テキサス州オースティンで企業のサーバー管理の仕事をしているクリスチャン・ハチェックさん(Christian Hascheck)が、彼の管理下で発生した興味深い事件について語っています。
サーバーに挿さった謎のデバイス
始まりは同僚から送られてきたという写真。「サーバに知らないラズパイがつながってる。調べてくれないか?」と。
普段リモートからサーバ管理しているハチェックさんは、同僚に指示してラズパイを切り離させ、SDカードに入っていたイメージを送らせました。
当初は社内の誰かの実験物かな、ぐらいに思っていたそうですが、サーバールームに入れるすべての人に訊いても知らないとの返事。USBソケットに刺さっていたドングルを巨大掲示板の reddit で晒したところ、WiFi/bluetooth モジュールだとわかります。
SDカードの中身を調べる
Raspberry Pi のストレージであるSDカードの中身から、Resin(今はBalenaに名称変更)というイメージを使ってることがわかります。このResinは、IoTデバイスとのデータ送受信を行うための有料サービスです。VPN経由で、暗号化されたデータを転送できるといいます。
configファイルの中から、Resin のユーザー名や半年前の登録日を見つけたハチェックさん。ユーザー名でネット検索すると、「天才児」を持つ両親が開設した2001年のサイトが見つかりました。
SDカード中のnodejsアプリが何を送ってるかは最後まで解析できなかったそうですが、ライセンスファイルにある作者名を調べてみると、彼の会社の共同創業者だと判明します。
また、他に、このデバイスをセットアップした際のWiFi接続に関する記録を持つファイルが見つかります。その際につなげたネットワークのSSIDが記録されていたということで、ハチェックさんはSSIDが収集されて検索できるWiGLEでこのSSIDを調べてみます。すると、出てきた住所が、上に出てきた「天才児」の家の住所と一致したのです。つまり、刺さっていたデバイスをセットアップしたのは、この家という可能性が高いということ。
通報
サーバールームへの侵入者についても、RADIUSのログからサーバールームのWiFiに、無効化されたアカウント名で接続を試行した当時の社員がいたことを突き止めます。この社員は、アカウントが無効になった後も数か月、荷物を運び出すためなどという理由で会社から出入りを許可されていたのだということも判明。
reddit の方では「最終報告」として、この元社員がデバイスの設置を認めたものの、それは「WiFi のトラブル解決とマネージャーの執務室の周りをうろうろするユーザーを追跡するため」だったと言っていると伝えています。しかし、なぜシステム管理者にも秘密でそんなことをしていたかは教えてくれず、実際に収集したデータを見せてくれ、という要求も無視されているということ。
ハチェック氏はここまでの情報を当局に渡し、自分の仕事範囲は終わった、とても面白い体験だった、と記事を結んでいます。
一連の流れを読んでみると、この元社員、ユーザー名とか設定時のSSID名とか、いろいろ証拠を残しすぎなんじゃないかという気もしますが、多数のレイヤーで構成されたこのようなサービスを構築して、痕跡をどこにも残さなずに綺麗に仕上げるのも、難しいのかもしれませんね。ハチェックさんが reddit 掲示板で広く意見を求め、いろいろな人が助けたことも解決につながったのかもしれません。
Raspberry Pi にそれらしいケース(いろいろ売ってますね)をつけてより目立たなくしたり、放置せずに回収したり場所を変えたりすれば、このような手法で企業内のデータが成功裏に外に転送されているところもあるのかもしれません。
