セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

Internet Week 2018で講演してきました!!

先日開催された、Intenet Week 2018の「D2-3 知れば組織が強くなる!ペネトレーションテストで分かったセキュリティ対策の抜け穴」のセッションで機会をいただき、講演をしてきました。

 スライドは以下で公開しましたので、よろしければご参照ください。

www.slideshare.net

 

US-CERTの「Publicly Available Tools Seen in Cyber Incidents Worldwide」を翻訳してみた!!

先日、US-CERTからサイバー犯罪に利用される公開ツールに関するアナウンスが出されました。

Publicly Available Tools Seen in Cyber Incidents Worldwide | US-CERT

ITMediaにも取り上げられていますが、比較的面白い記事だったので勝手に翻訳してみました。(アメリカ合衆国政府機関の著作物はパブリックドメインとして扱われるので翻訳して公開しても問題ないと判断しています。間違っていたら教えてください。)

www.itmedia.co.jp

利用に際する注意事項は以下の通りです。

  • 翻訳上の誤りは多々あると思いますが、自己責任でご活用ください。
  • 記事の意図を反映するため、意訳をしているケースが多々ありますし、省略したり追加で言葉を添えている場合があります。
  • いまいち意図がわからない文章もあったので、その場合は推測で訳をしている場合があります。

翻訳:世界のサイバーインシデントで利用される公開ツール

サマリ

本レポートは、オーストラリア、カナダ、ニュージーランド、イギリス、アメリカのサイバーセキュリティ専門機関の共同研究成果です。*1*2*3*4*5

本レポートでは、世界中で発生している最近のサイバーインシデントで悪用する目的で利用されている公開ツールの利用に焦点を当てています。取り上げるツールは以下の5種類です。

  1. Remote Access Trojan: JBiFrost
  2. Webshell: China Chopper
  3. Credential Stealer: Mimikatz
  4. Lateral Movement Framework: PowerShell Empire
  5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter

ネットワーク防御者とシステム管理者を支援するため、これらのツールの効力を制限する方法とネットワーク内での利用を検知する方法についても言及します。

このレポートで取り扱う各ツールは、攻撃グループによって利用されるツールのごく限られた事例に過ぎません。そのため、ネットワーク防御を検討する際に、これらを網羅的なリストと捉えるべきではありません。

ネットワークを侵害するツールとテクニックと彼らが持つ情報は、決して国家やダークウェブにいる攻撃者の領分ではありません。現在、多くの機能を持った悪意のあるツールは、技術を持ったペネトレーションテスター、敵対的な国家アクターや組織犯罪グループ、アマチュアのサイバー犯罪者に至るまで、誰にでも無料で利用できるようになっています。

このアクティビティ・レポートで紹介するツールは、ヘルスケア、金融、政府機関、国防など多くの重要セクタにおける情報漏洩に利用されてきました。こうしたツールが広く自由に利用できる状態は、ネットワーク防御や攻撃グループの特定(アトリビューション技術)にとって障害となります。

攻撃グループが攻撃技術を高め続ける一方、こうした確立したツールと技術も使い続けているという事実が、研究に参加した5つの国の経験から明らかになりました。最も高度な攻撃グループですらも、こうした汎用的で公開されているツールを使い、目的を達成しています。

攻撃グループの目的が何であれ、最初のシステムへの侵害は一般的なセキュリティの脆弱性を悪用することを通じて成立します。パッチがあてられていないソフトウェアの脆弱性や適切に設定されていないシステムを悪用してアクセスを奪取することが攻撃グループが一般的に行う方法です。このアクティビティ・レポートで紹介するツールは、初期侵入が成功した後、被害者のシステム内で更なる目的を達成するために利用します。

このレポートの利用方法

このアクティビティ・アラートで紹介するツールは、5種類のカテゴリーに分類されます。

  1. RATs(Remote Access Trojans)
  2. webshells
  3. 認証情報奪取ツール(credential stealers)
  4. 横断的侵害フレームワーク(lateral movement frameworks)
  5. C2難読化ツール(command and control obfuscators)

アクティビティ・アラートは、各ツールによってもたらされる脅威の概要、攻撃グループによってツールがいつ、どこに展開されるか洞察に加え、検知を補助する方法と、ツールの効力を制限する方法についても言及します。

このアクティビティ・アラートは、ネットワーク防御の活動を向上させるための一般的なアドバイザリで終わります。

技術的詳細

Remote Access Trojan: JBiFrost

最初に確認されたのは、2015年5月で、JBiFrost RATは、Adwind RATから発展したツールです。より遡ると2012年のFrutas RATがオリジナルのツールです。

RATとは、被害マシンにインストールすると、リモート管理のコントロールを許可するプログラムです。悪意のある使い方としては、(他の機能も多数ありますが)バックドアやキーロガーをインストールしたり、スクリーンショットを取ったり、データを持ち出したりすることが一般的です。

悪性のRATは、検知することが難しいとされています。なぜなら、通常実行プログラムの一覧に表示されないように通常設計され、正当なアプリケーションの挙動を模倣するためです。

フォレンジック分析を避けるため、RATは侵害したシステムにおいて、(タスクマネージャーなどの)セキュリティ機能や(Wiresharkなどの)ネットワーク分析ツールを無効にすることで知られています。

利用状況

JBiFrost RATは、サイバー犯罪者やスキルがあまり高くない攻撃グループによって典型的に利用されます。しかし、このツールが持つ機能は、国家に支援された攻撃グループにも利用されています。

他のRATは、標的型攻撃(APT)を行う攻撃グループによって広く使われています。その例として、航空宇宙産業や防衛産業に利用されているAdwind RAT、様々な産業に攻撃を仕掛けたAPT10が利用したQuasar RATが挙げられます。

攻撃グループは、更なる侵害のためにリモートアクセスを得るため、あるいは銀行の認証情報や知的財産、個人情報など価値ある情報を盗む取るために、悪性のRATを被害サーバへ配置し、我々の国のサーバを繰り返し侵害します。

機能(Capabilities)

JBiFrost RATは、Javaベースで作成され、クロスプラットフォーム環境で動作し、多機能なツールです。Windows、Linux、MAC OS X、Androidなど、複数の異なるOSへ脅威をもたらします。

JBiFrost RATは、攻撃グループにネットワーク内を移動できるように機能を提供し、さらなる悪性ツールをインストールできるようにします。このツールは、請求書の通知、見積書のリクエスト、送金通知、荷物配送通知、支払い通知などメールの添付ファイルとして、あるいはファイルストレージサービスのリンクとして配布されることが一般的です。

過去の感染事例では、知的財産、銀行の認証情報、個人情報などを漏洩をしています。JBiFrost RATに感染した端末は、DDoS攻撃を実行するためのボットネットに使われることもあります。

事例

2018年の前半から、JBiFrost RATが、重要な国家インフラを持つ組織とそのサプライチェーンに属する組織への標的型攻撃において利用されていることを観測しています。我々の国にあるインフラに、RATが配置されている例は増加しています。

2017年の前半から、Adwind RATはSWIFT(国際銀行間通信協会:Society for Worldwide Interbank Financial Telecommunication)やネットワークサービスに由来したように見えるなりすましメールを通じて配布されました。

Gh0st RATの亜種を含む他の多くの公開ツール(RAT)は、世界中の被害で利用されていることが観測されています。

検知と防御

JBiFrost RATの感染には、いくつかの指標が含まれますが、それだけには限りません。

  • セーフモードでコンピュータを再起動できないこと
  • Windowsのレジストリエディタやタスクマネージャーを開けないこと
  • ディスクの挙動やネットワークトラフィックなどの著しい増加
  • 既知の悪性IPアドレスへの接続試行
  • 難読化、あるいはランダムなファイル名を持つ新しいファイルやディレクトリの作成

システムとインストールされたアプリケーションにパッチが完全に適用され、アップデートされていることを保証することで、最大の保護が実現します。定義ファイルの自動更新と定期的なシステムスキャンを備えた最近のウイルス対策プログラムの使用することで、最近の亜種の大半を確実に停止することができます。そして、ウイルスの検出を一元的に収集し、RATの検出を効率的に調査できることを組織全体で確実にする必要があります。

感染が発生することを防ぐため、厳しいアプリケーションのホワイトリスト制御を推奨します。

JBiFrost RATを含むRATの初期感染メカニズムは、フィッシングメールを通じて行われます。そのため、フィッシングメールを特定して報告する仕組みを導入し、悪性メールが自組織の端末に侵害しないようにセキュリティコントロールを実装することにより、自組織のユーザに届くフィッシングメールを止め、JBiFrost RATの感染はを防ぐことを助けてくれるでしょう。英国国立サイバーセキュリティセンター(UK NCSC:United Kingdom National Cyber Security Centre)がフィッシング攻撃対策の資料を公開しています。

Webshell: China Chopper 

China Chopperは、公開されており、手順書も良くそろっている、2012年頃から広範に使用されているWebshellツールです。

Webshellsは、初期侵入後に攻撃対象ホストにアップロードされ、攻撃グループにリモート管理機能を提供します。

一度アクセスが確立されると、Webshellはネットワーク内の追加ホストへ移動するために利用されます。

利用状況

China Chopperは、侵害されたホスト上に仮想的なターミナルコンソールと連動することで、侵害されたWebサーバへリモートへのアクセスとファイル・ディレクトリ管理機能を提供するため、攻撃者に広範囲に利用されています。

China Chopperはたった4KBのファイルサイズであり、簡単に修正可能なペイロードであるため、ネットワーク防御担当者にとって検知と緩和は難しいと言えます。

機能(Capabilities)

China Chopperは、二つの主要なコンポーネントで構成されています。一つは、China Chopperのクライアントサイドアプリで、攻撃者によって実行されます。もう一つは、China Chopperサーバで、攻撃者のコントロールのもとで、被害者のWebサーバにインストールされます。

Webshellクライアントは、ターミナルコマンドの発行と、被害サーバ上でファイルを管理します。以下は、広く知られているMD5ハッシュ値です(本来、hxxp://www.maicaidao.comで投稿されたものです)。

WebクライアントのMD5ハッシュ値を表1に示します。

Table 1: China Chopper webshell client MD5ハッシュ値

Webshell Client MD5 Hash
caidao.exe 5001ef50c7e869253a7c152a638eab8a

 

Webshellサーバは、テキストとしてアップロードされ、攻撃者によって簡単に変えることができます。この特徴は、攻撃的なアクティビティを特定するための特定のハッシュ値を定義することが非常に難しくなります。2018年の夏に、CVE-2017-3066の脆弱性を持つインターネット公開Webサーバを狙った攻撃グループの存在を観測しました。Webアプリケーション開発プラットフォームであるAdobe ColdFusionに存在していたリモートコード実行の脆弱性に関係した攻撃でした。

China Chopperは、システムが一度侵入し、攻撃グループが被害ホストへリモートアクセスできるようにした後、第二フェーズのペイロードとして作成されています。被害マシンの脆弱性の悪用に成功した後、テキストベースのChina Chopperは被害Webサーバへ配置されます。一度アップロードすると、Webshellサーバは、クライアントアプリを使っていつでも攻撃グループによりアクセス可能となります。一度接続に成功すると、攻撃グループはWebサーバ上のファイルとデータを改竄することを始めます。

China Chopperの機能は、インターネットから対象へファイルのダウンロードを行うファイル操作ツールwgetを利用し、被害サーバとの間でファイルをアップロード・ダウンロードのやり取りを行います。そして、既存のファイルの変更、削除、コピー、ファイル名変更、そしてタイムスタンプの変更をも実現します。

検知と防御

Webshellに対する最も強力な防御は、そもそもWebサーバへの侵害を防ぐことです。インターネット公開されているWebサーバ上で動いている全てのソフトウェアは、セキュリティパッチが適用され、最新の状態にあることを確実にしてください。そして、カスタマイズされたアプリケーションについては、一般的なWeb脆弱性が存在しないか監査してください。*6

China Chopperの一つの属性として、全てのアクションにおいてHTTPプロトコルのPOSTメソッドが発行されます。もしネットワーク防御担当者が調査すれば、目立つためすぐに検出されるでしょう。

China Chopper webshellサーバが、テキスト形式でアップロードされる一方、クライアントが発行するコマンドは、(簡単にデコードすることが可能ではありますが)、BASE64形式でエンコードされています。

WebサーバによりTLS(Transport Layer Security)へ対応している場合、Webサーバ通信は全て暗号化されることを意味します。そのため、China Chopperのアクティビティをネットワークベースのツールを使って検出することはより困難になります。

China Chopperを検出し緩和する最も効果的な方法は、ホスト自体、特にインターネット公開されているWebサーバを調査することです。Webshellの存在を検索する簡単な方法は、LinuxベースのOS、あるいはWindows OS両方で利用できるコマンドラインツールを利用することです。*7

webshellの存在をより広範囲で検出する場合、ネットワーク防御担当者はWebサーバ上の怪しいプロセス実行(例えば、PHPのプロセス開始)に焦点を当てる方法か、Webサーバからのアウトバウンドへのネットワーク通信で、通常のパターンから外れるものへ焦点を当てる方法が考えられます。典型的には、Webサーバは内部ネットワークに想定可能な通信を行います。こうしたパターンの変化は、webshellの存在を示唆します。ネットワーク防御担当者は、PHPが実行されているディレクトリへの書き込みや既存のファイルの改竄からWebサーバのプロセスを守るため、ットワーク権限を管理する必要があります。

トラフィック分析を通じた監視の情報ソースとして、Webアクセスログを利用することも推奨します。想定外のページへのアクセスやトラフィックパターンの変化は、簡単な指標となるでしょう。

Credential Stealer: Mimikatz

2007年に開発されたMimikatzは、攻撃者が、攻撃対象としているWindows端末にログインしている他のユーザのクレデンシャル情報(=認証情報)を収集する際に主に利用されています。LSASS(Local Security Authority Subsystem Service)と呼ばれるWindowsプロセス内のメモリに存在する、クレデンシャル情報にアクセスすることでこれを実現します。

平文もしくはハッシュ値形式であれ、こうしたクレデンシャルはネットワーク上の他のマシンへアクセスする際に再利用されます。

もともとハッキングツールとして開発されたされたわけではないですが、現在ではMimikatzは様々な目的で様々なグループによって利用されています。Mimikatzは世界中の侵害で使われており、各組織がネットワーク防御を世界中で再評価を進めるきっかけになりました。

Mimikatzは、ホストへのアクセスを奪取した後、内部ネットワークを自由に動き回る目的で攻撃グループに使用されます。このツールの使用は、適切なネットワークセキュリティ対策が講じられていない環境を著しく影響を与えます。

利用状況

Mimikatzのソースコードは公開されており、誰でも新しいツールの独自バージョンとしてコンパイルすることができ、Mimikatzのカスタムプラグインや追加機能を実装することも可能です。

本研究に携わったサイバー専門機関は、組織的犯罪グループや、国家に支援された攻撃グループ間でMimikatzの使用が広がっていることを確認しています。

攻撃グループがホストのローカル管理者権限を奪取したすると、Mimikatzはハッシュ値と平文形式で、他ユーザのクレデンシャル情報を取得する機能を持っています。これにより、攻撃グループはドメイン内で権限昇格を行うことができ、Post-Exploitationタスクや横断的侵害(Lateral Movement)タスクを実行することができます。

この理由により、Mimikatzは、PowerShell EmpireやMetasploitなど、他のペネトレーションテストツールやや攻撃ツールパックに含まれています。

機能(Capabilities)

Mimikatzは、メモリから平文とハッシュ値形式でクレデンシャル情報を抜き出すツールとして一番知られています。しかし、そのMimikazが持つ機能は、非常に広範囲にわたります。

Mimikatzは、LMハッシュ(Local Area Network Manager Hash)やNTLMハッシュ(NT LAN Manager Hashes)、証明書、Windows XP(2003)からWindows 8.1(2012r2)の長期鍵(LTK:Long Term Key)などを盗み出すこともできます。さらに、 pass-the-hash攻撃やpass-the-ticket攻撃を実行したり、KeroberosのGolden Ticketを作ることもできます。

Mimikatzの持つ多くの機能は、Powershellなどによりスクリプトで自動化することができ、攻撃グループは素早く侵入し、侵害したネットワーク内を動き回ることを可能にします。さらに、PowerShellスクリプトであり、無償で利用できる「Invoke-Mimikatz」を利用し、メモリ上でMimikatzを実行されれば、Mimikatzの活動を隔離し、特定することは非常に難しくなります。

事例

Mimikatzは、複数年にわたり、様々な攻撃グループから様々なインシデントにおいて使われています。2011年には、オランダの認証局であるDigiNotarから、管理者クレデンシャルを盗み出すため、正体不明の攻撃グループにより利用されました。DigiNotarが急速に信頼を失ったことで、侵害後1か月以内にこの企業は破産に追い込まれてしまいました。

より最近では、Mimikatzは他の悪意のあるツールと一緒に使われるケースも確認されています。例えば、何千台ものコンピュータが持つ管理者クレデンシャル情報を盗み出した、2017年のランサムウェア攻撃であるNotPetyaやBadRabbitなどが挙げられます。こうしたクレデンシャルは、横断的侵害(Lateral Movement)を容易にして、ランサムウェアをネットワーク内にバラまき、有効なクレデンシャル情報を持つ多くのシステムのハードドライブを暗号化することを可能にします。

さらに、Microsoft社の研究チームは、複数の有名なテクノロジー企業や金融機関を対象とした、高度なサイバー攻撃におけるMimikatzの利用を特定しています。他のツールと悪用された脆弱性とともに、Mimikatzはシステムハッシュ値を出力し、再利用するために使われています。

検知と防御

Microsoft社は、新しいWindowsバージョンごとに改善された防御メカニズムを提供しているため、Windowsをアップデートしていくことにより、Mimikatzツールを使って、攻撃者が奪取できる情報を減らすのに役立ちます。

Mimikatzによるクレデンシャル情報の奪取を防ぐためには、ネットワーク防御担当者はLSASSメモリ内に平文パスワードを保存することを無効化する必要があります。これは、Windows 8.1とWindows Server 2012 R2以降のデフォルト設定ですが、関連するセキュリティパッチがインストールされている古いシステムでも設定方法が公開されています。*8

Windows 10とWindows Server 2016では、新しいセキュリティ機能であるCredential Guardnにより保護されています。 Credential Guardは以下の条件を満たすとき、デフォルトで有効になっています。

  • ハードウェアがMicrosoft社の「Windows Hardware Compatibility Program Specifications and Policies」の要件のうち、Windows Server 2016に対する要件、あるいはWindows Server Semi-Annual Branchの要件を満たしている場合
  • サーバがドメインコントローラとして機能していない場合

物理的、あるいは仮想的なサーバがMicrosoft社のWindows 10 もしくはWindowsサーバの各リリース時における最低条件を満たしているか、検証する必要があります。

アカウントに対するパスワードの再利用は、特に管理者アカウントの場合、ass-the-hash攻撃をより簡単にします。ネットワーク上の一般権限のアカウントを含め、パスワードの再利用をやめさせるユーザポリシーを組織内で確立する必要があります。Microsoft社が提供する無償ツールLAPS(Local Administrator Password Solution)は、ローカル管理者権限のパスワードの管理を簡単にし、パスワードを手動で設定し保存する必要から解放されます。

ネットワーク管理者は、不自然、あるいは許可されていないアカウント作成、認証(Keroberosチケット悪用を防ぐため)、ネットワーク上の持続メカニズム(Network Persistence)や横断的侵害(Lateral Movement)を監視し、対応する必要があります。Windowsにおいては、Microsoft ATA(Advanced Threat Analytics)やAzure ATP(Advanced Threat Protection)などのツールもこれらの監視の役に立つでしょう。

ネットワーク管理者は、システムがパッチされ、最新の状態にあることを確実にする必要があります。Mimikatzがもつ多くの機能は、最新のシステムバージョンやアップデートにより、緩和されたり、厳しく制限されています。しかし、アップデートは完全な対策にはならず、Mimikatzは継続的に進化を続け、新しいサードパーティ製モジュールもしばしば開発されています。

最も最新化されたウイルス対策ツールは、カスタマイズされていないMimikatzを検知し、隔離できるため、おうしたインスタンスを検知するために使われるべきです。しかし、攻撃グループは時々、メモリ上でMimikatzを実行したり、ツールのオリジナルコードを少しだけ変更することにより、ウイルス対策システムを出し抜こうとします。どこでMimikatzを検知しようと、攻撃グループがネットワーク内に現在もいることを示すほぼ確実な指標であるため、自動的なインシデント対応プロセスではんく、厳格な調査を実行する必要があります。

Mimikatzの機能の一部は、管理者アカウントの悪用に依存します。そのため、管理者アカウントが必要に応じてのみ発行されることを確実にする飛鳥があります。管理者権限によるアクセスが必要な場合、権限アクセス管理システムを申請する必要があります。

Mimikatzは、侵害システムにログインしているユーザのアカウントのみ奪取するため、高権限ユーザ(例えば、ドメイン管理者)は、高い権限を持ったクレデンシャル情報で端末にログインすることは避けるべきでしょう。Active Directoryをセキュアにする詳細な情報はMicrosoft社から提供されています。*9

ネットワーク防御担当者は、スクリプトの使用、特にPowerShellを監査し、異常を検知するためにログ分析を行ってください。こうした活動は、Mimikatzやpass-the-hash攻撃を特定するのに役立つだけでなく、検知ソフトウェアを回避する試みへの緩和策としても機能します。

Lateral Movement Framework: PowerShell Empire

PowerShell Empireは、Post-Exploitationもしくは横断的侵害(Lateral Movement)ツールの例として知られています。このツールは、初期アクセスを奪取した後、攻撃者(あるいはペネトレーションテスター)がネットワーク内を動き回れることを支援するために作られました。こうしたツールの別の例として、Cobalt StrikeやMetasploitが挙げられます。PowerShell Empireは、ネットワークにソーシャルエンジニア攻撃をしてアクセスするため、攻撃コードつきのドキュメントファイルや実行ファイルを作成できることでも知られています。

PowerShell Empireフレームワークは、2015年に正当なペネトレーションテストツールとして設計されました。PowerShell Empireは、一度攻撃グループがシステムのアクセスを奪取した後、悪用を続けるためのフレームワークとして機能します。

このツールは、攻撃グループに、権限昇格(escalate privileges)、クレデンシャル情報の収集(harvest credentials)、情報持ち出し(exfiltrate information)、ネットワーク内の横断的侵害(Lateral Movement)の機能を提供します。こうした機能により、こPowerShell Empireは強力な攻撃ツールとなっています。PowerShell Empireは、一般的で正当性のあるアプリ(Powershell)で作成されており、ほとんどメモリ上で動くため、伝統的なウイルス対策ソフトを使ってネットワーク上で検知するのは非常に難しいと考えられます。

利用状況

PowerShell Empireは、敵対的な国家攻撃グループや組織的犯罪グループにより非常に有名になっています。最近では、世界中でおこるサイバーインシデントにおいて、業界を問わず広く使われていることが確認されています。

初期侵入の方法は様々ですが、攻撃グループは各シナリオと攻撃対象に合わせて、PowerShell Empireを個別設定します。この事実は、PowerShell Empireのユーザコミュニティないでもスキルと意図のばらつきがあるという事実とも組み合わせると、検知の容易性も様々です。それでもなお、このツールへのより深い理解と意識を高めることは、攻撃グループの利用に対して防御するための一歩です。

機能(Capabilities)

PowerShell Empireは、攻撃グループが被害者端末上で様々なアクションを実行することを可能にし、PowerShellスクリプトをpowershell.exeなしに実行できる機能を提供します。その通信は暗号化され、アーキテクチャは柔軟性があります。

PowerShell Empireは、より具体的な悪意のアクションを行うためモジュールを利用します。こうしたモジュールは、被害端末上で目的を達成するため、カスタマイズ可能なオプションを攻撃グループに提供します。こうした目的は、権限昇格(escalation of privileges)、クレデンシャル情報の収集(credential harvesting)、ホスト列挙(host enumeration)、キーロガー、ネットワーク内を横断的侵害(lateral movement)する能力などが含まれます。

PowerShell Empireは、簡単に使え、柔軟性のある設定、そして検知を回避する機能を持っているため、異なるスキルを持つ攻撃グループが良く利用します。

事例

2018年2月のインシデントにおいて、イギリスのエネルギー企業が未知の攻撃グループにより侵入されました。この侵入は、このツールのデフォルトのプロファイル設定であるPowerShell Empireのビーコンを利用していたことで検知されました。被害組織の管理者アカウントの一つの弱いクレデンシャルが、初期アクセス時に攻撃グループにより利用されたと考えられます。

2018年の前半に、未知の攻撃グループは、複数の韓国組織に標的を定め標的型フィッシングキャンペーンを行うため、冬季オリンピックを装ったソーシャルエンジニアリングメールと悪性の添付ファイルを利用しました。この攻撃は、さらに洗練されたポイントがあり、Invoke-PSImageというイメージ上にPowerShellスクリプトを隠すステガノグラフィツールを利用しました。

2017年12月には、APT19がフィッシングキャンペーンを行う国際的な法律事務所を攻撃しました。APT19は、PowerShell Empireによって生成されたMicrosoft Wordドキュメントに追加された難読化されたPowerShellマクロを利用していました。

本研究に携わったサイバー専門機関は、PowerShell Empireは学術界を狙った攻撃にも利用されていることを確認しています。ある報告された事例では、攻撃グループがPowerShell Empireを使い、WMI(Windows Management Instrumentation)イベントを利用しているユーザを活用して持続性を確保しようと試みたこともあります。しかし、この事例では、ローカルのセキュリティ機器によりHTTPコネクションがブロックされていたため、PowerShell Empireのエージェントがネットワーク接続の確率に失敗していました。

検知と防御

悪意のあるPowerShellの活動を特定することは非常に難しいと言えます。なぜなら、ホストにおける正当なPowerShellの利用が流行しており、企業環境のメンテナンスにPowerShellの利用は増加しているためです。

潜在的に悪性なスクリプトを特定するため、PowerShell活動は網羅的にロギングされるべきです。このログには、スクリプトをブロックしたログやPowerShell transcriptsの結果も含まれます。

古いバージョンのPowerShellは、環境から削除され、追加のロギング機能を出し抜いて使われないこと、およびより最近のバージョンのPowerShellが持つ追加のコントロールを有効にすることを確実に実装する必要があります。以下のページは、PowerShellセキュリティでやるべき良いサマリを提供してくれます。*10

最近のバージョンのWindowsで実装されているコードの整合性機能は、侵入に成功した際に、悪意のあるPowerShellの実行を防いだり妨害することで、PowerShellの機能を制限することが出来ます。

スクリプトコード署名、アプリケーション・ホワイトリスト制御、Constrained Language Modeの併用は、侵入成功時において、悪意のあるPowerShellの有効性を妨げ、限定することが出来ます。こうしたコントロールは、正当性のあるPowerShellスクリプトにも影響を与えるため、展開前にテストすることを強く推奨します。

組織がPowerShellを使っている場合、技術スタッフのごく一部のみが正当な目的で利用していることを確認できる場合もあるでしょう。正当な活動の範囲を特定することは、ネットワーク上のあらゆる場所で実行される疑わしい、あるいは想定されていないPowerShellの存在を監視し、調査することを容易にしてくれます。

C2 Obfuscation and Exfiltration: HUC Packet Transmitter 

攻撃者は対象に侵入したとき、接続元を偽装したいと考えます。それを実行するために、汎用的なプライバシーツール(例:Tor)を使ったり、接続元をたどりづらくする専用のツールを使うこともあります。

HUC Packet Transmitter (HTran)は、ローカルホストからリモートホストへのTCP接続に介入し、リダイレクトするプロキシツールです。これは、被害者のネットワークにおける香華k氏やの通信を難読かすることを実現します。このツールは、少なくても2009年からインターネット上で無償で公開されていました。

HTranは、被害者と攻撃グループにより管理されているホップポイントのTCP接続を容易にします。悪意のある攻撃グループは、HTranを動かした複数の侵害したホストを経由してパケットをリダイレクトされるテクニックを使い、被害者ネットワークへのアクセスを確保することができます。

利用状況

HTranの利用は、政府機関や民間セクタでの侵害でも定期的に確認されています。

攻撃グループの多くがHTranやその他のプロキシ接続ツールを以下の目的で利用しています。

  • ネットワークの侵入検知システムを回避するため
  • セキュリティコントロールを回避するため、汎用的なトラフィックに通信を紛れ込ませたり、ドメインの信頼性をレバレッジとして活用するため
  • C2インフラストラクチャと通信を偽装したり隠したりするため
  • 検知を回避し、回復力のある接続を得る目的でピア・ツー・ピア、もしくはメッシュ方のC2インフラストラクチャを構築するため

機能(Capabilities)

HTranは複数のモードで機能します。各モードは、二つのTCPソケットをブリッジすることにより、ネットワークを介してトラフィックを転送します。TCPソケットがどこから開始されているか(ローカル or リモート)によってモードが異なります。3種類のモードは、以下の通りです。

  • Server(Listen):TCPソケット両方がリモートで開始される
  • Client(Slave):TCPソケット両方がローカルで開始される
  • Proxy(Tran):最初の接続からのトラフィックを受診すると、一方のTCPソケットがリモートで開始され、一方がローカルで開始される。

HTranは、稼動しているプロセスに自分をインジェクトして、ホストOSからネットワーク接続を隠すルートキットをインストールします。この仕組みを使って、HTransが被害者ネットワークへのアクセスを持続・維持できることを確実にするため、Windowsレジストリに書き込みを行います。

事例

本研究に携わったサイバー専門機関が行った最近の調査では、攻撃対象環境へのリモートアクセスを維持し、偽装するためにHTranの利用を確認しました。あるインシデントでは、攻撃グループは、サポートが切れ、脆弱なWebアプリケーションを動かしていたインターネット公開のWebサーバへ侵入しました。この侵入により、WebShellをアップロードすることが可能になり、それを使いHTranを含む他のツールを配置しました。

HTranは、ProgramDataディレクトリインストールされ、サーバがRDP接続を許可する再設定を行う目的で、他のツールも配置されました。

攻撃グループは、HTransをクライアントとして実行するコマンドを発行し、ローカルのインターフェイスからRDPトラフィックを転送し、ポート80経由でインターネットに配置されていたサーバへの接続を開始しました。

この例の場合、Webサーバからインターネットへの接続に見える他のトラフィックの中に攻撃通信を混ぜこむ目的でHTTPが選択されました。他によく使われる既知のポートとして、以下があげられます。

  • ポート53:DNS(Domain Name System)
  • ポート443:HTTPS(HTTP over TLS/Secure Sockets Layer)
  • ポート3306:MySQL

HTranをこのように利用すると、攻撃グループはRDPを数ヶ月間、検知されることなく使い続けることが出来ます。

検知と防御

攻撃グループは、HTranをインストールし実行するために、端末にアクセスする必要があります。そのため、ネットワーク防御担当者は、セキュリティパッチを適用し、悪意のあるアプリケーションのインストールを防ぐため、適切なアクセスコントロールを設定する必要があります。

ネットワーク監視とファイアウォールは、HTranのようなツールによる不正通信を防御、検知することを助けてくれるでしょう。

分析されたいくつかのサンプルによれば、HTranのルートキットは、Proxyモードを使ったときのみ、接続の詳細を隠すようです。もしClientモードが使われていれば、TCP接続の詳細を見ることが出来るかも知れません。

HTranは、デバッグ条件を含んでおり、これはネットワーク防御には有益です。接続先が利用できないという状況が発生した場合、HTranは以下のフォーマットのエラーメッセージを出力します。

sprint(buffer, “[SERVER]connection to %s:%d error\r\n”, host, port2);

このエラーメッセージは、接続クライアントに平文で中継されます。ネットワーク防御担当者はこのエラーメッセージを監視することで、環境内で活動しているHTranを検知することが出来ます。

緩和策(Mitigation)

あなたの組織の全体的なサイバーセキュリティを向上させるいくつかの対策があり、このレポートで取り上げた類のツールに対する防御を助けてくれるでしょう。ネットワーク防御担当者は、以下のリンクからより詳細な情報を入手して参考にしてください。

(以下リンクは翻訳省略)

追加情報:様々なシナリオで、マルウェアを起点とした攻撃を防ぐために投資しましょう。UK NCSC Guidanceが参考になります。https://www.ncsc.gov.uk/guidance/mitigating-malware

.

国際的パートナーからの追加リソース

連絡先

(翻訳省略)

NCCIC encourages recipients of this report to contribute any additional information that they may have related to this threat. For any questions related to this report, please contact NCCIC at

  • 1-888-282-0870 (From outside the United States: +1-703-235-8832)
  • NCCICCustomerService@us-cert.gov (UNCLASS)
  • us-cert@dhs.sgov.gov (SIPRNET)
  • us-cert@dhs.ic.gov (JWICS)

NCCIC encourages you to report any suspicious activity, including cybersecurity incidents, possible malicious code, software vulnerabilities, and phishing-related scams. Reporting forms can be found on the NCCIC/US-CERT homepage at http://www.us-cert.gov/.

フィードバック

(翻訳省略)

NCCIC strives to make this report a valuable tool for our partners and welcomes feedback on how this publication could be improved. You can help by answering a few short questions about this report at the following URL: https://www.us-cert.gov/forms/feedback.

参考文献

(脚注という形で記載)

リビジョン

初期バージョン 2018.10.11

ドメイン保護手法に関する整理

ドメインは、企業ブランドを守る上で非常に重要な情報資産です。有名な企業のドメインを乗っ取ることができればフィッシング攻撃などへの悪用は非常にやりやすくなります。

今回は、ドメイン保護手法について、予防・検知・対応の観点から整理をしていきましょう。(参考: ドメイン名のライフサイクルマネージメント

予防の観点から

まずは、予防の観点から議論をしましょう。

基本戦略

ドメイン保護手法の基本戦略は、基本的に以下の通りです。

自社のブランディングに影響するドメインは取得しておき、他人に取得されないようにする。

以下の記事によれば、Appleなどは240近いドメインを取得しているそうですし、こうしたドメイン管理はブランディング維持の上で重要な役割となります。

domain-girls.guide

とはいえ、該当する可能性があるドメインを全て登録することは現実的ではありません。完璧ではないですが、以下の仕組みで部分的には対応ができるでしょう。

TMCH(商標保護プログラム)

TMCH(商標保護プログラム・TrademarkClearinghouse)に登録して、他社が登録することを防ぐという方法があるそうです。具体的には、商標として登録しておくと、新しいgTLDが出た際に優先的に登録することができるというものです。また、第三者が申請に来た場合、商標保有者に通知してくれるという仕組みです。(Trademark Clearinghouse - Wikipedia

ムームードメインの説明がわかりやすいために以下に記載しておきます。

muumuu-domain.com

他にも、Donuts社などで提供しているDPML(Domain Protect Marketing List)というサービスがあるそうです。

ドロップキャッチ攻撃への対策

既に取得したドメインがある場合、ドロップキャッチ(Drop Catch)と呼ばれる悪用手法が存在します。これは、有効期限が切れ、誰でも購入できるようになったドメインについて、購入して悪用する手口です。過去良いレピュテーションを持っている場合、フィッシングなどに悪用しやすいため、この手口はたびたび悪用されています。

ドロップキャッチを防ぐためには、基本はドメインの永代供養を基本とします。逆に言えば、使い捨て感覚でドメインを取得することはあまり推奨できません。(日本

日本DNSオペレーターズグループのページに面白い画像があります)

検知の観点から

次に検知の観点から見ると、攻撃者がいつドメインを取得したのか検知できるようにする必要があります。思いつく限り、2つの手法が考えられます。

TMCH(商標保護プログラム)による検知

TMCH(商標保護プログラム)を利用している場合、この登録を軸にアラートを挙げるようにする方法があります。

ツールによる検知

最近では、ツールを利用して、変な登録がないか検知する方法も考えられます。

  • 例1)RiskIQなどの棚卸製品ベースで検知を行う場合
  • 例2)TIP(Threat Intel Platform)を利用して検知を行う場合
  • 例3)DomainTools PhishEyeなどを利用する。

個人的には、Domain Toolsを活用した方法が有益ではないかと考えています。

Domain Toolsとは、DNSレコードを記録しているデータベースで、過去の登録情報などを追いかけることができます。そのため、Domain Tools Irisという主力製品は、Threat Intelligenceの調査などによく使われます。例えば、あるC2通信に使われていたドメインがどのIPに過去紐づいていたか、どんな登録情報を持っていたかを調査するために使われます。

最近では、当該データベースを活用して、Phishyなドメインを探すというDomain Tools PhishEyeというサービスを始めています。こうしたツールは、検知の観点から非常に有益なのではないかと考えています。

対応の観点から

対応の観点では、既に誰かに奪取されたドメインを取り換えすという作業がメインになります。おれは、レジストラなどと協力して行う対応方法ですが、有効な手段として 二種類の方法があることを知っておくことが重要だと思います。

ドメインを取り戻す手法(UDRP)

UDRP(Uniform Domain Name Resolution Policy)と呼ばれる方法で、ドメインを実際に取り戻す方法です。但し、ある程度時間がかかるため、あくまでも積極的に取りたい手段ではないかと思います。なお、JPCERT自らドメイン名紛争処理をした時の内容がブログに乗っているため、参考として読まれると良いかと思います。

ドメインを停止させる(URS)

URS(Uniform Rapid Suspension)と呼ばれ、ドメインを一時停止する機能です。

JPNICの記事では、以下のように説明されています。

インターネット用語1分解説~Uniform Rapid Suspension (URS)とは~ - JPNIC

申請受領後の事務的なチェックが済み次第、 24時間以内にドメイン名の登録内容がロックされ、 ドメイン名の移転やレジストラ変更等ができない状態になります。 その後、裁定で申請者の主張が認められれば、当該ドメイン名の利用が差し止められ、 そのドメイン名を持つWebサイトなどにアクセスしても、 利用差し止め中である旨を表示する紛争処理機関のWebサイトにリダイレクトされるようになります。

 まとめ

予防・検知・対応の枠組みで考えると、万が一変なドメインを取られても取り返すことは可能だと思われますが、まずは適切な予防策を取ることが非常に重要だと思われます。

また、上記以外にも保険的対策として考えらえる方法はいくつか挙げられます。但し、実際に使ったことがある方法ばかりではないので、対策の検討案の参考としてご検討いただければと思います。

  • 検索エンジン会社に申請して、検索エンジンに引っかからない、あるいは Safe Browsingなどに登録してもらうように働きかける。
  • ブラックリストエンジンなどに登録する。(例えば、https://www.phishtank.com/など)
  • EV-SSL証明書を使って、サイトの真正性を証明し、それ以外については自社でないことを宣言する。
  • サービスで利用しているドメイン名リストを公開する。

TLPT・TIBERに関する動向まとめ

金融庁より、TLPT(Therat-Lead Penetration Test)というキーワードが登場してきています。また、TIBER(Threat Intelligence Based Ethical Red Teaming)という概念が欧州系金融系を中心に話題になっています。

今回は、その動向と読むべき資料について整理をしたいと思います。

背景

2018年7月に発表されたNISC(内閣サイバーセキュリティセンター)の「サイバーセキュリティ戦略2018」では以下のように言われており、「脅威ベースのペネトレーションテスト」が登場しています。

金融庁において、大規模な金融機関に対して、そのサイバーセキュリティ対応能力をもう一段引き上げるため、「脅威ベースのペネトレーションテスト(テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト)」等、より高度な評価手法の活用を促していく。

一方、金融庁でも「平成29事務年度 金融行政方針について」という資料で以下のようなコメントを述べています。

大規模な金融機関については、そのサイバーセキュリティ対応能力をもう一段引き上げるため、より高度な評価手法*の活用を促す。また、金融機関に対し金融ISAC等を通じた情報共有の一層の推進を促す。

* 例えば、金融機関(外部ベンダー等の利用を含む)による脅威ベースのペネトレーションテスト(テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト)。 

また、海外のペネトレーションテストについて研究レポートを提示し、TLPT(Threat-Lead Penetration Test)という概念を提唱して海外動向についてまとめています。

その中で、いくつか知っておくべき付随する概念があるので今回はその概念をまとめておきたいと思います。

専門用語の定義

その前に、いくつか言葉を整理しておきましょう。但し、それぞれの言葉の定義はあくまで筆者が実務や文献をもとに考える定義になり、企業によっては別の意味・別の範囲で使っていることも多いので注意しましょう。

脆弱性スキャン(Vulnrability Scan・Vulnrability Assessment)

Nessus、Qualys、Nexposeなどの脆弱性スキャナを使った機械的なプロセスのことです。少し前にCyber Hygiene(サイバー衛生)という単語が登場し、いわゆるパッチ管理や適切なパスワード管理などの基本動作を徹底する意味で使われていましたが、その一つとしても挙げられる項目だと言えます。海外では、VA(Vulnerability Assessment)と呼ばれますが、多くはこのことを指しています。

セキュリティ診断(Security Assessment)

セキュリティ診断とは、脆弱性スキャンの実施に加え、手動診断を行うイメージです

脆弱性スキャン+手動テスト(追加テスト and/or 誤検知の排除)

手動診断を行う目的は様々ですが、Webアプリケーションなどの場合は手動でしか発見が難しい仕様・設計関連の脆弱性を洗い出すために、プラットフォーム診断の場合はスキャナの結果に対する誤検知排除などが挙げられます。セキュリティ診断の目的は、「脆弱性を全て洗い出すこと」を目的とした行為になります。

ペネトレーションテスト(Penetration Test)

ペネトレーションテスト(侵入テスト)は、攻撃者の視点から脆弱性の悪用可否を検証し、あらかじめ定義した目的(例えば、クレジットカードの漏洩)を達成できるか否か検証するテストです。ペネトレーションテストの場合、基本的なゴールはフラグ(多くの場合、カード情報・個人情報)を奪取できるかどうかが基本的なゴールになりますので、発券される脆弱性の網羅性はあまりスコープでなく、あくまでたどり着くまでの道筋があるかどうかを検証することに焦点が挙げられます。

Red Team Operation(Adversary Simulation)

Red Team Operationはペネトレーションテストの類似した概念です。一部のベンダーは同じ意味で使っていたり、マーケティング用語として了されているケースも多いですが、少し定義を当ててみたいと思います。

以下に、私が挙げるRed Team Operationの定義です。

  1. 攻撃者の視点 + 脅威(攻撃シナリオ)ベースで目的の達成有無を検証するテスト。そのため、脆弱性は利用することが目的であり、脆弱性の網羅性はない。
  2. 評価の最終ゴールは、ビジネスに対する影響評価
  3. 組織の耐性・回復能力(Resilience)も含めて評価する。言い換えれば、技術的なセキュリティ対策のみならず、プロセス面などを含めた評価になる。そのため、Blue Teamへ通知することなく、Security OperationとIncident Handlingを含めて評価を実施する。
  4. 上記の目的のため、実施時間帯を24時間いつでも攻撃可能な前提とすることが多い。

Red Team Operationの重要な点として、具体的なTTPs(Tactics, Techniques and Procedures)をもっている攻撃者を想定し、攻撃シナリオを明確にして実施をすることを前提としています。また、最終的には「ビジネスへの影響を評価する」というゴールであるため、セキュリティ運用チームなどの対応を含めたり、24時間いつ攻撃されることも前提に、単純な製品ベースの対策ではないプロセスを含めたテストのスコープに含まれると言えます。

金融庁が提示しているTLPT、これから説明するTIBERについてもこの概念を前提として構築されていると考えます。

TIBER

金融庁のレポートでは、ECB(欧州中央銀行)が提示したTIBER(Threat Intelligence Based Ethical Red Teaming)という概念を紹介しています。

TIBERについて具体的なレポートは執筆時点で2つあります。特に最初の資料については、どのようにTIBER-EUを進めていくべきなのか、比較的プロジェクト計画や進め方を定義したような内容で一読する価値がありますが、基本的にはRed Team Operationを意識していると思われます。*1

  1. TIBER-EU FRAMEWORK (How to implement the European framework for Threat Intelligence-based Ethical Red Teaming)
  2. TIBER-EU Framework(Services Procurement Guidelines)

なお、ECBが発行しているものは厳密にはTIBER-EUと呼ばれ、それを各国の基準も含めてカスタマイズしたものがTIBER-XXとして別途定義され、有名なものとしてTIBER-NLが挙げられます。

CBEST & CREST

CBEST & CRESTとは、イギリスで主流となりつつある基準&資格です。個人的には下火になると思いあまり注目していなかったのですが、日本でも少しづつ注目されています。(現時点での整理とドキュメントのリンク整理を目的としています。)

CBEST

CBESTとは、イングランド銀行(BOE:Bank of England)が出したTLPTを実現するためのフレームワークです。詳しくは、以下のサイトに記載されている資料へのリンクがありますが、以下の3資料については読んでおくべきだと思われます。

www.bankofengland.co.uk

CREST

CREST(The Council of Registered Ethical Security Testers)とは、CBESTを実現するための資格団体・業界団体です。CRESTは、非常に4種類のドメイン(Penetration Testing・Threat Intelligence・Incident Response・Security Architecture)に対して、成熟度別の資格を提供しています。(実際に、資格を持ってサービスを提供している会社の一覧が提供されています。)

CRESTはCBESTをベースとしているため、CBESTの紹介資料も含めて読むべき資料をいかに列挙します。

まとめ 

今回の記事では、TLPT(Threat-Lead Penetration Test)に関する海外動向を整理しました。今後の動向を知る意味でも押させておくべき概念の一つといえるでしょう。

ちなみに、今後のテスト動向について著者の考えを整理しておきたいと思います。

現時点で考えられているセキュリティテストの多くは、技術カットで脅威を取られている診断手法です。しかし、技術的脅威の対策が進めば攻撃者はさらに高度な観点から攻撃を仕掛けてくるでしょう。(技術的な攻撃ポイントが前と比べて減ってきたからこそ、Social-Engineering的手法を活用する手口が増えたとも言えるでしょう。)

その動向としては、大きく二つ挙げられます。

技術カットの観点からは、サプライチェーン攻撃などが挙げられます。要するに、対策の進んだ場所をいきなり攻撃をするわけではなく、周辺のベンダー・子会社・海外拠点から攻撃を仕掛け、徐々に内部に侵入する方法です。

一方、攻撃者が注目してくるのはビジネスプロセス(Business Process)だと思われます。BEC(Business Email Compromise)などはその先駆けで、今後はより手の込んだ手法が登場してくるでしょう。そのため、Red Team Operationの次は、ビジネスプロセス指向のアプローチ、BPOAS(Business Process Oriented Adversary Simulation)といったテストが流行してくるのではないかと考えています。

*1:ちなみに、ECBのページにはWhat is cyber resilience?などセキュリティの動向に関する欧州金融機関の考え方が整理されているため、定期的に見ておくと良いと思われます。

色で表すセキュリティ人材

色を使ってセキュリティチームの性質を説明することがよくあります。

例えば、攻撃技術(Offensive Technology)を専門とするチームをRed Teamと呼び、一方、セキュリティ監視やインシデント対応を行うセキュリティ運用チーム(Security Operation)のことをBlue Teamと呼びます。

また、最近では両方の観点を知り、各チームの知見を相互に生かすチームをPurple TeamとかPurple人材と呼ばれるようになりました。

今回は、色を基軸にセキュリティ人材の今後について考えてみたいと思います。

"Orange is the New Purple"

Black Hat USA 2017での講演『Orange is the New Purple』では、開発チームをYellow Teamと定義して、DevSecOpsの流れを踏まえ、Orange TeamGreen Teamが提唱されていました。(ちなみに、このタイトルの元ネタはNetflixっで提供されている Orange is the New Blackという人気ドラマをもじったものです。)

Orange Team

Orange Teamの定義は、以下の通りです。

Orange TeamRed Team(攻撃チーム) + Yellow Team(開発チーム)

Orange Teamとは、攻撃チームであるRed Teamと開発チームであるYellow Teamを組み合わせてできるチームを指し、開発者が脅威に対するマインドセットをもって開発することにより、バグの作りこみを避けようという考え方です。

Green Team

Green Teamの定義は、以下の通りです。

Green Team = Blue Team(防御チーム)Yellow Team(開発チーム)

Green Teamとは、防御チームであるBlue Teamと、開発チームであるYellow Teamを組み合わせてできるチームを指し、開発者がインシデント対応やフォレンジックの考え方を持ってもらい、セキュリティ運用がしやすい開発を行ってもらうという考え方です。

White人材という考え方

Orange is the New Purple』ででてくる考え方も面白いですが、私個人としては、今後三原色の考え方に倣い、White人材という考え方を提案したいと思います。この考え方自体は、2017年のRSA Conferenceで発表された、Business Driven Securityという考え方に比較的近いと思います。

it.impressbm.co.jp

私が想定している人材は大きく3種類を基本とします。

  • Red人材:セキュリティ診断やペネトレーション診断などの攻撃技術に精通する人材
  • Blue人材:セキュリティ監視やTherat Hunting、フォレンジックなどの防御技術に精通する人材
  • Green人材:ビジネス目線・マネジメント目線を持ったコンサルティング技術に精通する人材

Red人材Blue人材は、今までの定義と変わらず、両方の技術に精通している人材はPurple人材と呼ぶ想定です。特徴として、この両人材は基本的に技術を中心としています。

Green人材とは?

Green人材とは、聞きなれない名称なので説明を付け加えておきたいと思います。

Green人材とは、マネジメント目線やビジネス目線など、ソフトスキルを専門とする人材です。こうしたスキルは今後よりいっそうセキュリティ人材に求められると思います。なぜならば、基本的にビジネスプロセスも攻撃対象になる上、セキュリティを実現し、ビジネスプロセスを踏まえてセキュリティを組み込むためには、予算・リソース・他部署の協力の面から、マネジメント目線で話を説明し、巻き込んでいかなければならないためです。

いわゆる、セキュリティコンサルタントの中で技術コンサル系ではない人、ポリシーやセキュリティ戦略などを専門にする人はこの分野に基本的に属すとみなすべきでしょう。

私が思うGreen人材が持つべき特徴をいかに示します。

特徴1:ビジネスプロセスに精通した人材

第一に、Green人材に求められる条件として、ビジネスプロセスに精通していることが挙げられます。例えば、BEC(Business Email Compromise)などは、ビジネスプロセスを悪用した攻撃の一種です。今はまだプロセスが稚拙な場合に成立している攻撃である印象はありますが、Social-Engineeringなどの技術を使っていけば、こうしたより複雑なビジネスプロセス上の欠陥をつく攻撃が出てくるでしょう。あるいは、米軍需産業の例におけるサプライ・チェーン攻撃もその一つでしょう。技術という目線だけではなく、自分達を取り囲むサプライチェーンやプロセスなどを悪用した攻撃です。

一方、最近では金融庁が提唱しているTLPT(Threat-Led Penetration Test)やTIBER(Threat Intelligence Based Ethical Red Teaming Test)などが挙げられます。ここで想定している脅威は技術的脅威ですが、技術的脅威での攻撃が難しくなった場合、今度はビジネスプロセス上に脅威を向けてくると考えられます。

特徴2:マネジメントに精通した人材

第二に、Green人材に求められる条件として、マネジメントに精通した人材が挙げられます。ビジネスプロセスに何かセキュリティ施策を盛り込んだり、上層部と交渉をしたりする際に適切な言語でリスクや投資の必要性について会話をする必要があります。そのため、Green人材はこうした能力が求められます。

また、マネジメントの観点から、セキュリティ戦略やポリシーの策定についても必要があります。

特徴3:コンサルティング技術を要した人材

第三にコンサルティング技術を要した人材が挙げられます。Red TeamBlue Teamに対して、あるいは経営層に対して問題を提案し、解決策への道筋をつける能力が求められます。

結局、White人材とは?

White人材の定義は、以下の通りです。

White人材 = Red人材 + Blue人材 + Green人材

技術的には、攻撃技術+防御技術に精通しつつ、ビジネスプロセスやマネジメントの側面からプロセスを強化したり、セキュリティ戦略を立案したりする人材です。こうした人材になることにより、ビジネス・リスクとしてセキュリティを考えることができるでしょう。

まとめ

セキュリティ人材も様々な分野が存在します。もちろん一分野に特化するスペシャリスト型も存在する一方、複合型を目指す人材のジェネラリスト型のキャリアパスも考えられます。基本的には、どこに自分の強みを持つのか、という点でキャリアを考える上での一助になればと思います。