企業が気づかないセキュリティの穴を見つける「レッドチーム演習」
「私たちは企業にとって『最悪なシナリオ』を演出しなければなりません」――そう話すのは、エフセキュアのプリンシパル・セキュリティコンサルタントであるトム・ヴァン・デ・ヴィーレ氏。同氏は、顧客企業に攻撃者としてネットワークに侵入しセキュリティ対策の有用性を検証する「レッドチーム演習」を担当するチームをけん引している。まさに企業セキュリティのプロフェッショナルだ。
レッドチーム演習は、「フィッシングキャンペーンや電話でのアプローチ」を行うだけでなく、「会社の建物に侵入しネットワークアクセスを手に入れ、情報や資産を盗めるまでそこに居続ける」という。あらゆるノウハウで企業へ攻撃を仕掛ける。
レッドチーム演習の目的は、企業側が気づいていないセキュリティの穴を見つけ、企業が認識できるようにすること。つまりクライアントである企業側も、万全のセキュリティ対策をしたうえでレッドチーム演習の依頼をしないと意味がない。
ヴァン・デ・ヴィーレ氏は、「企業が私たちを見つけられるかどうか? 侵入からどのくらいの早さで私たちを食い止められるか? 最終的には、企業がネットワークから私たちの攻撃を排除できるのか? といった点を見ます。本当の攻撃と違うのは、私たちは法律に則り倫理的な行動をとる点です」とレッドチーム演習の役割を説明した。
企業のサイバーセキュリティ対策について考えるとき、個人情報の盗難や、ゼロデイ攻撃といった脅威に気をとられがちだが、「レッドチーム演習が注力しているのはこれらではない」という。企業の多くが見落としがちなセキュリティの穴、それは「内部の脅威(insider threat)」だ。
ヴァン・デ・ヴィーレ氏は、「どんな従業員でも攻撃者になりえる」と指摘。同氏が企業にインタビューすると、「アーカイブ」として保存してある過去20年の顧客データに、仕事上必要ではない従業員にもアクセスできるようになっているなど、必要以上のアクセス権限を許可しているケースが少なくないそうだ。危険はここにある。
これは、単にセキュリティ製品を導入することで解決する問題ではない。ヴァン・デ・ヴィーレ氏は、「従業員を『信じる』かどうかの問題ではないのです。信じることは重要ですが、スケールしません。これは単に、アクセスの問題です。アクセスを制限しましょう。アクセスを上質にしましょう。目的に適したアクセスにしましょう」と警鐘を鳴らした。
レッドチーム演習でホワイトハッカーたちがやること
続いてヴァン・デ・ヴィーレ氏は、レッドチーム演習の一部のプラクティスを、具体的な事例を挙げながら紹介した。レッドチーム演習での攻撃は、「依頼主の企業が望んだようにではなく、私たちが思う方法で」行うという。
ある銀行のIT部門をターゲットにした際には、まず最新のキーボードを購入したという。
「そこに所属するギークな人たちはガジェットや新しいものが好きでした。購入したキーボードを箱に入れ、戸口前の階段に置いておきました。するとすぐに誰かがその箱を手に取り、キーボードを自分のコンピュータに繋げ、ドライバをインストール。このドライバがバックドアにつながっていて、それによって、彼のコンピュータを通じて他の人のコンピュータもコントロールできるようになってしまったのです」
Wi-Fiも脅威のポイントだ。共有Wi-Fiのもとでは、「同じSSID名と同じパスワードのWi-Fi接続ポイントを作っておく」ことで攻撃を仕掛けるという。十分な強さのネットワークがあれば、気づかないうちにレッドチームの仕掛けたWi-Fiに接続してしまうだろう。レッドチーム演習では、自転車のかごの中にフェイクのWi-Fiスポットを用意しその自転車を企業の建物の横にとめることで、自然に攻撃できるようにするという。
建物に物理的に侵入する際によく使うのは、清掃用のエアダスターの缶だ。自動ドアの隙間からセンサーに吹きかけ、ドアを開けることができる。また、バルーンを差し込んでストローで膨らませ、その動きに反応してドアが開くといった技も見せた。
また、キーボードに残った熱をサーモグラフィのような機械で見てパスワードを読み解くこともできる。安全に思える指紋認証も、「人の手はいつもきれいなわけではないので、残った指紋をテープではがしとり、コピーし再現することができる」と話した。
レッドチーム演習で実際に使用するハッキングキットについては、エフセキュアのブログで紹介されている。
一見やりすぎとも思えるレッドチーム演習。しかし、企業の攻撃検知と対応のスキルをあげるために重要な役割を担っていると言えるだろう。エフセキュアでは「68%もの攻撃が1か月以上気づかれない」という調査結果を重く受け止め、昨今「detect(検知)」と「response(対応)」に力を入れている。
「こうした起こりうる攻撃の側面をマッピングしておくことで、本物の攻撃者による攻撃を防ぐことができるでしょう」とヴァン・デ・ヴィーレ氏。「完全に攻撃者を止めることはできないが、検出することはできる」と語った。
最後にヴァン・デ・ヴィーレ氏は「私たちは企業に、どのようにして攻撃者の視点で考え、ふるまうべきなのかを伝えたいと思っています。攻撃者のようにふるまい、自社の弱点を受け入れ、課題に向き合うことが重要です。これが、レッドチームが存在する理由です。ただセキュリティ製品やサービスを買えばいいわけではありません」と話し、ホワイトハッカーおよびレッドチーム演習の存在意義を強調した。
