Invisible Breach

Code Redというワームがあった。名前の由来はレッドブルではなく、発見者が徹夜で解析しているときに飲んでいたMountain Dew Code Redというドリンクらしい。2001年、IISの脆弱性を突いて世界中に拡散した。

あの頃のセキュリティはわかりやすかった。CGIのパーミッションが777で誰でも書き込める。.htaccessが効いていない。ディレクトリリスティングが有効でファイルが丸見え。やられた痕跡も明確だった。ファイルが改ざんされている。見ればわかる。

いまは見てもわからない。

Google Docsの共有設定ひとつで、社内文書が全世界に公開される。S3バケットのポリシーミスで顧客データが流出する。攻撃ではなく、設定ミスだ。境界が曖昧になった分、どこから漏れているかの特定が難しい。

ログも信用できない。侵入者がログを改ざんすれば、痕跡は消える。オライリーの『UNIXセキュリティ』には、ログはリアルタイムでプリンタに印刷せよと書いてあった記憶がある。たしかに正しい。紙は改ざんしようがない。いまの感覚では冗談のようだが、当時は本気だった。

アプリケーションの進化とともに、ログは構造化されJSONで出力されるようになった。CloudWatch、Datadog、Splunk。集約して検索して可視化できる。でも結局、何を見るべきか知らなければ意味がない。異常に気づくには正常を知っている必要がある。

事件として報道されるのは、わかりやすいケースだけだ。データが売りに出された、サービスが止まった、身代金を要求された。気づかれないまま情報を抜かれ続けているケースが、どれだけあるのか。誰にもわからない。

入られていても、わからない。それがいちばん怖い。