セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

再考:米国の標的型攻撃訓練サービス

ペネトレーション・テスト

先日、標的型メール訓練サービスについて少し米国事情を調べたり、講演で聞いた内容をまとめる機会があり、その内容を共有します。

日本では、標的型攻撃診断では標的型攻撃メール訓練サービス」などと呼ばれるユーザの開封率などを視覚化してくれるサービスが一般的ですが、米国のペネトレーション・テスト事情で少し異なることは前に聞いたとおりです。

www.scientia-security.org

さらに米国の講演を聞いたり色々な調べてみると、米国でのこの手のサービス形態は大きく3種類に分類されます。(現実には、それらをミックスして実施するなど厳密な分類は難しかったりはします。)

  • Awareness Phishing
  • Penetration Testing Phishing
  • Red Team Phishing

Awareness Phishing

日本で一般的な「標的型攻撃メール訓練サービス」のことで、Phishing Simulationとか呼ばれたりもします。基本的には標的型攻撃メールをユーザに知ってもらう教育目的で実施するサービスです。

そのため、通常はクライアントから教育対象となる全社員のメールアドレスをもらい、そのメールアドレスにクライアントと取り決めた訓練用メールを送り、当該メールを開封するか否かテストするサービスです。

最近では、この手のクラウドサービスがいくつか複数存在しています。比較的よく名前を聞く企業は以下の二つですが、両方とも2016年10月に公開されたガートナーの"Security Awareness Computer Based Training Magic Quaderant"にてリーダに分類されています。

ちなみに、自社内で環境を準備したければ、GoPhishなどを使うのがよいと思います。

www.scientia-security.org

Penetration Test Phishing

Penetration Test Phishingも基本的にはAwareness Phishingとやることは変わらず、手元にあるメールアドレスにできるだけ標的型メールを送り、現行のセキュリティ堅牢性を評価したり、 改善点を見つける点にあります。

ただ、Awareness Phishingと大きく異なる点とすると2点あると考えられます。

メールアドレスの収集方法

第一に、メールアドレス収集の方法がクライアントから直接もらうのではなく、OSINT(Open Source Intelligence)と呼ばれる手法によりメールアドレスを収集してデータセットを作成するという点です。この方法をとることにより、そもそも組織に対する攻撃のしやすさを評価することができると考えられます。

攻撃シナリオ

Awareness Phishingでは、メールを開いたかどうかをテストして終了となりますが、Penetration Test Phishingの場合、訓練用ではなく実際のインシデントと同じシナリオでテストを行う点で大きく異なります。

以下、以前の記事を抜粋して記載します。

話を聞いた多くの企業でも同じように標的型メールを送るのですが、訓練用ではなく実際のインシデントと同じシナリオでテストを行います。具体的には、以下の通りです。

  • 実際のマルウェアを添付したメールを送る
  • 脆弱性が仕込まれたURLを含むメールを送付する
  • フィッシングサイトへ誘導するURLを含むメールを送付する

その後、ユーザがリンクを踏むと、脆弱性を悪用して端末を掌握してC&Cサーバと通信を発生させたり、フィッシングサイトへ誘導してアカウントを抜いたりし、特定のゴールにたどりつけるまで監査を行うなど非常に実践的な内容で行われます。特定のゴールとは、例えば以下のようなものです。

  • (外部から)ドメイン管理者のアカウントを取得できるか
  • (外部から)クレジットカード情報にアクセスできるか

通常、標的型メールを送付する前に、担当者から社員のメール一覧を受領して実施することが一般的ですが、中には事前調査(Reconnaissance)から実施して攻撃を仕掛けるといった本格的な企業もあり、非常に面白いものでした。

日本でも、感染を前提としたサービス(NRIセキュア社の「標的型メール攻撃被害シミュレーション」やLAC社の「APT先制攻撃サービス」など)がありますが、このフェーズを分けずに、一連の流れをテストするというところが大きな違いだと考えられます。

Red Team Phishing

Red Team Phishingは一番高度なサービスになると考えられます。このレベルのテストの目標は、「内部へのアクセスを取得して盗めることを確認する」ことにつきます。言い換えれば、年金機構への攻撃をそのまま再現する形になります。

そのため、メール送信はあくまで、初期の踏み台となる端末を得るためだけに利用します。最初のステップでは、OSINTの技術を活用して、通常この手のテストではLinkedInやインターネットで情報を収集して、攻撃対象1~2名を選出して攻撃を仕掛けていき、添付ファイルや脆弱なURLを踏めば端末を掌握してさらに内部ネットワークに踏みこんで行きます。(DerbyConであった講演では、最大でも10通ぐらいしか送らないと述べていました)

そのため、LinkedInで偽装アカウントをつくって攻撃対象者の情報収集する、特定の役職(リクルーター)を装って連絡する、発表されたばかりの脆弱性を使って気付かれないように攻撃するなど色々な工夫が凝らされて攻撃が行われます。

また、Low & Slowの原則と呼ばれますが、攻撃をBlue Team・SOCに検知されないよう、テストも時間をかけて行われるそうです。当然、時間・費用ともにかかる手法ですが、実際に漏洩できるのかどうなのかという観点で言えば、もっとも有効なテストだと考えられます。

まとめ

米国では、標的型訓練サービスも多様化・高度化している様子が見て取れます。個人的には、Red Team Phishingが一番高い効果をもたらすためこの手法がより流行してくれるとよいと感じています。