SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

特集記事

ホワイトハッカーの存在意義と、開発者が考えるべきセキュリティのこれから――侵入テストのプロ集団による「レッドチーム演習」のけん引者に聞く

F-Secureプレスツアー2019レポート

  • X ポスト
  • このエントリーをはてなブックマークに追加

 エフセキュアは、およそ300人ものホワイトハッカーを抱えるサイバーセキュリティ企業。同社プリンシパルセキュリティコンサルタントのTom van de Wiele(トム・ヴァン・デ・ヴィーレ)氏は、その中でも「レッドチーム演習」という、模擬的に対象組織を攻撃しその企業のセキュリティ対策が十分であるか検証を行うチームを率いている。企業にとって「最悪なシナリオ」を演出するというレッドチーム演習。その攻撃や侵入のための技術は多岐にわたる。2019年秋にフィンランド本社で行われたプレス向け発表会で同氏は、レッドチームが日々どういった攻撃を仕掛けているのか、その攻撃者側の視点と手法を明らかにしながら、脅威が潜む場所を指摘した。また、発表会後にインタビューを敢行。開発者は開発プロセスにおいてセキュリティをどう考えるべきか、知見を聞いた。

  • X ポスト
  • このエントリーをはてなブックマークに追加

企業が気づかないセキュリティの穴を見つける「レッドチーム演習」

 「私たちは企業にとって『最悪なシナリオ』を演出しなければなりません」――そう話すのは、エフセキュアのプリンシパル・セキュリティコンサルタントであるトム・ヴァン・デ・ヴィーレ氏。同氏は、顧客企業に攻撃者としてネットワークに侵入しセキュリティ対策の有用性を検証する「レッドチーム演習」を担当するチームをけん引している。まさに企業セキュリティのプロフェッショナルだ。

F-Secure Principal Security Consultant  Tom Van de Wiele
F-Secure Principal Security Consultant トム・ヴァン・デ・ヴィーレ氏

 レッドチーム演習は、「フィッシングキャンペーンや電話でのアプローチ」を行うだけでなく、「会社の建物に侵入しネットワークアクセスを手に入れ、情報や資産を盗めるまでそこに居続ける」という。あらゆるノウハウで企業へ攻撃を仕掛ける。

 レッドチーム演習の目的は、企業側が気づいていないセキュリティの穴を見つけ、企業が認識できるようにすること。つまりクライアントである企業側も、万全のセキュリティ対策をしたうえでレッドチーム演習の依頼をしないと意味がない。

 ヴァン・デ・ヴィーレ氏は、「企業が私たちを見つけられるかどうか? 侵入からどのくらいの早さで私たちを食い止められるか? 最終的には、企業がネットワークから私たちの攻撃を排除できるのか? といった点を見ます。本当の攻撃と違うのは、私たちは法律に則り倫理的な行動をとる点です」とレッドチーム演習の役割を説明した。

 企業のサイバーセキュリティ対策について考えるとき、個人情報の盗難や、ゼロデイ攻撃といった脅威に気をとられがちだが、「レッドチーム演習が注力しているのはこれらではない」という。企業の多くが見落としがちなセキュリティの穴、それは「内部の脅威(insider threat)」だ。

 ヴァン・デ・ヴィーレ氏は、「どんな従業員でも攻撃者になりえる」と指摘。同氏が企業にインタビューすると、「アーカイブ」として保存してある過去20年の顧客データに、仕事上必要ではない従業員にもアクセスできるようになっているなど、必要以上のアクセス権限を許可しているケースが少なくないそうだ。危険はここにある。

 これは、単にセキュリティ製品を導入することで解決する問題ではない。ヴァン・デ・ヴィーレ氏は、「従業員を『信じる』かどうかの問題ではないのです。信じることは重要ですが、スケールしません。これは単に、アクセスの問題です。アクセスを制限しましょう。アクセスを上質にしましょう。目的に適したアクセスにしましょう」と警鐘を鳴らした。

レッドチーム演習でホワイトハッカーたちがやること

 続いてヴァン・デ・ヴィーレ氏は、レッドチーム演習の一部のプラクティスを、具体的な事例を挙げながら紹介した。レッドチーム演習での攻撃は、「依頼主の企業が望んだようにではなく、私たちが思う方法で」行うという。

 ある銀行のIT部門をターゲットにした際には、まず最新のキーボードを購入したという。

 「そこに所属するギークな人たちはガジェットや新しいものが好きでした。購入したキーボードを箱に入れ、戸口前の階段に置いておきました。するとすぐに誰かがその箱を手に取り、キーボードを自分のコンピュータに繋げ、ドライバをインストール。このドライバがバックドアにつながっていて、それによって、彼のコンピュータを通じて他の人のコンピュータもコントロールできるようになってしまったのです」

 Wi-Fiも脅威のポイントだ。共有Wi-Fiのもとでは、「同じSSID名と同じパスワードのWi-Fi接続ポイントを作っておく」ことで攻撃を仕掛けるという。十分な強さのネットワークがあれば、気づかないうちにレッドチームの仕掛けたWi-Fiに接続してしまうだろう。レッドチーム演習では、自転車のかごの中にフェイクのWi-Fiスポットを用意しその自転車を企業の建物の横にとめることで、自然に攻撃できるようにするという。

 建物に物理的に侵入する際によく使うのは、清掃用のエアダスターの缶だ。自動ドアの隙間からセンサーに吹きかけ、ドアを開けることができる。また、バルーンを差し込んでストローで膨らませ、その動きに反応してドアが開くといった技も見せた。

 また、キーボードに残った熱をサーモグラフィのような機械で見てパスワードを読み解くこともできる。安全に思える指紋認証も、「人の手はいつもきれいなわけではないので、残った指紋をテープではがしとり、コピーし再現することができる」と話した。

 レッドチーム演習で実際に使用するハッキングキットについては、エフセキュアのブログで紹介されている

 一見やりすぎとも思えるレッドチーム演習。しかし、企業の攻撃検知と対応のスキルをあげるために重要な役割を担っていると言えるだろう。エフセキュアでは「68%もの攻撃が1か月以上気づかれない」という調査結果を重く受け止め、昨今「detect(検知)」と「response(対応)」に力を入れている。

 「こうした起こりうる攻撃の側面をマッピングしておくことで、本物の攻撃者による攻撃を防ぐことができるでしょう」とヴァン・デ・ヴィーレ氏。「完全に攻撃者を止めることはできないが、検出することはできる」と語った。

 最後にヴァン・デ・ヴィーレ氏は「私たちは企業に、どのようにして攻撃者の視点で考え、ふるまうべきなのかを伝えたいと思っています。攻撃者のようにふるまい、自社の弱点を受け入れ、課題に向き合うことが重要です。これが、レッドチームが存在する理由です。ただセキュリティ製品やサービスを買えばいいわけではありません」と話し、ホワイトハッカーおよびレッドチーム演習の存在意義を強調した。

会員登録無料すると、続きをお読みいただけます

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

次のページ
迅速な開発のためにセキュリティを犠牲にはできない

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
特集記事連載記事一覧

もっと読む

この記事の著者

岡田 果子(編集部)(オカダ カコ)

2017年7月よりCodeZine編集部所属。慶応義塾大学文学部英米文学専攻卒。前職は書籍編集で、趣味・実用書を中心にスポーツや医療関連の書籍を多く担当した。JavaScript勉強中。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/11765 2020/01/28 11:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング