セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

米国のペネトレーションテスト事情

エッセイ ペネトレーション・テスト

2016/08/13 書き忘れた項目があったため、追記しました

今日は米国流ペネトレーション・テストについての実情についてまとめてみたいと思います。

日本におけるペネトレーション・テストとは?

ざっくりとまとめると、日本におけるペネトレーション・テストは大きく3種類あると考えられます。

  • Webアプリーケーション診断
  • ネットワーク診断
  • 標的型攻撃診断(メール訓練サービス・出口対策検証サービス)

従来からサービスとして用意されているWebアプリケーション診断・ネットワーク診断に加えて、標的型攻撃診断サービスも最近はよく見られます。

色々なベンダーの様子を見ていると、標的型攻撃診断サービスは、一般に2種類のモジュールで構成されており、「標的型メール訓練サービス」と実際にマルウェアなどを使い出口対策の検証までを行う「出口対策検証サービス」があります。

脆弱性診断 vs. ペネトレーション・テスト

「脆弱性診断」と「ペネトレーション・テスト」の単語の定義は、日本では今でも曖昧として使われていることが多いという印象が多いですが、米国の言葉の使われ方を見る限り、手順化された手法で脆弱性の存在を確認することが脆弱性診断、実際にどこまで悪用できるかあらゆる手段で実証することがペネトレーション・テストという言葉だと考えられます。

BSidesLVのあるセッションでも、「脆弱性スキャンをかけて出てきた結果を検証するのはペネトレーション・テストじゃないから」と宣言していたセッションがありましたが、その通りだと思います。

米国流ペネトレーション・テスト

その一方、米国流のペネトレーション・テストはより総合的な評価を実施する傾向にあります。(もちろん価格・やり方によりますが)フルスペックでやった場合、Webアプリケーション診断・ネットワーク診断のみならず、標的型攻撃、ソーシャル・エンジニアリング・物理セキュリティなどあらゆる監査が実施されます。

色々なカンファレンスを通じてベンダーと色々と話す機会があったため、それらの情報を元に米国でのペネトレーション・テストのやり方についてまとめてみたいと思います。(なお、特定のベンダーについて記載したものではなく、色々なベンダーの特徴を踏まえ、一般化した手法として書いています。)

標的型攻撃診断

日本において、標的型攻撃診断として真っ先に思いつくのは、「標的型攻撃メール訓練サービス」などと呼ばれるユーザの開封率などを視覚化してくれるサービスだと思います。これは、所属組織の従業員が持つ標的型攻撃への耐性を検証するだけでなく、従業員への注意喚起を意図したセキュリティ教育(Security Awareness)の一環として行われることが多いと思います。

当然、これらの教育目的を主としたサービスも多数あるのですが、ペネトレーション・テストとして実施する場合は、少し様子が異なります。

話を聞いた多くの企業でも同じように標的型メールを送るのですが、訓練用ではなく実際のインシデントと同じシナリオでテストを行います。具体的には、以下の通りです。

  • 実際のマルウェアを添付したメールを送る
  • 脆弱性が仕込まれたURLを含むメールを送付する
  • フィッシングサイトへ誘導するURLを含むメールを送付する

その後、ユーザがリンクを踏むと、脆弱性を悪用して端末を掌握してC&Cサーバと通信を発生させたり、フィッシングサイトへ誘導してアカウントを抜いたりし、特定のゴールにたどりつけるまで監査を行うなど非常に実践的な内容で行われます。特定のゴールとは、例えば以下のようなものです。

  • (外部から)ドメイン管理者のアカウントを取得できるか
  • (外部から)クレジットカード情報にアクセスできるか

通常、標的型メールを送付する前に、担当者から社員のメール一覧を受領して実施することが一般的ですが、中には事前調査(Reconnaissance)から実施して攻撃を仕掛けるといった本格的な企業もあり、非常に面白いものでした。

なお、いくつかの会社のサンプルレポートなども見せてもらいましたが、取得したパスワードの統計情報を分析したり、何分間でC&C通信が発生して何分間でドメイン管理者のアクセスまえ到達できたかなど、実際のシナリオをそのまま再現している印象を受けるサービスばかりでした。

ソーシャルエンジニアリング

ソーシャルエンジニアリングもひとつの脅威ベクターとなるため、フルスペックのペネトレーション・テストでは頻繁に実施されます。

会社によって様々なケースがありますが、電話をかけて情報の引き出しを行うVishing攻撃を実施する企業もあれば、USB Drop攻撃をして、誰かが端末を拾ったことを理由に端末を掌握することが可能か検証するなど、実践さながらのテストが多くあります。

物理ペネトレーション・テスト

ソーシャルエンジニアリングの一環として、物理ペネトレーション・テストに近いことをやる企業も存在します。実際に、人の後にくっついて入ったり、宅配業者を装ったり、非常口などを利用して物理アクセスコントロールを突破できるか検証するサービスもあります。内部に入れた場合は、プリンタや役員のオフィスにアクセスできるかまで検証を行うケースもあるそうです。ほかにも、社員証(カードキー)の複製可否を検証するサービスをやるといっていた企業もありました。特に面白かったのが、侵入に成功したあと、役員などのPCに特殊な機器を設置して、情報を盗み出せるかまでやっている企業も存在していることでした。

Red Team Opearation / Service

こちらでよく、「Red Team Operation」・「Red Team Service」という単語を耳にします。どうも詳しく話を聞いてみると、上記のような総合型ペネトレーションテストの場合、従来のペネトレーションテストと区別するために、Red Team OperationとかRed Team Serviceと銘打っているセキュリティ・ベンダーも多いみたいです。*1

Las VegasのカンファレンスでもらったCoalfire社の資料に非常にそのイメージを伝えるに適当な図がありましたので、参考情報として張っておきます。(この会社の品質等はわかりませんが、イメージを説明するにはわかりやすい図だと思います。)

www.coalfire.com

まとめ

米国流ペネトレーションテストの様子を色々聞いていると、かなり本格的な内容に驚かされます。日本でも徐々にこのような総合型ペネトレーションテストが実施されるようになるかと思いますので、今後もこれらの動向に注目していきたいと思います。 

*1:Red Teamのイメージに一番近いのは映画『Sneakers』だと思いますが、彼らは自分たちのテストのことをPenetration Testと呼んでいたので、言葉の定義は変わるもんだとしみじみ思いました。