疑似的サイバー攻撃で本番さながらの訓練、GMOサイバーセキュリティ byイエラエの「レッドチーム演習」

ムコハタワカコ

GMOインターネットグループインタビューセキュリティ

ペネトレーションテストとの違い

ペネトレーションテストと、レッドチーム演習との大きな違いは何か。社内ネットワークを対象にイエラエが提供しているペネトレーションテストとの違いを例に、片岡氏が説明する。

「イエラエのペネトレーションテストは、基本的にはレッドチーム演習と同じく、『こういう攻撃を受けた場合はどうするか』といったシナリオベースで進みます。ただ、レッドチーム演習の方は、マルウェア感染、ウェブアプリケーション、Wi-Fiなど攻撃ルートを幅広く取り初期侵入から検証を始めるのに対し、ペネトレーションテストでは『すでにマルウェアに感染済みの端末が存在する』とといったかたちで、範囲や攻撃条件をある程度狭めたところからスタートします。

またペネトレーションテストは、実際の攻撃と勘違いしてパニックが起こらないよう、ブルーチームに事前に通知を行っておき、攻撃が検知された場合にどうするか調整を事前に行った上で実施します。ですから、ブルーチームの教育や強化のためのものという位置付けではありません。

それに対してレッドチーム演習は、ブルーチームにはほとんど何も伝えず、社内のごく一部の限られた関係者で構成されるホワイトチームのみが知っている状態で実施します。ブルーチームのメンバーは演習の存在自体を知らないので、本当のインシデントだと思って対応する必要があります」(片岡氏)

GMOサイバーセキュリティ byイエラエ オフェンシブセキュリティ部ペネトレーションテスト課 片岡玄太氏

一般に、インシデントにおいて攻撃者と防御側とでは、攻撃者が有利と言われる。攻撃者は自分の好きなタイミングで攻撃でき、相手の環境を想定した練習も可能であるのに対し、防御する側は、自社の環境の中で攻撃を想定して練習をすることは難しいからだ。ペネトレーションテストや脆弱性診断でもある程度の経験は積めるが、緊張感の中で実際の攻撃を疑い、検知し、実際に攻撃を止められるかどうか、レッドチーム演習ではより実践的なトレーニングをブルーチームが積むことができると片岡氏は説明する。

「全社員の業務を止めれば完全に脅威を隔離できるかもしれないというとき、セキュリティ担当者の一存で業務を全部止めるのは難しいだろうし、もし間違っていたら怒られるかもしれないじゃないですか。レッドチーム演習を行うことで、そういったところも含めて、どういう体制になっているかが分かったり、どこに問題があるのかが表面化したりということもあります」(片岡氏)

これまでに行った演習でも、業務を一時的に止めれば脅威を止められる状況があったそうだ。演習中は、依頼元企業の一部の関係者によって組織された「ホワイトチーム」が演習の状況を監視・調整するため、実際には業務を止めるなど、対外的に問題になるような事態は起こらないというが、かなり実戦に近い対応がブルーチームには求められることになる。

従業員に変装、カフェからのネットワーク侵入も

実際の攻撃にあたって、レッドチームは具体的にどのようなことを行っているのだろうか。

片岡氏によれば、対象となるクライアント企業のオフィスの拠点数や位置を調べたり、企業に属する人のSNSを確認したりするほか、所属する個人にひも付いた過去の漏えい情報の有無などをチェックするという。こうして一般に公開され入手できる情報の中から、さまざまな人のプロフィールを集めた上で、フィッシングを仕掛けることもある。

また、オフィスが近ければ、実際に見に行ってWi-Fiの電波が外に出ていないかを調べる、遠方のオフィスであれば、Googleマップやストリートビューを利用して外部から侵入できそうな場所をチェックする、といったことも行うそうだ。実際の例では、レッドチームのメンバーが変装して従業員になりきり、堂々とオフィスに入ったことも。フリーアドレスのオフィスの場合、エンジニアの振りをして堂々と侵入すると、ほとんど目立つことなくPCを操作できることもあるようだ。また、攻撃対象のオフィスのすぐ近くにあるカフェまで社内のWi-Fiが届くことがわかると、毎日そこで飲み物を飲んでいるふりをしながらハッキングを続けたこともある。

レッドチーム演習では、対象企業のWi-Fiが届くカフェからハッキングを続けることもある

内部に入るなどしてネットワークに接続した後は防御を回避しながら、内部で強い権限のアカウントを奪取したり、サーバへ侵入したりして、機密情報の取得など、攻撃のゴールとなる目標達成を目指すことになる。

レッドチーム演習では、「検知されても目的を達成すればいい」という考え方が、ペネトレーションテストなどと異なっていると片岡氏。そこでレッドチームでは、担当者らが寝ている夜中やセキュリティパッチの適用が遅れた土日祝日など、条件が整うタイミングさえあれば、24時間体制でいつでも作業を行うという。このあたりは実際の攻撃者が、しばしば祝日を狙うということと同じ理屈で攻撃が行われている。

物理侵入の例としては、6月に実施されたGMOインターネットグループのセキュリティ総点検で、実際に熊谷氏のカードキーをレッドチームがコピーして、役員室への侵入を成功させている。
「カードキーの複製を作る以外にも、自分のカードの権限を強くすることでも入れたと思います。だから、やり方もいくらでもあるんです。レッドチーム演習は、複数ある選択肢の中から攻撃者にとって一番バレにくく、確率の高いものは何かを探っていくテストでもあります。結論を言えば、別に脆弱性が1つもなくても、条件さえ揃うのであればレッドチームはゴールを達成できてしまいます」(片岡氏)

脆弱性診断やペネトレーションテストでは多くの脆弱性や攻撃方法を見つけることが目的となる。これに対し、レッドチーム演習では「少ない動きで目立たないように、利用者と同じようなふるまいをして、いかに検知されずにデータを盗み出すなどのゴールを達成できるかが試される」と片岡氏は話す。

「ボディがら空き」に警鐘、企業が持つべきセキュリティの考え方とは

レッドチーム演習のサービス提供価格は対応内容や期間にもよるが、演習期間2カ月間で1500万円前後。演習をすすめたいのは、「すでに脆弱性診断やペネトレーションテストを実施しており、組織としてのセキュリティ体制がある程度確立していて、SOCやCSIRTのようなインシデント対応ができる人員がそろっている企業」だと片岡氏はいう。

「ここまで、さまざまな対策を積み重ねてきた組織・チームが、本物の緊張感の中で本物の攻撃と同等の攻撃が来た場合に、それを防ぐことができるのかどうか。最終チェックというと言い過ぎかもしれませんが、今までの積み重ねが正しかったかどうか、方向性が間違っていなかったかどうかの確認に、大変役立つ演習だと考えています」(片岡氏)

イエラエのレッドチームは、ゴール達成のために一般に公開されていない新規の脆弱性(ゼロデイ脆弱性)を演習中に見つけることもあるほど、高い知見とテクニックを誇る。実際に情報セキュリティ等の施策を展開する情報処理推進機構(IPA)へ演習中に発見した脆弱性を報告を行いCVEが登録されている。

バレずに侵入を果たすためなら、あらゆる手段を講じるイエラエのレッドチーム。中には、採用希望者になりすまして侵入を図ったところ、本当に内定をもらってしまった、といったエピソードもあるらしい。

最後に、IT化が進む今だからこそ、企業が持っておくべきセキュリティ観についても、片岡氏に聞かせてもらった。

「我々が検知され、隔離されたり、攻撃を止められることもやはりあります。しかし検知されるリスクの高い攻撃を行う前には、我々も接続を切られたとしても再接続できるような手段を残してあります。最初の攻撃に使ったものとは別の証明書を発行しておいたり、VPNですぐに再接続できるようにしたり、完全に遮断されたふりをして1週間以上攻撃を完全に停止することもあります。ブルーチームは被害状況を正確に把握し、的確に対処しない限り攻撃を止めきれません」(片岡氏)

片岡氏は「セキュリティ担当チームが強くものを言える会社は、それほど多くない」という。サービスを止めれば現場からの反発もあり、間違っていれば経営層からも怒られる。それを踏まえた上で、「ルール作りや対策の重要性については、(ブルーチームだけでなく)経営層にも理解してもらう必要性があると個人的には考えます」と片岡氏は語る。

セキュリティ対策では、担当部署による対策以外に、経営層の理解も必要だ

「こういうと怒られるかもしれませんが、いつ攻撃を受けるかわからない状況で、侵入を完全に防ぐのは難しいというのが僕の考えです。侵入されるのは正直しょうがない。研修動画などでセキュリティについて学んではいても、全員が全員ITリテラシーが高いわけではありません。末端の従業員がたった1人ミスしただけで攻撃が成功してしまうのであれば、体制の方に問題があると思います。

レッドチーム演習を実際にやっていると、初期侵入に関する対策については力を入れている企業が多い印象です。ただ、そこを1枚破られたときにボディががら空きになるんです。侵入されないならもちろん、それが一番いいのですが、ゼロデイ攻撃を受けたり、セキュリティパッチの適用を誰かが忘れていたり、認証情報の漏洩があったり、そういったことで全てが崩壊してしまうような壁なら、ないのと同じです。

それなら、入口での100%の防御を目指すよりも、さまざまな場所での99%の防御をたくさん重ねておくことが重要です。一部分の攻撃が成功したとしてもすぐに全体を掌握されないようなセキュアな設計、適切な権限付与、パッチの適用、EDR(エンドポイント・ディテクション・アンド・レスポンス、システムの終端で脅威を継続的に監視・対応する技術)やSIEM(セキュリティ・インフォメーション・アンド・イベント・マネジメント、ネットワークやセキュリティ製品など全機器のログを管理・解析し脅威を検知する製品)といったセキュリティ検知の仕組みの導入によって、レベルの低い侵入者ならすぐに止められるようにしておくことや、ログがしっかり取れる状況を作っておくなど、重ねて対策すれば攻撃者の取れる選択肢はおのずと減ります。すると、ブルーチームが怪しい動きを見つけやすくなり、対処しやすくなるのです」(片岡氏)
23 件

ムコハタワカコ

編集・ライター
書店員からIT系出版社、ウェブ制作会社取締役、米系インターネットメディアを経て独立。現在は編集・執筆業。IT関連のプロダクト紹介や経営者インタビューを中心に執筆活動を行う。企業のデジタルトランスフォーメーション(DX)、組織づくりや採用活動などにも注目している。

ranking

  • 1
    サムネイル

    時間泥棒を卒業し、仕事をうまく回す!「コミュニケーションコスト」を削減する方法

  • 2
    サムネイル

    本当に釣れるの? ダイソーの釣り用品を購入! 実際に釣りに行った釣果は?

  • 3
    サムネイル

    ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた

  • 4
    サムネイル

    テキストから音楽を作成できるSuno AIでイケてる音楽を作るには? 音楽制作経験者が試してみた

  • 5
    サムネイル

    逸品発見!100均電子レンジ調理器6選。焼き魚にだし巻き卵、マカロニまで!

  • 1
    サムネイル

    時間泥棒を卒業し、仕事をうまく回す!「コミュニケーションコスト」を削減する方法

  • 2
    サムネイル

    本当に釣れるの? ダイソーの釣り用品を購入! 実際に釣りに行った釣果は?

  • 3
    サムネイル

    ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた

  • 4
    サムネイル

    逸品発見!100均電子レンジ調理器6選。焼き魚にだし巻き卵、マカロニまで!

  • 5
    サムネイル

    テキストから音楽を作成できるSuno AIでイケてる音楽を作るには? 音楽制作経験者が試してみた

  • 1
    サムネイル

    ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた

  • 2
    サムネイル

    AGI(汎用人工知能)とは何か——その利点と知られざる危険性

  • 3
    サムネイル

    テキストから音楽を作成できるSuno AIでイケてる音楽を作るには? 音楽制作経験者が試してみた

  • 4
    サムネイル

    逸品発見!100均電子レンジ調理器6選。焼き魚にだし巻き卵、マカロニまで!

  • 5
    サムネイル

    晩酌での束の間の多幸感は、サウナで置き換えできるのか

internet for you.