NTT東日本-IPA「シン・テレワークシステム」試してみた
NTT東日本-IPA「シン・テレワークシステム」(新型コロナウイルス対策実証実験)が、実際インストールでどういう動きをするのか気になったのでVirtualBOX内のWindows10にインストールして確かめてみた。(続く twitter.com/wainohito/stat…
2020-04-24 13:41:40NTT東日本-IPA「シン・テレワークシステム」(新型コロナウイルス対策実証実験) クライアントもサーバも管理者権限不要、ネットワーク設定も不要、ファイル転送機能有りって情報漏洩させまくり案件なのでは…(´・ω・`) これで事件起きたら使った個人のせいなの? business.ntt-east.co.jp/service/thinte…
2020-04-23 11:33:54インストール先のシステムはこんな感じ。 ほぼ標準のままのWindows10にマルウェア対策ソフトDefensePlatformをインストールしてあり、どんなダイアログが出るか見ると共に後でログのチェックもしてみる。 pic.twitter.com/AeBKORVMkh
2020-04-24 13:44:02本家のページからこれをインストールしろとされている一番上のリンク1をダウンロードする。 pic.twitter.com/GgaV5yuRAz
2020-04-24 13:46:21実行するとすぐにDePのインストーラが実行されるダイアログが出てSoftEtherの署名がされていることがわかる。 pic.twitter.com/wCwojj0R4l
2020-04-24 13:47:58インストーラ画面が表示されちょっと言い訳がされているw 次へ進むとWindowsのUACが表示される。 この時点での署名は登さん個人のものになっているのだが、それはそういうものでいいの? pic.twitter.com/A2im1tzVPo
2020-04-24 13:50:41次に使用許諾のダイアログが出て、進むとどのパッケージをインストールするか選ぶ画面になる。全部入りパッケージを実行しているので選択肢は3つ、ここではファイル共有可能な一番上のサーバを選ぶ。 pic.twitter.com/lFOdDkTMmj
2020-04-24 13:52:55ここで注意事項が表示される。 (2)に管理者の許諾を得ろと注意がある。管理者権限なしのインストールを可能にしておいてこれか?(3)に不正な持ち出しへの注意。管理者権限なしの(ry pic.twitter.com/2n3N0AOK7i
2020-04-24 13:55:54バグがあってもしらないよ?盗られるかもしれないから重要なファイルは自分で守ってね?というありがたいお言葉が並ぶ。...この注意事項を書いても管理者に相談なくインストールする人は読まないでしょうね。 pic.twitter.com/Mpko3MJHJi
2020-04-24 13:58:37最後にすごい重要なお知らせ。レジストリいじってあろうが、グループポリシーで禁止されていようが、RDP機能を有効にして維持し続けます...って。これは管理者に言うべきことで、インストールしようとしている一般ユーザに向けた言葉ではないと思うんですが...。 pic.twitter.com/gPt3nm6Rd2
2020-04-24 14:01:11そしてインストール先の指定へ。上級者オプションを選択するとシステムサービスインストールの選択肢が表示されます。ここでは上級オプションはオフで通常のプロセスで進めます。 pic.twitter.com/BxT9MBu2HG
2020-04-24 14:03:52インストールが始まるとTerminalServerのスタートアップレジストリにユーザ認証を書き込みます。そしてTCP9823ポートを開いて全方位待ち受けを開始します。開始するとそのセッションをサイドスタートアップレジストリに追記します。 pic.twitter.com/702tn7vaRZ
2020-04-24 14:07:46これらの作業が完了すると初期設定に進みます。最初にパスワード設定画面が表示されます。(この時点で既にネットワークの待ち受けは機能していることに注意) pic.twitter.com/My1Nsv2OH4
2020-04-24 14:09:40ごく簡単な4文字のパスワードを入力すると、最近流行りのパスワード安全性のゲージ表示とかはなく、安全でない旨の注意は一応表示されましたが、そのまま設定できてきまいました。(自己責任ってやつですね!) pic.twitter.com/IWX6rdooCX
2020-04-24 14:12:42これで接続準備は完了です。待ち受けも動作しているようです。クライアント側でコンピュータIDに表示されている名前を入力してパスワード入れれば接続できるようです。 ちなみに固有IDというボタンではこんなもの(2枚目)が表示されましたが利用者からみた用途は不明です。 pic.twitter.com/3k6rw9f9Ew
2020-04-24 14:15:46インストール後、タスクマネージャーにはこう表示されています。ログに記録されている情報はほんの極僅かでした。待ち受けのオンオフすら記録されません。待ち受けオフ状態はこんな感じ(3枚目)です。このログは何のためのログなのでしょうか?接続記録だけ? pic.twitter.com/7hda0kI9wB
2020-04-24 14:18:52DefensePlatformのインストールからのログを見ると、合計3つのサーバにSSL接続しているようです。2枚目がその辺りの詳細です。IPAのサーバへの通信はダイナミックDNSでの名前解決のためでしょうか。もうひとつは中継サーバで、残り一つはわかりません。 pic.twitter.com/qqNMjGZ3fD
2020-04-24 14:24:48ということで、Windowsへ重要な変更を加えようとしたり勝手な待ち受け通信ポートを開こうとしたりするとアラートをしてくれるDefensePlatformも使って、シン・テレワークシステムの挙動を見てみました。緊急時の利便性提供という趣旨はわからなくないですが、IPAが提供する内容としてちょっと(続く
2020-04-24 14:27:42お粗末という印象です。安全側に倒した実装をもっとできるはずなのに、起きる全てのリスクを利用者に丸投げの作り方はセキュリティを啓蒙する立ち位置のIPAがしていいものではないと感じました。画面転送だけならまだしもファイルの持ち出しが可能になる機能については管理者権限必須でしょう。(続く
2020-04-24 14:31:09またRDPを強制的に有効にし続けることは、組織にリスクをもたらすことをもっと強く訴求しないといけない点でしょう。それを伝えれば業務上必要ならば利用者自ら管理者に適切に相談するようになると思います。(悪意があったらどうしようもないですが)現状ではまともなネットワーク管理者なら(続く
2020-04-24 14:33:45このアプリケーションはマルウェア認定の上、利用を禁止せざるをえない仕様だと感じます。少なくとも、RDP設定を上書きする時とファイル転送機能を有効にする時は管理者権限が必要な状態にすることが期待されます。 改善されることを願っています。
2020-04-24 14:39:57