NTT東日本-IPA「シン・テレワークシステム」試してみた件

NTT東日本-IPA「シン・テレワークシステム」（新型コロナウイルス対策実証実験）が、実際インストールでどういう動きをするのか気になったのでVirtualBOX内のWindows10にインストールして確かめてみた。（続く https://t.co/WrB5KEKmOv
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

インストール先のシステムはこんな感じ。
ほぼ標準のままのWindows10にマルウェア対策ソフトDefensePlatformをインストールしてあり、どんなダイアログが出るか見ると共に後でログのチェックもしてみる。 pic.twitter.com/AeBKORVMkh
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

本家のページからこれをインストールしろとされている一番上のリンク１をダウンロードする。 pic.twitter.com/GgaV5yuRAz
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

実行するとすぐにDePのインストーラが実行されるダイアログが出てSoftEtherの署名がされていることがわかる。 pic.twitter.com/wCwojj0R4l
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

インストーラ画面が表示されちょっと言い訳がされているw
次へ進むとWindowsのUACが表示される。
この時点での署名は登さん個人のものになっているのだが、それはそういうものでいいの？ pic.twitter.com/A2im1tzVPo
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

次に使用許諾のダイアログが出て、進むとどのパッケージをインストールするか選ぶ画面になる。全部入りパッケージを実行しているので選択肢は３つ、ここではファイル共有可能な一番上のサーバを選ぶ。 pic.twitter.com/lFOdDkTMmj
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

ここで注意事項が表示される。
(2)に管理者の許諾を得ろと注意がある。管理者権限なしのインストールを可能にしておいてこれか？(3)に不正な持ち出しへの注意。管理者権限なしの（ry pic.twitter.com/2n3N0AOK7i
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

バグがあってもしらないよ？盗られるかもしれないから重要なファイルは自分で守ってね？というありがたいお言葉が並ぶ。...この注意事項を書いても管理者に相談なくインストールする人は読まないでしょうね。 pic.twitter.com/Mpko3MJHJi
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

最後にすごい重要なお知らせ。レジストリいじってあろうが、グループポリシーで禁止されていようが、RDP機能を有効にして維持し続けます...って。これは管理者に言うべきことで、インストールしようとしている一般ユーザに向けた言葉ではないと思うんですが...。 pic.twitter.com/gPt3nm6Rd2
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

そしてインストール先の指定へ。上級者オプションを選択するとシステムサービスインストールの選択肢が表示されます。ここでは上級オプションはオフで通常のプロセスで進めます。 pic.twitter.com/BxT9MBu2HG
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

インストールが始まるとTerminalServerのスタートアップレジストリにユーザ認証を書き込みます。そしてTCP9823ポートを開いて全方位待ち受けを開始します。開始するとそのセッションをサイドスタートアップレジストリに追記します。 pic.twitter.com/702tn7vaRZ
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

これらの作業が完了すると初期設定に進みます。最初にパスワード設定画面が表示されます。（この時点で既にネットワークの待ち受けは機能していることに注意） pic.twitter.com/My1Nsv2OH4
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

ごく簡単な４文字のパスワードを入力すると、最近流行りのパスワード安全性のゲージ表示とかはなく、安全でない旨の注意は一応表示されましたが、そのまま設定できてきまいました。（自己責任ってやつですね！） pic.twitter.com/IWX6rdooCX
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

これで接続準備は完了です。待ち受けも動作しているようです。クライアント側でコンピュータIDに表示されている名前を入力してパスワード入れれば接続できるようです。

ちなみに固有IDというボタンではこんなもの（2枚目）が表示されましたが利用者からみた用途は不明です。 pic.twitter.com/3k6rw9f9Ew
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

インストール後、タスクマネージャーにはこう表示されています。ログに記録されている情報はほんの極僅かでした。待ち受けのオンオフすら記録されません。待ち受けオフ状態はこんな感じ（3枚目）です。このログは何のためのログなのでしょうか？接続記録だけ？ pic.twitter.com/7hda0kI9wB
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

DefensePlatformのインストールからのログを見ると、合計３つのサーバにSSL接続しているようです。2枚目がその辺りの詳細です。IPAのサーバへの通信はダイナミックDNSでの名前解決のためでしょうか。もうひとつは中継サーバで、残り一つはわかりません。 pic.twitter.com/qqNMjGZ3fD
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

ということで、Windowsへ重要な変更を加えようとしたり勝手な待ち受け通信ポートを開こうとしたりするとアラートをしてくれるDefensePlatformも使って、シン・テレワークシステムの挙動を見てみました。緊急時の利便性提供という趣旨はわからなくないですが、IPAが提供する内容としてちょっと（続く
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

お粗末という印象です。安全側に倒した実装をもっとできるはずなのに、起きる全てのリスクを利用者に丸投げの作り方はセキュリティを啓蒙する立ち位置のIPAがしていいものではないと感じました。画面転送だけならまだしもファイルの持ち出しが可能になる機能については管理者権限必須でしょう。（続く
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

またRDPを強制的に有効にし続けることは、組織にリスクをもたらすことをもっと強く訴求しないといけない点でしょう。それを伝えれば業務上必要ならば利用者自ら管理者に適切に相談するようになると思います。（悪意があったらどうしようもないですが）現状ではまともなネットワーク管理者なら（続く
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日

このアプリケーションはマルウェア認定の上、利用を禁止せざるをえない仕様だと感じます。少なくとも、RDP設定を上書きする時とファイル転送機能を有効にする時は管理者権限が必要な状態にすることが期待されます。
改善されることを願っています。
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日