レッドチーム演習から見えてきた、セキュリティ対策「3つの間違い」：「House（家）」は買えても「Home（家庭）」は買えない

F-Secureは、2019年10月2〜3日開催の「Cyber Security Nordic」に合わせて開催したプレスカンファレンスにおいて「レッドチーム演習」サービスの中身を紹介して、企業のセキュリティ対策における3つの間違いを指摘した。

[高橋睦美，＠IT]

　「攻撃者がどのように考え、どのように行動するかを知ることが重要だ」――フィンランドのセキュリティ企業、F-Secureでプリンシパルセキュリティコンサルタントを務めるトム・ヴァンデヴィーレ（Tom Van de Wiele）氏のアドバイスだ。同氏は、自社にとって最悪のシナリオを認識することで、インシデント検討／対応体制を整えるだけではなく、その成熟度を向上させていくことが重要だと呼び掛けた。

本物の犯罪者さながらの手法で「最悪のシナリオ」を洗い出すレッドチーム演習

F-Secure プリンシパルセキュリティコンサルタント トム・ヴァンデヴィーレ氏

　F-Secureは、フィンランド大使館商務部（Business Finland）が2019年10月に開催した「Cyber Security Nordic」に合わせて開催したプレスカンファレンスの中でたびたび、エンドポイントセキュリティ製品から統合セキュリティサービスへのシフトを強調した。2019年9月25日にはその一環として、幅広い業種を対象に脆弱（ぜいじゃく）性検査やコンサルティングといったサイバーセキュリティサービスを提供する新部門「F-Secure Consulting」の設立も発表している。

　F-Secure Consultingを中核とするセキュリティサービスの強化に向け、同社は複数の企業を買収してきた。「企業の秘密情報を盗むのが私の仕事」と述べるヴァンデヴィーレ氏も、デンマークを拠点とするセキュリティ企業、nSenseの買収を通じてF-Secureに加わり、いわゆる「レッドチーム演習」のサービスを担当している。

　レッドチーム演習では脆弱性検査とは異なり、攻撃者の視点で、サイバーだけではなく物理的な弱点、あるいは人をだますソーシャルエンジニアリングなど、ありとあらゆる手段を用いて企業に侵入し、「ターゲット」を奪取する。本当の攻撃との違いは、顧客企業と交わした契約にのっとって進められ、倫理に反した振る舞いは行わないことぐらいだそうだ。

　ヴァンデヴィーレ氏はプレスカンファレンスの中で、その手法の一部を紹介した。例えば、「オープンソースインテリジェンス（OSINT）」と呼ばれる、誰でもアクセス可能な公開情報の活用は攻撃者にとって当たり前だ。「LinkedInのようなソーシャルネットワークを利用すれば、システム担当者の経歴が分かり、そのシステムで使われているアプリケーションや防御ソフトウェアについてもある程度推測がつく」（ヴァンデヴィーレ氏）。あのケビン・ミトニック氏が使った「ごみ箱あさり」も、もちろん手法の一つだ。

　サイバーを組み合わせた手法では、アカウントのアクティベートを装ったフィッシングメールも頻繁に利用されるという。もう少し技術的な話で言うと、コードサイニング証明書を用いて正規のアプリに見せ掛けたAndroidアプリをインストールさせ、周囲の会話やメールのやりとりを記録するといった手段もある。証明書発行に必要なクレデンシャル情報はどうするのかというと、「おそらくケアレスミスでアップロードされたIDとパスワードが、ネットで検索すればたくさん出てくる」（ヴァンデヴィーレ氏）という具合だ。

ヴァンデヴィーレ氏らが用いる、レッドチーム用の道具。カードリーダーやケーブルの他、関係者になりすますための服や小道具、物差し代わりのバナナなども含まれている（「物差しを持ってうろうろしていると怪しいが、バナナならそんなに怪しまれない」とのこと）

　かつて、USBメモリを道ばたに落としておいたら約45％の人がそれをPCにつないでしまったという実験があったが、この方法に引っ掛かる人は多いそうだ。駐車場に落ちていたUSBメモリを何の気なしにつないだり、さらには低レイヤーでトロイの木馬を仕込んでおいたキーボードをITシステム部門の部屋の近くに置いておいたら、それを使ってしまう人がいたり……。

　あるいは、正規のWi-Fiアクセスポイントと同じ名前で偽のアクセスポイントを用意し、自転車のかごに入れてオフィスの窓のすぐ側に放置すれば、ユーザーはそれと知らずに偽アクセスポイント側に接続してしまう、という手もある。他にも、物理的にICカードをコピーしてロックを突破したり、キーボード清掃用のエアダスターをセンサーに吹き付けて自動ドアを外側から開けたりといった具合に、手段を問わない攻撃者さながらの手口で、これまでほぼ全ての企業で侵入に成功してきたと同氏は説明した。

攻撃者のコストを増大させることがポイントに

　それにしても、何もここまでやらなくても……という感想すら抱くレッドチーム演習は、なぜ必要なのだろうか。

　背景には「企業の68％は、脅威が侵入しても検知するまでに1カ月かかる」という現状がある。そうこうしているうちに機密情報を盗み出され、取り返しのつかない事態になる恐れもある。従って、最初の侵入を止めることができなくても、弱点を知り、進行中の侵害を検知できるようにする体制を整えることがポイントだとした。

　そこで最近ではさまざまなセキュリティ企業がレッドチーム演習をサービスメニューに加えているが、「物理的な鍵に強いチーム、あるいはハードウェアの構造に強いチームなど、『創造的なアイデア』を持ったさまざまな専門家集団で構成されており、独自ツールとフレームワークに沿って演習を実施していることがわれわれの特徴だ」（ヴァンデヴィーレ氏）

　既に金融機関の他、発電所、航空関連の企業など、社会的なインフラを担う企業を中心にレッドチーム演習を実施してきたというヴァンデヴィーレ氏。例えば「特定の口座に1ユーロ振り込む（＝振り込めるということは、閲覧、改ざん、その他の処理も可能）」、あるいは「プラントの制御コンソールの前に置かれたお弁当の写真を撮影する（＝物理的に侵入できることを示す）」といったミッションを達成し、どこが弱いかを指摘してきた。

　ただ、そうした弱点があること自体が問題なのではない。弱点を認識して穴を減らすのも大事だが、何より大事なのは、「こんな可能性もある」ということを頭に入れ、そこを突いてくる攻撃を速やかに検知し、対応できる仕組みを整えたり、それに備えて訓練を行い、攻撃を受けてもサービスを継続できる体制を整えたりすること。あるいは攻撃者の小さなミスを、自社が期待する期間内に検知し、対応できるよう成熟度を上げていくことだという。

　最終的には、「攻撃者のコストを高めることが重要だ。攻撃を止めることはできなくても、投資に見合わないようにしていくことはできる」とヴァンデヴィーレ氏は述べている。

企業がこれまでのセキュリティ対策で犯してきた3つの間違いとは

　おそらく、「セキュリティを重視していますか、対策してきましたか？」と尋ねたら、ほとんどの企業は「イエス」と答えるだろう。だが、その取り組みには主に3つの間違いがあったのではないかとヴァンデヴィーレ氏は述べた。

　1つ目は、責任を外部に押し付けてしまうことだ。「いくら丈夫な錠前を作っても、持ち主が鍵をなくしてしまっては意味がない。鍵の管理は持ち主の責任だ。同じように、サードパーティーやクラウドベンダーにセキュリティ運用をアウトソースすること自体は悪いことではないが、責任まではアウトソースできない」（ヴァンデヴィーレ氏）。クラウドの「責任共有モデル」と同じように、企業とベンダー、あるいは社内のそれぞれの部署が責任を分担していることを認識すべきだとした。

　2つ目の間違いは、「信用し過ぎてしまうこと」。いわゆる性善説に頼り過ぎてはいけないという意味だ。「信頼は大切だが、スケールしない」とヴァンデヴィーレ氏は述べた。

　セキュリティ侵害は、本来のユーザーと似た振る舞いを通じて行われることが多い。データベースにアクセスして情報をダウンロードし、USBに保存しているのは正規のユーザーなのか、それともアカウントを乗っ取られた結果なのか――「信頼、それ自体は良いことだが、それには何らかの『検証』が必要だ。誰か1人が責任者という場合でも、相互チェックが必要だ。信頼はそれ単体で成り立つのではなく、何らかの検証が必要だ」（ヴァンデヴィーレ氏）

　そして3つ目の間違いは「『セキュリティは買える』と思っていること」だとヴァンデヴィーレ氏は述べた。何か1つの課題を解決してくれる製品やサービスはたくさんある。ただ、そうした「れんが」を組み合わせて「壁」にしていくのは企業自身の仕事だ。時には壁を構成するれんがのどれかが古くなったり、壊れたりすることもあるから、適宜、交換しなければならない。

　「物理的な『House（家）』は買うことができても、居心地が良くてくつろげる『Home（家庭）』は買うことができない。HouseはHomeを構成する一要素だが、それだけではないのと同じことだ。自分自身で安心できる環境を作っていくことが大事だ」（ヴァンデヴィーレ氏）

最初の侵入手法は動く標的、100％のソリューションはあり得ない

　Cyber Security Nordicの別の講演では、Accenture Securityでやはりペネトレーションテストやレッドチーム演習を担当しているRoee Schreiber氏とElad Segev氏が、幾つかの企業を対象にテストを行ってきた経験を踏まえて次のように述べた。

Accenture SecurityのRoee Schreiber氏（左）とElad Segev氏（右）

　「企業に最初に侵入する際の手法は、次々に変化してきた。ファイアウォールができればスピアフィッシングが生まれ、それをブロックするシグネチャが強化されるとマクロを用いた手法が再び盛んになるといった具合に、トレンドは変化し続けている。いろいろなソリューションが提供されているが、動く標的を捕らえるにはどれも100％とはいかない」（Schreiber氏）。一方、侵入後に侵害範囲を広げていく手法については、昔ながらの脆弱性を突く方法が多く見られることから、パッチ管理といった基本的な対策とともに、横展開を検知していく仕組みが重要だとした。

　さらに、今まさにコンテナやサーバレスといった新たなトレンドが生まれているが、「シフトレフトという言葉に象徴される通り、開発の最初の段階からセキュリティを考慮していくことが、特にアジャイル開発のトレンドの中では必要だ」（Schreiber氏）とアドバイスした。

（取材協力：エフセキュア）