ニュース

侵入率は100%! F-Secureが欧州で提供する「レッドチーミング演習」サービス

「レッドチーミング演習」で使われたICカードリーダーを掲げる、F-Secureサイバーセキュリティリサーチシニアセキュリティコンサルタントのアンッティ・トゥオミ氏

 エフセキュア株式会社が16日に行った「2017年サイバーセキュリティレポート」についての記者説明会で、実践的な手法で企業向けにサイバー攻撃を行い、サイバーセキュリティにおける脆弱点を明らかにする「レッドチーミング演習」のサービスの模様が紹介された。

 F-Secureは、欧州で「レッドチーミング」のサービスを企業向けに提供している。対策チーム(ブルー)と攻撃チーム(レッド)に分かれて行う軍事演習用語を、そのままサイバーセキュリティに持ち込んだものだ。運用プロセスや技術面、人の脆弱性を特定するため、実際の攻撃を複数の方法で仕掛けることで組織の安全性を高めることを目的としている。

 フィンランドのF-Secure本社で実際にこの業務に従事したサイバーセキュリティリサーチシニアセキュリティコンサルタントのアンッティ・トゥオミ氏によれば、同社のサイバーセキュリティリサーチチームは60人規模で、レッドチーミングのほか、コンサルティングなども担当している。

 レッドチーミングにおいては、「一番重要なデータを取得できるかどうか」(トゥオミ氏)を目的に、本物の攻撃者と同様の方法を用い、企業におけるサイバーセキュリティの対策状況を確認する。こうしたサービスを同社に依頼する企業には、「実際にセキュリティ対策を何年かかけて整えたが、まだ穴があるかどうか、また自社のSOCサービスが攻撃を検出できるか確認したいというニーズがある」というが、F-Secureのレッドチーミング演習では「これまで100%検出されずにデータを取得できている」という。

カードリーダーでIDカードを複製、ソーシャルエンジニアリングを組み合わせたフィッシングも

 トゥオミ氏は、実際にF-Secureのレッドチームで使っている道具を2つ紹介した。その1つが、USB接続のICカードリーダーだ。社員番号などの入ったIDカードを読み取り、これを複製してキーコードを入手する。例えば、その社員番号でサーバールームに入室できなければ、番号を1つずつずらして番号を作成していくといった手法で侵入を試みる。

 また、IDとパスワードを窃取するフィッシングの手法では、例えばF-Secureであれば「fsecure.com」のように「-」などを抜いたロギングサイトを構築し、社員へメールで通知すると、「ある企業では27%、別の企業では40%のユーザーが情報を入力をしてしまった」(トゥオミ氏)という。さらに、メールを送ったあとに電話をかけ、チェックを催促するソーシャルエンジニアリングの手法を組み合わせると、「80%に成功率が上がる」という。人が脆弱性になることを突いたものと言える。

 このほか、マネジメント層の使うスマートフォンが接続するゲストWi-Fiなどへの攻撃や、ネットワーク内のサーバーから次のサーバーに侵入を試みる「ピボット」というアタック手法を紹介。「依頼を受けた企業側の了解が取れれば、実際のクラウバー(バール)などでも侵入することがある」(トゥオミ氏)とのことだ。

無人PCにマルウェアを自動インストールする「USBラバーダッキー」

 もう1つの道具は「USBラバーダッキー」と呼ばれるもの。「USBキーボードのふりをする小さなデバイス」(トゥオミ氏)で、その中に搭載されたmicroSDカードには、接続したPCに自動的に入力を実行するプログラムが仕込まれている。これによりPowerShellなど呼び出し、スクリプトを自動入力することで、マルウェアやバックドアをインストールできてしまうものだ。実際のレッドチーミングプロジェクトでは、起動されていた無人のPCを見つけ、これを利用して侵入を行ったという。

 実際に演習を行った企業では、SOCサービスに多額の年間予算を費やしていたが、「無人の会議室でネットワークに持ち込んだRaspberry Piを接続し、最終的に70台のサーバーに侵入した」とのことだ。多くのSOCでは、外からの攻撃を監視しているが、「中からの攻撃は見えなかった。何をモニタリングするかが足りなかったのだろう。こういうテストを実際に行わないと、SOCに効果があるかどうかが分からない」とした。F-secureでは、欧州ではすでにリリースしている“エンハンスドSOC”とも呼べるセキュリティサービスを、2017年中に日本でもリリースする予定だという。

 同社が研究開発で発見した攻撃手法を監視できるもので、エンドポイントに対するセンサーによって、サーバーとワークステーションで実行される攻撃コードや、サーバー間の横展開の攻撃なども監視するという。

F-Secureが欧州で依頼を受けた企業に対して実際に行った「レッドチーム演習」をもとにした映像