レッドチームとは何か?ペネトレーションテストとは何が違うのか
標的型攻撃が激化するいま、セキュリティの分野で「レッドチーミングオペレーション(Red Teaming Operation)」、あるいは「レッドチーム演習」というサービスが少しずつだが注目を集めはじめている。
この名称は、もともと軍隊の攻撃/防御演習において、攻撃を仕掛ける側を「レッドチーム」、防御する側を「ブルーチーム(Blue Team)」と呼んでいたことに由来する。
具体的には、セキュリティの専門家が攻撃チームを作り、顧客企業に対して物理(Physical)/人(Human)/サイバー(Cyber)を組み合わせ、物理/仮想を問わず、現実に近い各種攻撃を仕掛け、企業のセキュリティ対策の実効性を検証するサービスだ。
現在、いくつかのセキュリティ企業が「レッドチーミングオペレーション」や「レッドチーム演習」などの名称でサービスを提供している。まだ一般には知られておらず、実際にサービスを活用している日本企業も、金融を中心とする超大手に限られる。また、ペネトレーションテストと混同されることも多いようだ。
ペネトレーションテストとは、外部から攻撃を仕掛けてシステムに侵入し、コンピュータやネットワークの脆弱性を検証するテストのこと。日本語では「侵入実験」あるいは「侵入テスト」などと呼ばれる。ただし、その目的はあくまで脆弱性の発見であり、アンチウイルスやファイアウォール、WAFの監視などと同じ、基本的なセキュリティ対策における運用の1つに位置づけられる。
一方、レッドチームはリスクシナリオに基づいた実戦的な評価により、組織のサイバー、人、物理のそれぞれの側面からセキュリティ耐性を強化することが目的だ。つまり、脆弱性の発見だけではないのである。
もちろん、システムに脆弱性があればそこを突くが、他にも攻撃の経路があれば利用する。それはシステムへの攻撃に限らない。人間の盲点や弱さを突くソーシャルエンジニアリング的な手法、あるいは組織の制度的な弱点を突く手法も含めて、あらゆる方法を使って攻撃を仕掛ける。
レッドチームでは、攻撃者をハクティビスト、愉快犯、内部犯、金銭目的の犯罪者などにペルソナ化し、それぞれに完全になりきって各種の手口を実行するのも特徴だ。シナリオの数は多くても5~6種類だが、高度なスキルを持った人材しか実行できないため、日本で展開する際に海外のスペシャリストを招聘するケースも少なくない。
ペネトレーションテストが限定的・部分的な基本テストだとすれば、レッドチームは限りなく実戦に近いサイバー攻撃の総合演習もしくはシミュレーションなのである。
レッドチームはどのような手順で進めるのか
では、実際にレッドチームはどのように進められるのか。サービスを提供するセキュリティ企業、企業側のニーズなどによって内容はさまざまである。典型的な進め方の一例として以下のようなものがある。
最初の「初期調査」は、攻撃対象となる企業の徹底的な調査だ。これには、物理的な調査も含まれる。たとえば、企業が入っているビルに従業員のふりをして入館する。または、偽のWi-Fiアクセスポイントを立ち上げ、通信を傍受して情報を盗み出す。あるいは、ターゲット部門に情報システム部門の人間をかたって電話をかけて、IDとパスワードを聞き出す……等々。
さらに、諜報活動のひとつであるOSINT(オープン・ソース・インテリジェンス)の手法も活用される。たとえば、SNSや掲示板等に頻繁に書き込んでいる社員を見つけ、その内容を収集・分析してターゲットを絞り込んでいく。
OSINT
「Open Source Intelligence」の略で、一般に公開されているオープンな情報を情報源として機密情報を収集する諜報活動の分野の1つ。
なお、レッドチームでは、サービス(攻撃)が行われることは、顧客企業のごく限られた人間にしか知らされない。このため、それが物理的な活動であれ、ネットワーク上の活動であれ、一般社員の目には、(仮に検知されたとすれば)実際の攻撃そのものに見えることになる。
ターゲットを絞り込んだあとは何をするのか
初期調査で必要な情報が集まり、ターゲットが絞り込まれたら、次は「デリバリ」に移る。これは、ターゲットに攻撃メールやUSBメモリを送付して、標的PCをリモートアクセス可能な状態にすることだ。多くはマルウェアを仕込んだメールが使われるが、インターネットと接続していないクローズドなネットワークに侵入する場合は、USBメモリも活用される。
「デリバリ」の目的は、ターゲットとした社員のローカルPCの管理者権限を奪取することにある。具体的には、メールやUSBメモリな仕込んだマルウェア(トロイの木馬)を侵入させ、バックドアを作って遠隔操作できる状態にして管理者権限を奪取する。
ここまできたら、次は「基盤構築」に移る。管理者権限を奪取したローカルPCを起点に、他のPCや社内サーバのID、パスワードなどを調べ、ネットワーク上に攻撃基盤を作っていく。
そして「権限昇格」でドメイン管理者の認証情報を奪取したら、ネットワーク上のサーバ等を調査して機密情報を探索し、最終目標である機密情報を窃取する。最後に、攻撃の詳細や企業側の対応などが詳細なレポートにまとめられ、新たなセキュリティ対策へと活かされる。
なお、現実のレッドチームでは、この一連のプロセスがすべて実施されるとは限らない。日本企業においては、特に物理的な「初期調査」は省略されるケースが多い。これは、ビル内への第三者の侵入が容易であることを、企業自身が認識していることも関係しているようだ。
また、ローカルPCの管理者権限を奪う「デリバリ」までを実施するケースも多い。ローカルPCの管理者権限を奪えば、あとのプロセスは比較的容易に実行できる。そこで、ローカルPCの管理者権限を奪取するところまでで区切るのである。
なお、部分的に実施されるのは、コスト的な理由も大きい。レッドチームでは、実施する内容(シナリオ)によって専門のエンジニアを揃えなければならない。実施期間が数ヶ月に及ぶケースもあるので、前述のペネトレーションテストと比べても、コストは相応にかかるのが一般的だ。
【次ページ】レッドチームの事例、金融機関が積極活用するのは理由がある