SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

クリアスクリーンについてちょっと考えてみた

はじめに

こんにちは、最近ダーリンインザフランキスを見終えた消失感であまり仕事する気になれない脆弱性診断士の岩間です。
突然ですがクリアスクリーンという言葉をご存知でしょうか。

「離席する際は、画面ロックしてね。」ってセキュリティ担当の人や、情シス、総務の方などが言っていたりしませんか?
そう、あれがクリアスクリーンです。非技術者や非IT業界に勤めている方でも耳にしたことはあるかと思います。

ちなみに、IT用語辞典 e-Words によると以下の通り記載されています。

クリアスクリーンポリシーとは、情報セキュリティに関する行動指針の一つで、自席のコンピュータを意図せず第三者に操作されたり画面を盗み見されたりしないよう対策を求めるもの。

セキュリティ啓蒙や監査前、セキュリティ強化の一環としてクリアデスクという言葉と一緒に使われたりしますよね。

でも意外と出来ていない人って多いと思いませんか?
また、普段は意識していても急いでいる時など、ついつい画面のロックを忘れたりしませんか?

今回は、クリアスクリーンをしていないのは現実的に考えて危険なのか?という事と、どうやったら普及できるかを考えたいと思います!

非クリアスクリーンって危険なのか?

結論から書くと危険じゃないので、クリアスクリーンはしなくていいですよ。

なわけないです。誰でも操作できてしまう状態で放置しておくなんて 鍵開けっ放しで家から出るのと同じです。

離席するシーン

でも、実際は「オフィスの中だから、大丈夫!大丈夫!」って思ってる人は多いのではないでしょうか?
会社の人を信用するなとは言いませんが、画面ロックが掛かっていなかったら、つい覗いたり操作しちゃうのが人の性です。
そもそもどんな状況において離席するのか、考えてみました。

オフィスで離席する一般的なシーン

  • トイレ
  • 飲み物やオフィスグリコを買うとき
  • 喫煙室に行くとき
  • 印刷するとき
  • 昼飯を買いにいくとき
  • 呼び出されたとき
  • ちょっとした相談

などなど

色々考えてみましたが、最も多くの人に該当するのはトイレ買い物でしょう。 業種にもよるかもしれませんが、資料を印刷するためにプリンタまで移動するというのもありますね。
また、喫煙されている方はタバコ休憩による離席も多いと思います。

オフィス以外でも仕事をするシーンはありますよね。 弊社でも在宅やリモートワークを推奨しているので、社外での作業には特に気をつけています。

なので、オフィス以外のシーンも考えてみます。

オフィス以外で仕事をするシーン

  • カフェ
  • コワーキングスペース
  • 飛行機の機内
  • セミナールーム

などなど

特にカフェセミナールームでPCを放置している人は結構います!!!

クリアスクリーンからは逸れますが画面ロック以前の話で、そもそも公共の場でPCを放置するのは盗んでくださいって言ってるようなものなので、肌身離さず持ち歩きましょう。

離席している間の時間

でも、そんなこと言ったって、本当は「ちょっとの間だけなら、大丈夫!大丈夫!」って思ってる人多いのではないでしょうか?
いや、ちょっとの間でもダメでしょ・・・・でも、本当に一瞬だけの離席であれば確かに脅威は少ないでしょう。
離席している時間 = 攻撃者が自由に操作できる時間とも置き換えることができます。
なので、離席している間の時間を先ほどのシーンに当てはめて考えてみました。

  • トイレ: 2~5分
  • 買い物やドリンクなどの注文: 2~3分
  • 印刷: 30秒~3分
  • 喫煙 : 3分~7分

トイレがめちゃめちゃ混んでた!印刷枚数が1000枚以上超えてる!などのケースは考えていません。 また、上の時間はあくまでも私の主観です。

平均すると2分未満のような気がします。
実際には離席していても、視認できる距離にいる場合は、攻撃者は操作できないためもっと少ない時間になるでしょう。 なので大体1分~1分30秒の間で操作できる事が現実的な脅威だと思います。

クリアスクリーンの脅威

1分半程度の猶予時間の間で一体何ができるのでしょうか。 攻撃者がどんなにタイピングが早くても、1分半程度で出来ることはかなり少ないと思います。

「やっぱりちょっとの間なら大した事はない」そう思っていますか?
甘い!甘いですよ!その考え!!
というわけで、どんな事ができるか妄想してみました。一般的なWindowsを対象にしています。

バックドアやマルウェアをしかける

1分半程度じゃ何もできないなら、バックドアを仕掛けて後からゆっくり操作しよう。

「短時間でそんなことできるの?」と思われるかもしれませんが、 ある程度攻撃者にとって環境が整っているPCであれば出来るかと思います。

  1. 離席したらすかさずコマンドプロンプトやPowershellを管理者権限で実行する
  2. bitsadmin.exewgetなどで予め用意したファイルをダウンロードする
  3. ダウンロードしたファイルを実行する

管理者権限でコマンドプロンプトやPowershellを立ち上げ方法はOSやバージョン毎によって異なります。
まとめている方の記事があるので、そちらを参考にしてください。
管理者権限でコマンドプロンプトを起動するショートカット

Windows10ではいくつかのLinuxコマンドのエイリアスが登録されています。
その中にはcurlwgetコマンド等もあり、ブラウザなどを立ち上げなくても簡単にファイルをダウンロードすることができます。

攻撃者は事前にバックドア用のプログラムを、インターネット上もしくは利用者PCから到達性のある場所に置いておく必要がありますが、 短縮URLやIPアドレス直打ちにすれば、少ないタイピングでダウンロードすることが可能です。

あとはファイルを実行するだけ。
ファイルを隠したり、常駐させたりなども考える必要がありますが、離席中にやらなくても大丈夫でしょう。
応用すればバックドアのみならずマルウェアなどもインストールさせることができるでしょう。

クリアスクリーンを普及・浸透させるためには

ここまでの内容を読んでいただいた方には、クリアスクリーンを怠っている場合の脅威が理解できたかと思います。 しかしながら冒頭でも書いた通り、危険な事だと感じていてもちょっとの間なら問題ないと思っている人もまだまだ多いでしょう。

文書や社内報のようなもので注意喚起していくのも効果がないとは言いませんが、浸透させていくにはイマイチだと思います。

浸透しない理由として、離席時の画面ロックは習慣化しておかないと、いざという時だけ気をつけるという感覚だとうっかり忘れがちになりやすいからだと思います。

画面ロックの習慣化をさせるにはどうすればよいか・・・。




そうだ、いたずらしよう!

積極的にクリアスクリーンをしていない人のPCをいたずらしていくことで、いたずらされないように画面ロックを普段から心がけていくのではないでしょうか!
単にいたずらしたいだけではありません!!断じて!!

もちろんデータの破壊やバックドアなんてしかけたら、業務に支障がでるので業務に支障の出ない範囲で!
(いたずらしても許される強い信頼関係が前提にあります。)

そこで、いくつかクリアスクリーン浸透を目的としたいたずらを考えてみました。

※ なお、ここでのいたずら行為で生じたあらゆる損害等について、理由の如何に関わらず、一切の責任を持ちません。

画面を逆さまにする

戻ってきたら、画面が逆さまだったらちょっとびっくりしますよね。もちろんすぐに直し方も教えてあげてくださいね。
一部のPCに限りますが Ctrlキー+Altキー+↓キーで画面を逆さまにすることができます。
戻し方はCtrlキー+Altキー+↑キー です。

画面に大きく「m9(^Д^)プギャー」を表示させる

戻ってきたら、画面に大きく「m9(^Д^)プギャー」って表示されてたら、ムカッとした後にクリアスクリーンを怠ったことに少し後悔するのではないでしょうか。

  1. Windowsキー+Rキーでファイル名を指定して実行するウィンドウを立ち上げる。
  2. wordpadと入力
  3. m9(^Д^)プギャー もしくはそれ以外の文字を入力
  4. Ctrlキー+Shiftキー+>(大なり)キーを押して文字を大きくする

Notepad(メモ帳)では、キーボードショートカットを使って文字装飾ができません。
Wordならキーボードショートカットで文字装飾できますが、Wordは実行に時間がかかるのと、必ずしもPCに入っているとは限らないためWordpadを利用しています。
もっと文字装飾をしたい方は、マイクロソフトの公式サポートページでショートカットの一覧が記載されているので参考にしてみてください。
アプリのキーボード ショートカット

真っ白なページだけを表示させる

戻ってきたら、いろいろ作業してた画面が全部真っ白になってたら怖いですよね。ちなみにタスクバーも隠れます。

  1. 適当なブラウザを立ち上げる
  2. F6キーを押して、アドレスバーにカーソルを当てる
  3. about:blank と入力し、真っ白なページを表示させる
  4. F11キーを押して、全画面にする。

IE,Firefox,Chromeで確認しています。
IEとFirefoxは全画面後、しばらく画面上部にメニューバーが表示されていますが、2~3秒放置していると、メニューバーも隠れて完全な白色画面になります。
戻し方はF11をもう一度押してください。または、画面の最上部までマウスを移動させると、メニューバーが現れてきます。

注意として、ブラウザを立ち上げてTwitterやFacebookで投稿したり、他人のアカウントで何かをするのは、不正アクセス禁止法に該当してしまうので止めましょう。

謎のメモ帳を立ち上げる。

  1. Windowsキー+Rキーでファイル名を指定して実行するウィンドウを立ち上げる。
  2. notepad.exe /.setupと入力

メモ帳が表示されますが、タスクバーにも表示されず、再描画もされません。

終わりに

いかがでしたか?クリアスクリーンを怠った場合の怖さは理解できましたか?
僅かな時間でも離れるときはWindowsキー+Lキーで画面ロックを心がけましょう! Macの方はShift+Ctrl+電源ですね。

日頃から意識して習慣化させていきましょうね!