ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習

ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習（1/6 ページ） ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で

[emt0]

コンソールでコマンド叩いてカモンカモンより実際はこの手の物理ハッキングの方が多いよね。ダイハードだって最後は停電で金庫開けたように。社員証つけて飯屋で愚痴るのもほんと駄目。

[takanq]

"「こういったことを行うので、もし連絡が入ってもいったんとどめ置いてほしい」と根回しを行った上で、物理侵入テストを行った"本物の攻撃者にテスト情報が漏れてた場合、セキュリティが効かなくなるんだな...

[cinefuk]

Sansanアプリの顧客企業を退職した元従業員が同僚のIDでログインして情報を盗み取った事件あったね。経産省パソナ受託案件の派遣社員が、自分の事業で使うために九万件の企業情報を盗んだのは今日のニュース

[prjpn]

オフィスを構えることのリスクとも言える

[Hiro0138]

つ～かタキゲンの200番というマスターキーがあればラズパイもいらねぇ

[rryu]

有線LANの物理接続対策はMACアドレス認証だが、それを入れたせいで共有スペースに出した有線LANの口が全部無駄になったという悲しい出来事があったな…

[tana_bata]

俺みたいな小心者は物理侵入したら速攻ばれるくらい挙動不審になる自信がある

[rgfx]

ガチじゃねえか（褒め言葉）（最高）／試しに自宅LANかAWSでRADIUS認証の運用やってみるか…

[defrost]

”海外ではペンテスター（訓練における侵入者）が不審者として逮捕されてしまった事例もある。”

[dominion525]

幹部の家族を人質にして個人レベルで脅迫して秘密のパスフレーズを吐かせよう。多要素認証もパスできるよ！(しちゃダメ)

[nisisinjuku]

案件獲得のためにセキュアな環境を整備するのと、ガチ対策するのでは結構違いがあるってことかな。

[richard_raw]

まあ物理侵入がいちばん厄介ですよね。

[yotinakk]

ドキドキした。全くの素人だが。

[deep_one]

「マジに何でもありで！」のルールでテストしたのか。

[defiant]

すごいな>>「トラブルを避けるため、Sansanでは法務部への相談にはじまり、オフィスの管理を行っている総務担当者やビル管理会社、警察署などにあらかじめ連絡しておいたという」

[himakao]

スパイが物理侵入する的なのは現実でも効果が高いんだなあ

[sasashin]

こういうガチ演習の話、「〈死体〉の札を首に掛けられて行動不能」「腕立て伏せ（意味深）」とか思い出して面白くなっちゃうんだよな…

[denki5150jp]

レッドチームとかブルーチームとかR6Sみがアツい。物理侵入萌え

[tokitori]

0200番鍵付いてる扉は製造物責任の都合もあって管理者や技術者以外は触れるなという意思表示が主なんで、防犯目的で付いてるわけではない。非関係者が200扉にアクセスできる時点で既に侵入済なんや

[Helfard]

すげー面白そう。

[fjwr38]

おもしろい

[IGA-OS]

ペネトレーションテストのガチなやつ。価値ある

[kei_1010]

もし間違って逮捕でもされたら、当然否認するから人質司法で長期間勾留確定よね。被害者がすぐ取り下げるから大丈夫だって？本当にそうかなぁ。警察の面目(笑)ってそんなに軽いかな？

[dltlt]

「気付かれることなくオフィスに入った後は、フリーアドレスの席に着席し、いかにも業務をしているふりをしながら」

[sun330]

リアルでそこまでして潜入するほど個人情報に価値があるのかと思ったけど、パスポートセンターで働いて情報盗んだ中国人女性が最近いたなあ。国こそやってほしい。

[reuteri]

たしかに配電盤いじられても誰も声掛けないわ

[gcyn]

『3～4年程度の中期計画を立て、チーム作りを進めていく』 なるほど〜。

[sippo_des]

ビルの窓掃除から侵入してはいなかった

[legnum]

標的型攻撃ってこういう事だよなあ。どこの企業もオンライン侵入されない事にばかり目が行きがちで内に入られると脆いんだよな、ってあれ天元様の結界について五条悟の説明ぽいな

[tasknow]

Mr.ROBOT 何度も出てるけど言いたいので言う

[dogusare]

まぁ、万事、本気で来られると太刀打ちできないことだらけ。本当の抑止は「そうすることがコスト高か徒労である」ことに仕向けれるか

[SUZUSHIRO]

ミスターロボットで見た

[soreso]

「簡単には気付けなかったという。」で物理侵入譚は終わり？気づかれず最後まで完遂したのか、途中で気づかれてお縄になったのかが読みたかったのに、いつの間にか総括が始まり記事が終わってしまって、萎えた…

[blueboy]

　こういう攻撃的なハッカーによるチェックを、私も前に推奨した。　→　https://x.gd/c0vhW　　　／　こういう攻撃的なチェックを、日本政府や自衛隊でもやってほしい。　現実にはやっていないから、情報がダダ漏れだ。

[morucy]

「極論を言ってしまえば、IT的な攻撃を一切使わずに侵入できるのであれば、それはそれでいいと思っていた」それな。

[kuzutt]

Sky mission ステイサム

[mayumayu_nimolove]

そんなこと出来る技術や度胸あるやつはやらんだろ

[BlueSkyDetector]

MACアドレスはいくらでも偽装できるから、証明書ベースとかのデバイス認証でネットワーク繋げられるようにする必要あるのか。なかなか厳しいな。

[dynamicsoar]

『このパターンは日本では少ないが、海外ではよくある手法』Mr. Robotはリアルだったんか…

[tockri]

すごいー。しかもこれ、この日に攻撃が来るってみんなわかってない状態なんだよね。すごい。