セキュリティの世界ではしばしば、守りを固めるには、相手の手の内を知ることが重要だと言われる。そんな観点から役に立つのが「ペネトレーションテスト」だ。長年にわたってペネトレーションテストを提供してきたトライコーダの代表取締役、上野宣氏は「侵入されていることを前提に考えるセキュリティ」と題する講演を行い、攻撃者の手口や視点を理解する専門家ならではの立場から、「何が危ないのか」「どう備えるべきか」を説明した。
セキュリティ対策の総合力を試す「ペネトレーションテスト」
セキュリティ対策は何のために必要なのだろうか。サイバー攻撃から機密情報や顧客情報など、自分たちの会社の「資産」を守り、事業を守ることだ。この目的に向け多くの企業が、セキュリティポリシーやルールを定め、攻撃に備えさまざまなセキュリティ対策を導入してきた。
ただ、個別のセキュリティ対策一つ一つが機能していることは確認できても、それらが本来守るべきもののために総合的に機能しているかどうかとなると別問題だ。ペネトレーションテストはまさにその点を確認する役割を果たすもので、上野氏は「セキュリティ対策の総合力を試すテスト」と表現する。ネットワークからシステム、アプリケーション、クラウドなどの各対策に加え、会社として定めているルールや物理的なセキュリティ対策も含め、想定を超えたレベルの高い脅威に対してきちんと機能するかを確認するとともに、見当違いの無駄な対策はないかを見出していく。
最大の特徴は、「攻撃者と同じ立場でどこまでできるか」を検証することだ。「脆弱性を悪用するハッキングと同じ手法を使うこともあれば、パスワードを破ったり、メールを使ってマルウェアを送り込んだり、あるいは書類を格納しているロッカーの鍵を物理的に開けるなど、攻撃者と同じ立場でどこまでできるか調査を行います」(上野氏)
ただ、ペネトレーションテスト単体で万全なチェックになるというわけではなく、Webアプリケーションなどの脆弱性診断と組み合わせて使うべきだという。「車のテストに置き換えるならば、ペネトレーションテストは実際に車を衝突させて人が乗る部分が守られているかを試すもの。脆弱性診断は、一つ一つのネジがきちんと占められているか、ドアの強度が足りているかを確認するものであり、両方必要です」(上野氏)。特に、ある程度セキュリティレベルが成熟してきた企業で効果が見込まれるという。
事前に入念に調査を行い、相手に合わせて手法を変えてくる巧妙な攻撃手法
このペネトレーションテストを通して攻撃者の考え方や手法を理解している上野氏は、「サイバー攻撃と言っても、得体の知れない何かが攻撃をしてくるわけではなく、向こう側に必ず人間がいます。しかもその攻撃者は、明確な意思と目的を持っています。そう考えると通りすがりに攻撃をしてくるわけではなく、用意周到にいろいろな調査を行い、攻撃をしたことすらばれないようにしてくるはずです」と述べた。
その典型例が、いわゆる「標的型攻撃」と呼ばれる攻撃だ。一個人が仕掛けるケースはまずなく、組織的に行われ、時には国家がそれを支援することもある。攻撃期間は数ヶ月、時には年単位の長期に渡る上に、最近リスクが指摘されている「サプライチェーン攻撃」によって、最終的なターゲット企業の取引先や関連会社を狙い、そこから侵入してくるケースも指摘されている。
上野氏は「私が考える標的型攻撃の最大の特徴は、事前調査を入念に行ってくることです」と指摘した。たとえば、知らない人からいきなりメールが来れば、何かしら疑いを持つ人は多いだろう。だが、普段からやりとりしている知人から、先日の話の続きのように届いたメールとなれば話は別だ。つい信用してしまい、本文中のURLをクリックしたり、添付ファイルをクリックするときの心理的障壁も下がりがちだ。攻撃者はこうした人の特性を理解しており、ターゲットに関する情報を事前に収集した上で、心理的な隙を突いてくる。時には、半年もの期間をかけてメールをやりとりし、仲良くなった上でだますケースまであるという。
2つ目の特徴は、相手のシステムに合わせて攻撃方法を変化させることだ。「攻撃者は、一度侵入が成功し、一台のコンピュータを征服したらそれで終わりではありません。目的を達成するためにいろいろなコンピュータを渡り歩き、どういったシステムを利用しており、どういうセキュリティ対策をしているかを調査した上で、最適な攻撃方法をその都度変えてきます」(上野氏)
このため、昔のばらまき型のウイルスなどに対しては効果的だった対策でも、今やなかなか効果を発揮しなくなっている。検知も困難になる一方だ。ターゲットが使っているセキュリティ対策を調査し、把握した上で、検知されないよう少し手を加えたものを送り込んだり、正規ユーザーの権限を奪ってなりすまして攻撃をしかけてくる。このため、たとえEDRを導入してログを監視していても検知は非常に困難で、攻撃されていること自体に気付けない場合も多いという。
さらに上野氏は、こうした攻撃に対し、危険なインターネットと安全なイントラネットを分け、ファイアウォールやIDS等で守る、いわゆる「境界型セキュリティ」は破られる運命にあると言えるとした。なぜなら、ひとたび内部に入ったあとは、端末間の通信が自由にできる状態となっている環境が多いからだ。
上野氏がペネトレーションテストでよく使う方法は、まず個人のコンピュータを狙い、ソーシャルエンジニアリングを駆使したメールを届けたり、あるいはユーザーがいつも訪れるWebサイトに罠を仕掛けたり、さらには関係者が通る場所にマルウェアを仕込んだUSBメモリを落として親切な社員が開いてくれるのを待ったりと、さまざまな方法で遠隔操作が行える「RAT」と呼ばれる悪意あるプログラムを仕掛けることから始まる。これにより、外から内への通信が制限されている環境でも、内側から外へと接続させ、司令塔となるC2サーバから操作できるようにする。
攻撃者は、ターゲットに関するさまざまな情報を調査し、講じている対策を見越して手法を変えてくる
難しいのは、そもそも守る側に比べ、攻撃側が圧倒的に有利なことだ。「攻撃を受けたとき、一回や二回なら注意深く避けることができるでしょうが、攻撃者にはいくらでも時間があり、何回失敗してもかまわないわけです。彼らは成功するまでやれば失敗ではありませんから、100%感染してしまうと思っていいでしょう」(上野氏)
ただ、これはまだ最初の段階に過ぎない。社内に入ったとしても、目当てのものがどこにあるのか、そもそも自分が侵入した端末がどこにあるのかが攻撃者にはわからないからだ。そこで攻撃者は、自分の端末の情報に始まり、ネットワークの状態やActive Directory、ファイル共有の状態などを調査していく。その過程でどうしても必要になるのが、システムの管理者権限、特にActive Directoryのドメイン管理者ユーザーだ。脆弱性を突いたり、設定の不備を突いたりして管理者権限を取得したら、システム内で横展開(ラテラルムーブメント)をしていき、目的に近づいていく。
「ペネトレーションテストを行うときは、初期侵入が2割、残りの調査が8割くらいに考えています。どこに情報があるのかは、特に大きな会社では社内の人でもわからないものです。攻撃者も同じなので、いろんなコンピュータにアタックしていきます」(上野氏)
