターの顔をのぞき込んだ。そして、昼寝のじゃまをしたハンター対して文句を言うように鼻を鳴らした。ハンターたちは、ゲートの横にある警備員常駐の小さな部屋に向かって歩いて行った。猫科に属する相棒は、音を立てずにハンターの後について行く。ハンターの大きな影が太陽を遮ってくれていた。ハンターがその影で分厚い入館記録のノートを隠すと、テーブルに前屈みになっていた警備員が顔を上げた。ゴクリと唾を飲み、神経質そうに指でテーブルをたたきながら、ハンターの鋭い視線をのぞき込んだ。

*****

デイヴ・ラインハートはいらだっていた。いつもは平静を保ち、それが行動にも表れている。めったなことで、動揺したりはしない。これまでMagnaCorpのCISOとして数多くの厄介な状況に関わり、大惨事と背中合わせの混乱や謎、危険といった、いくつもの困難を乗り切ってきた。しかし、前の晩、マーティから家に電話があり、翌朝一番のミーティングを提案してきたときには、不吉な予感がした。マーティがこのような提案をすることは稀だった。だが、マーティとの早朝ミーティングあるときはいつでも、その内容は緊張したものになった。しかも、その後には必ず、デイヴと彼の同僚との間でさらに緊張した話し合いに発展するのだった。朝のコーヒーをすすりながら、デイヴは時計を見つめて待っていた。

オフィスの外で物音がすると、続いてセキュリティ グループの管理アシスタントと張り詰めた声であいさつをするマーティの声が聞こえた。オフィスのブラインド越しに、グレッグとエリンに付き添われたマーティの姿が見えた。その瞬間、デイヴは胃の痛みとともに、自分の予想よりもはるかに深刻な事態が起こっていることを直感した。彼は窓越しに手を振り、マーティたちをオフィスに手招きした。

「おはよう、マーティ、グレッグ、エリン。さあ、入って。」 デイヴはオフィスにある小さなテーブルの周りに座るよう、3人に身振りで示した。そしてコーヒーを手に取り、残った自分の席に着いた。3人の管理者の顔に疲労が浮かんでいるのに気づくまで、大して時間はかからなかった。

「あの新しいスニーカーはマーティのかな? ネオン オレンジとライム グリーンの組み合わせが最高だね。」 デイヴはそう言いながら、手で眼を隠すしぐさをする。3人が笑うと、緊張が和らぐ感じがした。

「気づいてくれてありがとう。」 と言いながら、マーティは「ファッション センスのある人間が1人はいたね」と言いたげな視線をグレッグに向けた。エリンはあきれたような表情をした。

マーティは、手早くラップトップを取り出してテーブル置き、小さなプロジェクターに接続した。「時間を頂いて、ありがとうございます。このことは、お話ししたほうがいいと思いまして」

「もちろん、では始めようか。」

マーティはすぐに報告を始めた。まず、調査するきっかけとなった重要なポイントを指摘した。マーティがユーザー アクティビティの解析を行ったのは、新しい技術パートナーが共有システムへの管理者アクセスがランダムに増加していることを発見し、それを報告してきたためだった。このことが、MagnaCorp社内のシステムを調査するきっかけとなった。マーティが説明している間、エリンとグレッグが調査プロセスでのさまざまなポイントを補足する。

「最も重要な指標は、PowerShellの使用回数が異常に上昇していることです。管理者はかなり頻繁にPowerShellを使用しますが、ログを見てみると、使用回数に急上昇が見られました。特にリモート セッションで目立っています。」 とマーティが説明した。

「でも、それは正常なことだよね、エリン。」 デイヴが口を挟む。

「確かに、管理者はPowerShellを使いますが」 とエリンは答える。「このユーザー アクティビティは通常の操作と同期していません。ログを見ると、リモートセッションが妙な時間に起動されています。また、1つの管理者アカウントが長時間使われていました。しかも、その管理者は休暇中なんです。もう1つ、産休中の開発者に割り当てられている別のアカウントも使われていました。明らかに、これは正常ではありません。」

マーティがうなずく。「気がかりな証拠も、いくつかのシステムに残っています。  あるシステムでグレッグがMimikatzの痕跡を発見しました。  私も、ランダムにいくつかのシステムを調べてみましたが、NTDSUtilの使用履歴がありました。」

「わかった、マーティ。  経営陣にわかる言葉で説明してくれないか。  これは何を意味しているんだ?」緊張した声でデイヴが尋ねる。  彼の不吉な予感は膨らんできている。

「わが社は重大なセキュリティ侵害を受けています。  攻撃者が大がかりな方法でActive Directoryを標的にしています。まだはっきりしませんが、攻撃者は複数かもしれません。  ドメイン管理者のアクセス権は破られていないと思いますが、IT管理者とエンド ユーザーのアカウントの一部が使用されているのは明らかです。」

エリンが遮る。  「ドメイン管理者に対する制御は強力です。  ローカル管理者アカウントにはランダムなパスワードを使い、サービス アカウントには詳細なパスワード ポリシーを適用しています。それに、ドメイン管理者アカウントでは2要素認証を使っていて、制限も厳しくなっています。  もちろん、PowerShellのログも役に立っています。」

「そのとおりです。」 マーティが同意する。  「最も権限の大きなアカウントが使用されているという証拠はありません。  また、ディープ フックの証拠も見つかっていません。  しかし、ここでお話ししたい重要なことは、vNextGenと共有するいくつかのシステムに、攻撃者が大規模な攻撃を仕掛けてきているということです。  攻撃者は、ベンダー グループと法務チームが提携関係のドキュメントの処理に利用している社内システムについても、時間をかけて調べています。」

デイヴの曇った表情が、この状況の深刻さを物語っていた。

火曜日の次回のエピソードにご期待ください!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

No Comments