Facebookは、同社のレッドチームがシステムを攻撃から守るためにどのような活動をしているかについて、その一端を明かした。
巨大ソーシャルメディア企業であるFacebookは、10チーム以上のレッドチームを擁している。レッドチームとは、自分の組織のネットワークへの侵入を試みるハッカーの視点から考えるセキュリティ専門家のチームで、攻撃者の戦略を予想し、先手を打って防ぐことによって、効果的にデータを守ることを目的としている。
レッドチームは、実際に利用可能な手口や戦術を使ってネットワークをテストすることで、Facebookのセキュリティの現状を理解し、改善すべき分野を特定する。
Facebookの攻撃的セキュリティエンジニアであり、以前はマルウェアの研究者やコンピューターフォレンジックの検査官を務めていたAmanda Rousseau氏は、ロンドンで開催されたサイバーセキュリティカンファレンス「Black Hat Europe 2019」で、Facebookにおけるレッドチームの活動と、同チームがどんな困難に直面しているかを説明した。
「私たちは、『敵対的なマインドセット』という言葉をよく使う。私はこれを、既存のやり方にとらわれない考え方だと説明することが多い」と同氏は言う。「私たちは前提条件を疑う。また、私たちが働いている空間にあるものを攻撃する。それを自由にやり、自由に考え、問題を迂回するためにあらゆる種類のアイデアを試す」
Rousseau氏は壇上から、チェーンのレストランから無料でパンケーキを手に入れる方法を考えてみてほしいと聴衆に問いかけた。レッドチームの仕事は、これを可能にするさまざまな方法を考えることだ。考えられる方法の中には単純なものもあれば、劇的なものもある。
もっとも簡単なやり方は、パンケーキを食い逃げすることだろう。また、偽札を使ったり、従業員を装ったりする複雑な手口も考えられる。さらに、火災報知器を鳴らしたり、暴力で脅したりといった、極端な手段もあり得る。
Rousseau氏は「これは極端なやり方だが、私たちには、そのようなシナリオも考慮する責任がある」と述べ、こうした考え方は、Facebookのウェブサイトやアプリ、メッセージングサービス、製品、あるいはキャンパスの安全を守る際にも適用されると説明した。
Rousseau氏は米ZDNetの取材に対して、「悪魔の代弁者(議論に欠陥がないかを検討するために、あえて逆の立場から議論する役割)を演じることで、エンジニアが作っているもののセキュリティを向上させることができる。わが社には、毎日何か新しいものを作っているエンジニアが大勢いる」と語った。
仕事の性質上、Facebookのレッドチームには日常的に行う決まった仕事があるわけではないが、普段は製品やネットワークのセキュリティをテストしたり、改善したりする作業をしており、建物が検討の対象になる場合さえあるという。
