レッドチーム演習から見えてきた、セキュリティ対策「3つの間違い」:「House(家)」は買えても「Home(家庭)」は買えない
F-Secureは、2019年10月2〜3日開催の「Cyber Security Nordic」に合わせて開催したプレスカンファレンスにおいて「レッドチーム演習」サービスの中身を紹介して、企業のセキュリティ対策における3つの間違いを指摘した。
「攻撃者がどのように考え、どのように行動するかを知ることが重要だ」――フィンランドのセキュリティ企業、F-Secureでプリンシパルセキュリティコンサルタントを務めるトム・ヴァンデヴィーレ(Tom Van de Wiele)氏のアドバイスだ。同氏は、自社にとって最悪のシナリオを認識することで、インシデント検討/対応体制を整えるだけではなく、その成熟度を向上させていくことが重要だと呼び掛けた。
本物の犯罪者さながらの手法で「最悪のシナリオ」を洗い出すレッドチーム演習
F-Secureは、フィンランド大使館商務部(Business Finland)が2019年10月に開催した「Cyber Security Nordic」に合わせて開催したプレスカンファレンスの中でたびたび、エンドポイントセキュリティ製品から統合セキュリティサービスへのシフトを強調した。2019年9月25日にはその一環として、幅広い業種を対象に脆弱(ぜいじゃく)性検査やコンサルティングといったサイバーセキュリティサービスを提供する新部門「F-Secure Consulting」の設立も発表している。
F-Secure Consultingを中核とするセキュリティサービスの強化に向け、同社は複数の企業を買収してきた。「企業の秘密情報を盗むのが私の仕事」と述べるヴァンデヴィーレ氏も、デンマークを拠点とするセキュリティ企業、nSenseの買収を通じてF-Secureに加わり、いわゆる「レッドチーム演習」のサービスを担当している。
レッドチーム演習では脆弱性検査とは異なり、攻撃者の視点で、サイバーだけではなく物理的な弱点、あるいは人をだますソーシャルエンジニアリングなど、ありとあらゆる手段を用いて企業に侵入し、「ターゲット」を奪取する。本当の攻撃との違いは、顧客企業と交わした契約にのっとって進められ、倫理に反した振る舞いは行わないことぐらいだそうだ。
ヴァンデヴィーレ氏はプレスカンファレンスの中で、その手法の一部を紹介した。例えば、「オープンソースインテリジェンス(OSINT)」と呼ばれる、誰でもアクセス可能な公開情報の活用は攻撃者にとって当たり前だ。「LinkedInのようなソーシャルネットワークを利用すれば、システム担当者の経歴が分かり、そのシステムで使われているアプリケーションや防御ソフトウェアについてもある程度推測がつく」(ヴァンデヴィーレ氏)。あのケビン・ミトニック氏が使った「ごみ箱あさり」も、もちろん手法の一つだ。
サイバーを組み合わせた手法では、アカウントのアクティベートを装ったフィッシングメールも頻繁に利用されるという。もう少し技術的な話で言うと、コードサイニング証明書を用いて正規のアプリに見せ掛けたAndroidアプリをインストールさせ、周囲の会話やメールのやりとりを記録するといった手段もある。証明書発行に必要なクレデンシャル情報はどうするのかというと、「おそらくケアレスミスでアップロードされたIDとパスワードが、ネットで検索すればたくさん出てくる」(ヴァンデヴィーレ氏)という具合だ。
ヴァンデヴィーレ氏らが用いる、レッドチーム用の道具。カードリーダーやケーブルの他、関係者になりすますための服や小道具、物差し代わりのバナナなども含まれている(「物差しを持ってうろうろしていると怪しいが、バナナならそんなに怪しまれない」とのこと)
かつて、USBメモリを道ばたに落としておいたら約45%の人がそれをPCにつないでしまったという実験があったが、この方法に引っ掛かる人は多いそうだ。駐車場に落ちていたUSBメモリを何の気なしにつないだり、さらには低レイヤーでトロイの木馬を仕込んでおいたキーボードをITシステム部門の部屋の近くに置いておいたら、それを使ってしまう人がいたり……。
あるいは、正規のWi-Fiアクセスポイントと同じ名前で偽のアクセスポイントを用意し、自転車のかごに入れてオフィスの窓のすぐ側に放置すれば、ユーザーはそれと知らずに偽アクセスポイント側に接続してしまう、という手もある。他にも、物理的にICカードをコピーしてロックを突破したり、キーボード清掃用のエアダスターをセンサーに吹き付けて自動ドアを外側から開けたりといった具合に、手段を問わない攻撃者さながらの手口で、これまでほぼ全ての企業で侵入に成功してきたと同氏は説明した。
攻撃者のコストを増大させることがポイントに
関連記事
まるで核兵器が犯罪者の手に渡るような状態がサイバー空間で起きている――脅威の変化を踏まえ「検知、対応」へのマインドシフトを
F-Secureは、2019年10月2〜3日開催の「Cyber Security Nordic」に合わせて開催したプレスカンファレンスにおいて「防御」から「検知、対応」へのマインドシフトが必要だと強調した。
本番さながらの演習「サイバークエスト」を支える「レッドチーム」の正体とは?
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、カーディフ生命保険、カブドットコム証券、ジャパンネット銀行、シティグループ証券、みずほフィナンシャルグループ、金融ISACによる特別講演「サイバークエスト 昼は銀行員、夜は――攻撃者チームが手口を語る」の内容をお伝えする。
脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.