February 11, 2013

フェイスブックのサイバー戦時訓練は完全に抜き打ちらしい:Operation Loopback - Facebook's War Games or Security Drills

Early on Halloween morning, members of Facebook's Computer Emergency Response Team received an urgent e-mail from an FBI special agent who regularly briefs them on security matters. The e-mail contained a Facebook link to a PHP script that appeared to give anyone who knew its location unfettered access to the site's front-end system. It also referenced a suspicious IP address that suggested criminal hackers in Beijing were involved.[...]Facebook employees immediately dug into the mysterious code. [...]...it turns out, were part of an elaborate drill Facebook executives devised to test the company's defenses and incident responders. Read more >>> Ars Technica

アルステクニカが北京発のゼロデイ攻撃に備えるフェイスブックの訓練を紹介している。朝も早くから北京北京とパニックして駆け回って「訓練だ」と知らされるのは穴を塞いでからなんだって。すごいな…

---

(要訳)ハロウィン早朝、フェイスブック社コンピュータ緊急対応チームの社員のもとに、いつもセキュリティ問題のブリーフィングを担当しているFBI特別捜査官から緊急のメールが入った。本文にはPHPスクリプトへのFacebookのリンクがあり、このロケーションを知ってる者は誰でもFacebookのサイトのフロントエンドのシステムに自由にアクセスできるようだ、とある。北京の違法なハッカーの関与を伺わせる怪しいIPアドレスも記されている。

朝早くからメールしてすまん。今空港で自宅に飛ぶところなんだ。[...]そのグループに関してこれまで知り得た情報を総合すると、これはまずい事態かもしれない。[...]
ここを見てくれ。/groups/animated.php?extra*************************
もう飛行機に乗るので、これぐらいしか情報はない。なんなら明日もっと調べてもいい。問題ないか教えてくれ。○○ 連邦捜査局

社員は直ちに謎のコードを調べてみた。確かにおかしい。フェイスブック運用規則では、サイトに掲載されるコードはすべて開発チームの2人の目を通さないといけないことになっているのだが、このスクリプトはなぜかそれを迂回していたのだ。

10:45am、この問題はフェイスブックの危険レベル「unbreak now」(米軍の危険レベルDEFCON 1に相当)に指定され、11:04amにはコード発行に使われたアカウントも突き止めたが持ち主のエンジニアはスクリプトについて何も心当たりがないこともわかった。1分後、削除命令発動。社内のサーバーから問題のコードは削除された。

攻撃を封じ込めた上で、フェイスブック社内の様々なセキュリティチームの社員が、そもそもどうしてこんなものがここにあるのか原因の究明に当たった。オンラインチャットのログを見ると、その時の混乱とパニックが手に取るようにわかる。

FB製品セキュリティ:問題はこれがどこから来たのかってことだ
FBセキュリティインフラ担当メンローパーク本社: なんなんだこの[IPアドレス]は
FBセキュリティインフラ担当メンローパーク本社: 登録は北京の誰か…
FBセキュリティインフラ担当ロンドン支社: うん、完璧にsketchtownだ
FB製品セキュリティ:なんか臭うな
FBサイトインテグリティ:これ見つけた人間にはうちのコード丸見えってことか

攻撃者がフェイスブックのサイトにコードが発行できるとすれば、それなりの理由があることになるし、まだ発行可能ということも考えられる。ネットワークにバックドアを複数作ってた場合、ひとつ閉じても別のドアからまた入れるだろう。より重要なのは攻撃者がどうこのコードを仕込んだのか、である。

続く24時間は、フェイスブックの社内8チームの数十人が手分けしてサーバーログ、エンジニアのラップトップ、その他犯行現場に残った証拠を洗い、エンジニアのラップトップ(パッチ済み)がゼロデイ攻撃でハッカーに乗っ取られたとの結論に達した。

--

このFBIのメール、ゼロデイ攻撃、バックドアコードは結局全部、社内の防衛能力・問題対策能力を試すためフェイスブック上層部が仕込んだ手の込んだ訓練の一環であることが後にわかった。目的は、リアルなセキュリティの緊急事態をつくり出し、社員がいかに手際よく解明・撃退できるか試すこと。

攻撃自体は仮想のシミュレーションだが、リアルな要素をなるべく多く盛り込んだ。エンジニアのコンピュータはあるソフトウェアにゼロデイ攻撃を仕掛けて実際に乗っ取った(その開発元には直ちに報告を入れた)。これで、フェイスブック社員の現役・OBで成る「レッドチーム(赤組)」が会社のコード開発環境にアクセス可能となった(影響を受けるソフトウェア開発元にはフェイスブックの残りの社員に明らかにする前に訓練の連絡はしておいた)。フェイスブックのサイトのPHPコードにも本物のバックドアを仕込んだ(操作ファンクションの前にコメントの文字を追加すると無効化できる)。アクセス不正利用の効果を最大に高める担当班には、前に会社で働いてた開発者までリクルートした。FBIには社員から頼んでメールを送ってもらった。いかに迅速・効率良く社内各チームが連携を図って問題の解明・対策に当たれるか見るためだ。

「インターネットのセキュリティは欠陥だらけ。そんなこと言うのは悔しいが、ニュースの見出しを見てるとみんな連戦連敗という状況だ。ああいうみっともない見出しになる事態だけは避けたいのだ」と、フェイスブック・セキュリティ・オフィサーのジョー・サリバンはArsに語ってる。 (後略)

---

レッドチームw


Related: 政府が訓練として、霞が関の職員6万人に対し模擬ウイルスをメール送信→6千人が感染

UPDATE: Facebook computers compromised by zero-day Java exploit 
…とか書いてたらガチでゼロデイ攻撃…大変ねぇ…


[Ars Technica]

2 comments:

Oono Kohji said...

防災訓練のレベルが高いですね。他の会社だけでなく、FBI の協力も得ることができている辺りにしっかりとした準備と、それだけの社会に浸透したツールであることがうかがえました。

一方、日本では朝日新聞が
「首輪に仕込まれたメモリーカードには、「ソースコード」と呼ばれる遠隔操作ウイルスのプログラムが記録されていた。」
という記事を書いて、ネット上で話題になっていました。

天災に対する防災訓練はあっても、人災に対する防災訓練がないので必要な時代になってきているのかもしれませんね。

satomi said...

>「ソースコード」と呼ばれる遠隔操作ウイルスの

あ。。。ほんとだw 

Post a Comment