NTT東日本-IPA「シン・テレワークシステム」(新型コロナウイルス対策実証実験)が、実際インストールでどういう動きをするのか気になったのでVirtualBOX内のWindows10にインストールして確かめてみた。(続く https://t.co/WrB5KEKmOv
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
インストール先のシステムはこんな感じ。
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
ほぼ標準のままのWindows10にマルウェア対策ソフトDefensePlatformをインストールしてあり、どんなダイアログが出るか見ると共に後でログのチェックもしてみる。 pic.twitter.com/AeBKORVMkh
本家のページからこれをインストールしろとされている一番上のリンク1をダウンロードする。 pic.twitter.com/GgaV5yuRAz
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
実行するとすぐにDePのインストーラが実行されるダイアログが出てSoftEtherの署名がされていることがわかる。 pic.twitter.com/wCwojj0R4l
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
インストーラ画面が表示されちょっと言い訳がされているw
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
次へ進むとWindowsのUACが表示される。
この時点での署名は登さん個人のものになっているのだが、それはそういうものでいいの? pic.twitter.com/A2im1tzVPo
次に使用許諾のダイアログが出て、進むとどのパッケージをインストールするか選ぶ画面になる。全部入りパッケージを実行しているので選択肢は3つ、ここではファイル共有可能な一番上のサーバを選ぶ。 pic.twitter.com/lFOdDkTMmj
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
ここで注意事項が表示される。
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
(2)に管理者の許諾を得ろと注意がある。管理者権限なしのインストールを可能にしておいてこれか?(3)に不正な持ち出しへの注意。管理者権限なしの(ry pic.twitter.com/2n3N0AOK7i
バグがあってもしらないよ?盗られるかもしれないから重要なファイルは自分で守ってね?というありがたいお言葉が並ぶ。...この注意事項を書いても管理者に相談なくインストールする人は読まないでしょうね。 pic.twitter.com/Mpko3MJHJi
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
最後にすごい重要なお知らせ。レジストリいじってあろうが、グループポリシーで禁止されていようが、RDP機能を有効にして維持し続けます...って。これは管理者に言うべきことで、インストールしようとしている一般ユーザに向けた言葉ではないと思うんですが...。 pic.twitter.com/gPt3nm6Rd2
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
そしてインストール先の指定へ。上級者オプションを選択するとシステムサービスインストールの選択肢が表示されます。ここでは上級オプションはオフで通常のプロセスで進めます。 pic.twitter.com/BxT9MBu2HG
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
インストールが始まるとTerminalServerのスタートアップレジストリにユーザ認証を書き込みます。そしてTCP9823ポートを開いて全方位待ち受けを開始します。開始するとそのセッションをサイドスタートアップレジストリに追記します。 pic.twitter.com/702tn7vaRZ
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
これらの作業が完了すると初期設定に進みます。最初にパスワード設定画面が表示されます。(この時点で既にネットワークの待ち受けは機能していることに注意) pic.twitter.com/My1Nsv2OH4
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
ごく簡単な4文字のパスワードを入力すると、最近流行りのパスワード安全性のゲージ表示とかはなく、安全でない旨の注意は一応表示されましたが、そのまま設定できてきまいました。(自己責任ってやつですね!) pic.twitter.com/IWX6rdooCX
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
これで接続準備は完了です。待ち受けも動作しているようです。クライアント側でコンピュータIDに表示されている名前を入力してパスワード入れれば接続できるようです。
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
ちなみに固有IDというボタンではこんなもの(2枚目)が表示されましたが利用者からみた用途は不明です。 pic.twitter.com/3k6rw9f9Ew
インストール後、タスクマネージャーにはこう表示されています。ログに記録されている情報はほんの極僅かでした。待ち受けのオンオフすら記録されません。待ち受けオフ状態はこんな感じ(3枚目)です。このログは何のためのログなのでしょうか?接続記録だけ? pic.twitter.com/7hda0kI9wB
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
DefensePlatformのインストールからのログを見ると、合計3つのサーバにSSL接続しているようです。2枚目がその辺りの詳細です。IPAのサーバへの通信はダイナミックDNSでの名前解決のためでしょうか。もうひとつは中継サーバで、残り一つはわかりません。 pic.twitter.com/qqNMjGZ3fD
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
ということで、Windowsへ重要な変更を加えようとしたり勝手な待ち受け通信ポートを開こうとしたりするとアラートをしてくれるDefensePlatformも使って、シン・テレワークシステムの挙動を見てみました。緊急時の利便性提供という趣旨はわからなくないですが、IPAが提供する内容としてちょっと(続く
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
お粗末という印象です。安全側に倒した実装をもっとできるはずなのに、起きる全てのリスクを利用者に丸投げの作り方はセキュリティを啓蒙する立ち位置のIPAがしていいものではないと感じました。画面転送だけならまだしもファイルの持ち出しが可能になる機能については管理者権限必須でしょう。(続く
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
またRDPを強制的に有効にし続けることは、組織にリスクをもたらすことをもっと強く訴求しないといけない点でしょう。それを伝えれば業務上必要ならば利用者自ら管理者に適切に相談するようになると思います。(悪意があったらどうしようもないですが)現状ではまともなネットワーク管理者なら(続く
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
このアプリケーションはマルウェア認定の上、利用を禁止せざるをえない仕様だと感じます。少なくとも、RDP設定を上書きする時とファイル転送機能を有効にする時は管理者権限が必要な状態にすることが期待されます。
— 和合乃人(わーいのひと) (@wainohito) 2020年4月24日
改善されることを願っています。
- 発売日: 2020/06/04
- メディア: 単行本
- 作者:日経BPテレワーク特別取材班
- 発売日: 2020/03/20
- メディア: Kindle版
![ハミングヘッズ ディフェンスプラットフォーム Home Edition 3年版 [ダウンロード]](https://m.media-amazon.com/images/I/41NoM3VDmvL._SL160_.jpg "ハミングヘッズ ディフェンスプラットフォーム Home Edition 3年版 [ダウンロード]")
ハミングヘッズ ディフェンスプラットフォーム Home Edition 3年版 [ダウンロード]
- 発売日: 2015/08/18
- メディア: Software Download
