SCAN DISPATCH :クビになったシステム管理者の置き土産は、全サーバのデータを消去する「rm -rf 」論理爆弾! | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.21(土)

SCAN DISPATCH :クビになったシステム管理者の置き土産は、全サーバのデータを消去する「rm -rf 」論理爆弾!

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 実際のコマンドはタイトル通りではないが、解雇されたシステム管理者が、会社の全サーバ4,000台のデータを消去する論理爆弾を仕掛けたことが偶然発見されるという事件があった。この管理者、なんと、米国住宅不況の真っ只中に位置するファニー・メイ(米連邦住宅抵当公庫)に雇われていたという。

 この管理者の名前は Rajendrasinh Babubhai Makwana で、FBIによって起訴され、マリーランド州裁判所にて裁判が開始されている。

 その起訴状によると、Rajendrasinh Babubhai MakwanaはUNIXのエンジニアで、ファニー・メイのメリーランド州の支社に3年ほど前に派遣されて仕事をしていたが、10月24日の午後1時半ごろに解雇通達を受けた。解雇の理由は、なんと、以前上司の許可を受けずに社のUNIXサーバーの設定を改変するスクリプトを書いて作動させたことだと言う。

 アメリカでは解雇通達と同時に社員バッジを取り上げて、保安員がそのまま社員を出口までエスコートする、ということがよくある。長年働いた会社から、解雇と同時に悪人扱いされるというのは酷い話だが、今回のような事件を防ぐ必要があるからだ。

 Rajendrasinh Babubhai Makwanaは解雇時に、その日の就業時までに会社のラップトップ等を返すようにと言われた。が、ファニー・メイが彼のコンピュータのアカウントを無効化したのはその日の夜。このタイムラグを、Rajendrasinh Babubhai Makwanaは利用したのだ。彼は午後2時53分に、自分の使っていた社用ラップトップを使いデベロップメント・サーバにSSHでログイン。最終行にブランクのページを挿入して正規スクリプトがそこで終わっているかに見せかけ、その下に自分のスクリプトを挿入してから、社用ラップトップを返還した。

 この正規のプログラムは毎朝作動されることになっているが、Rajendrasinh Babubhai Makwanaが書いたスクリプトの部分は、2009年1月31日に作動するように指定されていた、いわゆるLogic Bomb(論理爆弾)。ところが数日後、上級UNIXエンジニアがこの論理爆弾を発見してしまったおかげで、この”爆発”が未然に防がれた。

 ファニー・メイの元従業員だと名乗る匿名のブログのポストでは、論理爆弾は「数ラインのシェルコードで、スクリプトのミススペルでエラーになり、発見された」そうだが、上級UNIXエンジニアが、動作しなかったスクリプトの最終行までスクロールしてチェックしなければ、論理爆弾は未発見のままだっただろう。

 さてこの論理爆弾、1月31日の朝9時になると…

【執筆:米国 笠原利香】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×