クロスサイトリクエストフォージェリ
世の中には、何だか格好いい響きの名前があります。「クロスサイトリクエストフォージェリ」はその一つでしょう。Webサイトへの攻撃方法の一つです。
たかが安否確認システム単体を攻撃しても大したことはできません。まあ、せいぜい社員名簿を盗み見ることぐらいでしょう。パスワードだって生年月日ですしね。それぐらい、私も元従業員ですから、主要な人の情報は暗記してます。
だから、安否確認システムを利用して、他のシステムへの攻撃に利用する方向で考えなければなりません。そこで考えられる一つの方法が、クロスサイトリクエストフォージェリなのです。
ユーザーがWebページを閲覧したときに、他の攻撃対象のWebシステムに対して、何らかの偽造リクエストを送り込むよう仕向ける攻撃です。もし攻撃に成功すれば、最悪、攻撃対象のWebシステムを、ログインしているユーザーの権限で遠隔操作できることになります。
高槻さんは、腕を組んで私の説明を聞いていました。
「ふーん、なるほどね。要は、ページを見ただけのユーザーに、無意識に攻撃に加担させるってこと」
「そうです。その昔、クロスサイトリクエストフォージェリで、赤の他人に脅迫文を投稿させて、誤認逮捕に至ったという事件があったんですよ。それの応用です」
「なるほどね」
「ただ、問題は、このシステムを定期的に触るとすれば総務部のヒラ社員ということです。その権限で何ができるか、ですね」
「社内掲示板に怪文書を投稿するとか? レモンケーキのレシピとか」
「まあ、それもやってみないとできるか分かりませんが、ちょっと派手すぎて、防御を固められてしまうのでは……」
「初手でそれはマズいかもね」
まだ、ハッキングというハッキングもしてないですからね。
「あと、もう一つ問題があるんですよ。外部からアクセスして罠を踏んだ場合です」
「外部から?」
「はい。このシステムは大半のユーザーが外部、つまりインターネットを経由してアクセスする前提ってことなんです。それに、テレワークの従業員も多いじゃないですか。そういうユーザーが外部からアクセスしたときに罠を踏んで、攻撃用の偽造リクエストを送信してしまった場合、送信先は社内システムとは限りません。最悪、無関係の第三者に攻撃を仕向けてしまう可能性があるんです」
「でもそんな攻撃効かないでしょ」
「まあ、そうですね。ただ、社外に無許可で攻撃リクエストを仕向けるのはマズいですし、アクセスログに残ってしまって、総務部の誰かさんに濡れ衣を着せることになるかも」
「ふーむ、確かに。何とか社内システムに送信先を限定できないの?」
「そうですね」
私は、メモ帳のアプリを開き、そこにドメイン名を入力します。
> localnet.kyoki-railway.co.jp
「このドメインとそのサブドメインなら外部から名前解決できません」
「じゃあそれでいいじゃない」
「問題は、重要なシステムは殆どドメイン名なしのホスト名しか割り当てられてないことなんですよ。最近導入したシステムを除けば」
……。
最近、導入した……。
そういえば、ありました。
> bigbrother.localnet.kyoki-railway.co.jp
「なにそれ」
高槻さんは、そう言った直後に、ムンクの叫び的な変顔で奇声を上げました。
「う゛あ゛あ゛あ゛あ゛あ゛ ど゛お゛な゛っ゛て゛る゛ん゛だ゛ぁ゛あ゛あ゛!゛!゛!゛」
そして唐突なキメ顔で言葉を続けます。
「だからこそ!BigBrotherが御社の従業員を見守ります――ってやつ?」
「何ですか、うるさいですね。それですけど」
「えぇ、あれ導入したの? 営業がしつこくて何度も追い払ったのに……」
「はい。人事部長は、従業員を監視する目的で使ってたみたいですけどね」
「何というコストの無駄遣いを……あれ、初期費用もそれなりだけど、維持コストはもっとアレなのに。よく保守契約の予算を捻出したものね」
「……」
「え、まさか? 保守なし? アップデートしてないの?」
「ええ。そのまさかです」
「ああ……」
「で、システム課の権限でアンインストールしたんですよ。そしたらクビってわけでして」
「じゃあ、もう動いてないんじゃない?」
「言い値の解決金支払って私を追い出すぐらいですよ。絶対また再導入してるはずですよ」
システム課のメンバーも、どれだけ反対でも自分のクビが掛かっているとなれば従わざるを得ません。私みたいに弁護士を雇ってお金で解決しようという割り切りができる人はそう多くないでしょう。自宅暮らしの私なら数年は遊んで暮らせる金額なので、実に美味しいのですが。
「あなたが理不尽な理由で追い出されたと聞いたけど、そこまでとはね。何というか、異常としか言えない」
高槻さんは首を横に振って、ため息をつきました。
改めて考えると、本当に異常ですよね。まあ私にはもう関係のない話ですが。
「ま、BigBrotherの管理画面はWebなので、クロスサイトリクエストフォージェリの脆弱性がある可能性はありますよ。脆弱性の情報をちょっと調べてみましょうか」
私は、脆弱性が掲載されているサイトであるJVN(Japan Vulnerability Notes、https://jvn.jp/ )を開きました。
新規登録で充実の読書を
- マイページ
- 読書の状況から作品を自動で分類して簡単に管理できる
- 小説の未読話数がひと目でわかり前回の続きから読める
- フォローしたユーザーの活動を追える
- 通知
- 小説の更新や作者の新作の情報を受け取れる
- 閲覧履歴
- 以前読んだ小説が一覧で見つけやすい
アカウントをお持ちの方はログイン
ビューワー設定
文字サイズ
背景色
フォント
組み方向
機能をオンにすると、画面の下部をタップする度に自動的にスクロールして読み進められます。
応援すると応援コメントも書けます