2015年1月15日木曜日

変化に対応し盲点を埋める作業①――セキュリティ

ベネッセコーポレーションによる個人情報漏洩事件。
容疑者は大量のデータを貸与PCから私物のスマートフォンにコピーし持ち出していた。
貸与PCはUSBメモリーへのデータ書き込みを禁止する設定だったとされるが、なぜ容疑者はスマートフォンにデータを書き込めたのか。


有力な可能性として考えられるのは、USBマスストレージの使用は制限できていた一方、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性だ。

一般的なUSBメモリーは、Windowsのデバイスクラスでは「USBマスストレージ」として認識され、ドライブ名が割り当てられる。
一方でスマートフォンでは、USBマスストレージの他、ドライブ名が割り当てられないWPD(Windows Portable Devices)クラスとして認識される事がある。

USBマスストレージではPCがファイル制御を担うのに対し、WPDではファイル転送方式としてPTP(Picture Transfer Protocol)やMTPを使い、デバイス側がファイルを制御する。
これにより、例えばファイル書き込み中にデバイスを引き抜く、PCとデバイスでファイルを同時に書き換えるなどしても、ファイルが破損しにくくなる。PTPは画像ファイルの転送に対応し、PTPの拡張規格であるMTPはそれ以外のファイルの転送にも対応する。

このMTPの存在は、情報漏洩対策の盲点になり得る。
デバイス制御ソフトやActive Directoryのグループポリシーの設定でUSBマスストレージの使用を制限しても、MTPあるいはWPDデバイスの使用制限を忘れると、スマートフォン経由で簡単にPCからデータを持ち出せてしまう。(例えばAndroid端末の場合、機能としては2011年9月に公開されたバージョン3.1、本格的には2011年10月公開のバージョン4.0から、MTPによるファイル転送に対応している)

この“穴”は2013年ごろからセキュリティ技術者の間で話題になっていた。
「Android4.0の登場まではMTP対応端末が少なく、現実的な脅威ではなかった。他企業のIT部門でも、USBメモリーは制御しても、MTPの設定まで思い至らない例は多い。


商用のデバイス制御ソフトでは一般に、USBマスストレージの使用制限に加え、WPDデバイスの使用を制限する事でスマートフォンへのデータ転送を制限できる。ただし、WPD制限機能に対応を開始したのは、2009年~2013年とソフトによってまちまち。デバイス制御ソフトを採用しているIT部門はまず、採用ソフトのバージョンが、WPDの使用制限機能に対応しているかを確認した方がいい。
(デバイス制御ソフトを使わなくとも、Active Directoryのグループポリシーを設定することで、WPDデバイスのアクセス制限を行うことは可能。ただし「Windows XPやWindows Server 2003は、Active Directoryによるデバイス制御機能が貧弱なため、デバイス制御に頼るのは避けた方が無難)

0 件のコメント:

コメントを投稿