ソフォスのディスク暗号化ツールに不具合、ノートPC紛失によって発覚 11
ストーリー by hylom
セキュリティを強化したつもりが 部門より
セキュリティを強化したつもりが 部門より
あるAnonymous Coward 曰く、
ソフォスのハードディスク暗号化ツール「Sophos Disk Encryption」をインストールしていると、スリープや休止状態かからの復帰時にログオン認証が行われなくなるという脆弱性が発見された(IPA:「Sophos Disk Encryption」における認証不備の脆弱性の対策について(JVN#63940326))。
この脆弱性を発見したのはサイボウズなのだが、その経緯が興味深い。サイボウズでは業務用ノートPCにSophos Disk Encryptionを導入していたのだが、従業員がそのノートPCを電車内で紛失。幸い駅係員が回収し、遺失物として保管されていたそうなのだが、回収したノートPCを調査したところ、パスワードを入力せずにログインできていたことが判明したという。ノートPCに第三者がログインした形跡も確認できたそうだ。
サイボウズ側はこれにより、業務に関連する情報が第三者に閲覧された可能性があるとして謝罪するとともに経緯を報告している。
脆弱性には以前から気がついてたんじゃないの? (スコア:5, すばらしい洞察)
Sophos Disk Encryptionをインストールすると常に復帰時の
Windowsの認証が効かなくなるってことでしょう?
だとるすと、Sophos Disk Encryptionを導入している企業はみんな
知ってたんじゃないかなと。
Sophos的にも「それは仕様です。(`・ω・´)キリッ」みたいな。
それとも、特定の複合条件(特定HW、OSパッチ等)を満たしたときにのみ
認証されないんでしょうか。 発表からは読み取れませんでしたが。
少なくとも、このPCを紛失したサイボウズの中の人やシステム管理者は復帰時に
認証されないことは知ってたと推測できますけど、どうなんでしょう。
「会社はパスワード設定しろとかウザいけど、なんか最近認証画面でないしラッキー」
ぐらいの甘い認識だったのではないでしょうか。
Re:脆弱性には以前から気がついてたんじゃないの? (スコア:3, 参考になる)
オフにするとWindowsのログイン認証をバイパスするようになる
みたいですね。
http://www.sophos.com/ja-jp/support/knowledgebase/121066.aspx
Sophos Disk Encryptionをインストールして最初にログインした時点で
Windowsの認証情報をPOAが取得し、以後はPOAが代わりにパスワードを
入力してくれるようです。
ユーザーが自分で無効化できる類のものではないようなので
管理者がPOAを無効にして渡したか、POAのパスワードを
ユーザー自身が空白にしたかと考えられます。
どちらにせよ、以前からログイン時にパスワード認証は無かったことを
認識していた可能性が高いですね。
まぁ、業務データの運搬・運用についてその程度の認識だったと。
Re:脆弱性には以前から気がついてたんじゃないの? (スコア:1)
そもそもこの機能、何の目的であるんだろう…?
セキュリティ製品なのに、Window標準のセキュリティを迂回する機能なんて……
Re: (スコア:0)
横からですが、Windows側は置き換えられたり追加されている可能性が有ります。 [msdn.com]
ちなみに内部的にはどうやらSophosのツールの認証>OS起動>Windowsの認証という構成です。
ただ、そのままだと2回IDとパスワードを入れないといけないので、Sophos側で認証成功すればWindowsの認証を代理で行う機能があるようです。
その機能が誤って働いてしまうと、本来Windowsの認証が起きるべきパターンでも勝手にSophosのツールがWindowsの認証をして通過してしまうという感じですね。
Re: (スコア:0)
本件では、サイボウズ側の説明ではOSの設定を勝手に上書きして認証不要にする事が直接の原因のようです。
Sophos側のknowledgeだとツールの認証機能自体に不具合が有るようにも読み取れますが技術的詳細が無いため不明です。
# 「まれにあります」ってなんだ?特定手順で再現性があるなら「確実に発生します」だろうに。
Re: (スコア:0)
それ以外の大多数のユーザーにとっては起こりえないバグなのです
これが「まれによくある」の正体の一つです
Re: (スコア:0)
普段使わない環境+スリープなんて使わない運用とかしてたらエンドユーザーは気づかないかもしれない。
Re: (スコア:0)
電源の設定でスリープから復帰時にパスワードの入力を求めないようにすることができますよ
まともなところならそういう設定にはしないと思いますが…
Re:脆弱性には以前から気がついてたんじゃないの? (スコア:5, 興味深い)
発表読む限りだと、そのようにパスワード要求するように設定していたのに、
休止状態にするとセキュリティーソフトがその設定を変更してパスワードなしでアンロックするようにしてしまったということのようですよ。
別の類似のセキュリティーソフトを使っていたことがありますが、
Windowsのスクリーンセーバーの設定をユーザーが設定しても、
ソフトが書き換えて常に一定時間後にロックして認証しないとアンロックできない設定に戻されていました。
この問題のソフトにも同様な強制上書き機能があって、
休止の時にセキュリティーソフトの認証しないに設定すると、
Windowsのスクリーンセーバー設定を間違って危険な方に上書きしちゃうのではないかと想像してます
Re: (スコア:0)
普通に考えるとそうなるね
復帰時の認証がある、という前提がそもそもないから不思議にも思わなかったのかも
セキュリティ強化するにはモノだけ揃えてもダメで、使う人間の意識も同じレベルでないと
まったく意味がない、といういい例なんですかね
Re: (スコア:0)
いやいや、だからフールプルーフが必要なんでしょうよ。
グループウェアで使うんだったらパスワードを忘れても大きな問題ではないだろうし、
強制的に毎回ログインさせる仕様にすべきでしょ。