思垢メモ
経験したこと、感じたこと





会社のパソコンで打ったコマンドがインシデントとして扱われた話


とある日

パケットキャプチャ、サーバやパソコンにてエンジニアの皆さんは一度は使ったことあるのではないでしょうか。

例えば、Windows機であれば管理者権限でターミナルを開いて

netsh trace start capture=yes

と打つだけでネットワークインターフェースを流れるパケットをコマンドを停止するまでの間、保存可能です。

今回、自分の端末の通信の挙動で気になる点があったので初めて上記コマンドを打って解析していました。取得したデータはもちろんローカルにのみ配置し、解析ソフト(ワイヤーシャーク)に食わせてパケット分析を行い、その日の業務は終えました。

数日後...

Slackにて知らない社内セキュリティチームの方からいきなり問い合わせが。

意訳するとこんな感じ。

お前の端末から以下のコマンドがある時刻に打たれたって通知きたけどさ
"netsh.exe" trace start capture=yes
お前が本当にやったの?やったのならなんで?

えええ、ローカルで打ったコマンドがなぜばれてるの!?

....


ここからは憶測ですが、特定コマンド(今回で言えばnetsh)を拾って外部に通知するセキュリティソフトが常駐してるってことなんですかね。

確かに、マルウェアに感染してパケットキャプチャをしかけられ、そのデータをこっそり外部に送信されていたらよろしくないのでこのコマンドを張るのは動きとしても自然な気もします。

さすがに全コマンドを送ってはないとおもっていますがどうなんでしょ。皆さんの職場でももしかしたら同様のインシデント扱いになるかもしれないのでご注意ください。

思ったこと

定期的にチェックツールが働いて不要な設定、不要なツールがインストールされていないか調べられているのは知っていましたがコマンドプロンプトに打ったコマンドがそのまま通知されてるとは思いませんでした。

今回は「ちゃうねん、パケットキャプチャを試すために動かしただけやねん」と弁解するとあっさりインシデントはクローズされましたが、こうやって企業のパソコンが変な動作していないかを日次でチェックしている部隊がいることを知れて良かったです。

社会人として生きていると、セキュリティインシデントは分かりやすく怒られますからね。

仕事終わりにそのまま会社のパソコンで自分の好きな勉強することあるので、余計なへまをして怒られないよう気を付けないとな~と思う今日この頃でした。