侵入成功率は90%超!助け合い学び合う、最強ペンテスターチーム
GMOサイバーセキュリティ byイエラエ(以下、GMOイエラエ)のエンジニアたちがあるテーマやトピックについて自由に語り合う「IERAE JOURNAL」。第二回目は侵入成功率90%を誇るペンテスター集団、オフェンシブセキュリティ部のメンバーにペネトレーションテストのことやチームについて語ってもらいます。
座談会メンバー
オフェンシブセキュリティ部 部長・執行役員
サイフィエフ ルスラン
ロシアでシステム管理者/セキュリティエンジニアとして経験を積んだ後、日本でWebアプリケーション、ネットワーク、API、自動車の脆弱性診断に従事。ペネトレーションテストやレッドチーム演習、脆弱性診断ツールの開発・検証を担当。OSEE、OSCP、GXPNなどの資格を持ち、CTFで受賞実績多数。
GMOイエラエを代表するトップペンテスターであることに加え、学習意欲旺盛な姿勢がエンジニアから尊敬されている。
オフェンシブセキュリティ部 課長
村島正浩
オフェンシブセキュリティ部の課長としてメンバーをマネジメントしつつ、自身もペネトレーションテスト業務に従事。業務外の活動として執筆活動に積極的に取り組み、「ハッカーの学校 ハッキング実験室」「ハッカーの学校 IoTハッキングの教科書」「ハッカーの技術書」などの著書がある。
オフェンシブセキュリティ部
川田 柾浩
2020年から現職でペネトレーションテスト業務に従事。レッドチーム案件を中心に担当し、ツール開発や研究・調査も行っている。レッドチーム案件の中ではMac環境やゼロトラスト環境の調査以外にもOSINT調査やフィッシング・ソーシャルエンジニアリングを担うことが多い。著書に「ペネトレーションテストの教科書 (ハッカーの技術書)」がある。
インタビュアー
サイバーセキュリティ事業本部 本部長・執行役員
寺村 亮一
博士号取得後、大手コンサルティングファームにてサイバーセキュリティ業務に従事し、大手自動車部品メーカーとのサイバーセキュリティ合弁会社設立などを主導。2020年より現職。その他、CRYPTREC 暗号活用委員など幅広く活動。CISSP / GXPN / 博士(工学)
GMOイエラエのペネトレーションテストは例えるなら「手術」?
寺村:本日はよろしくお願いします。今回はペネトレーションテストチームのメンバーに集まってもらいました。最初にお客様からよく聞かれる「ペネトレーションテストと脆弱性診断の違い」についてお伺いします。
脆弱性診断はよく健康診断に例えられることがありますよね。診断項目に沿って、血圧、体重、視力など個々に問題がないかを検査していくイメージです。脆弱性診断が健康診断と同じように項目ごとにOK/NGを判定するテストだとしたら、ペネトレーションテストはどうでしょう?
ルスラン:そうですね、ペネトレーションテストではお客様から「安全か確認してほしい」と依頼された環境やシステムに対し、入念に下調べや実機調査を行い、個別の脅威シナリオを作成して、そのシナリオを基に本当に安全かどうかを調べ上げます。個々の問題のOK/NGを判断するというより、対象の環境やシステムそのものを対象に攻撃できる隙がないかを入念に調べるようなイメージです。
寺村:なるほど。脆弱性診断が健康診断だとしたら、ペネトレーションテストは人間ドックのようなイメージでしょうか?
ルスラン:人間ドックに例えられることもありますが、ペネトレーションテストはお客様の環境に応じて、より専門的な検査を行います。
例えば、人間ドックで何か良くない結果が出たとして、より詳しく調べたければ別の病院に行って精密な検査をしてください、と言われたとします。私たちはその先の精密な検査を実施するお医者さんの役割を担うイメージです。時には検査だけでなく「手術」も行って、お客様の安全を確かめることもあります。
寺村:なるほど。「手術」という言葉がでましたが、これはペネトレーションテストにおいて、具体的にどのようなことをするイメージでしょうか?
ルスラン:例えば、WAF(※1)やEDR(※2)などのサイバー攻撃対策機器を導入されている場合、既存の攻撃パケットは防げるかもしれない。でも、もしかすると、機器の設定に問題があるかもしれないし、機器をバイパスできる問題があるかもしれないし、誰も見つけていない未知の脆弱性があるかもしれない。
そのような可能性を考慮して、場合によってはファームウェアのバイナリ解析まで行うなど、システムの安全性に問題がないか徹底的に調査しています。
(※1)WAF(Web Application Firewall) Webアプリケーションに対する攻撃を防御するセキュリティソリューションです。HTTPリクエストを監視し、SQLインジェクションやクロスサイトスクリプティングなどの脅威を検知して遮断します。Webアプリケーションの保護に欠かせないセキュリティ対策です。
(※2)EDR(Endpoint Detection and Response) エンドポイント(PCやサーバー)における脅威の検知、調査、対応を行うセキュリティソリューションです。エンドポイントの動作を継続的に監視し、不審な振る舞いを検知すると、分析と対応アクションを自動化します。
寺村:バイナリの解析まで行うと言われると確かに手術のようですね。話を聞くたびに思うのですが、そこまで踏み込んで実施しているペネトレーションテストは日本では珍しいかもしれませんね。
寺村:ペネトレーションテストや、TLPT(脅威ベースのペネトレーションテスト)と呼ばれるサービスは様々なベンダーが提供していますが、実施される内容は提供しているベンダーによって異なると認識しています。
例えば、ベンダーによっては、事前に机上で脅威シナリオを作成するところに力を入れ、実際のテストは机上で想定した手順を実施するサービスをペネトレーションテストとして提供する場合もあると思います。あるいは、ある程度決まった項目に対してツールを利用して確認するサービスを、ペネトレーションテストとして提供する場合もあると思います。
そこで、あらためてGMOイエラエのペネトレーションテストの特徴を教えてもらえますか?
ルスラン: GMOイエラエのペネトレーションテストとして重視している考え方は、「外部の攻撃者に狙われているという前提のもと、実際にそのシステムに侵入できるか、安全であるかを確認するためにテストを行う」ということですね。
そのためには、設計書や仕様書、ヒアリングによる机上での評価の実施に加え、実際のテスト対象の環境やシステムにアクセスを行い、そこから得た情報もどんどん生かしてテストします。
実際に動いているシステムや環境に触ることで、「攻撃者は侵入して何をするか?」「情報を取り出せるか?」「情報を取り出すためには何が必要で、日々そのシステムを使うのは誰で、どんな権限でアクセスできるか?」などの生きた情報が手に入ります。
寺村:設計書などの書類と実際の運用や使われ方が違うのはよくあることですよね。
ルスラン:そうですね。そのため、設計書や仕様書などの書類だけでなく、実際のシステム情報を確認しながら攻撃シナリオを検討します。また、ペネトレーションテスト中は常にどうすれば侵入できるかを考えながら進めますが、状況に応じて柔軟に攻撃シナリオに変化を加えます。
私たちのペネトレーションテストの目的は「当初のシナリオ通りにテストができたか」ではなく、「システムが本当に安全か」「侵入できないか」を確認することですので。
寺村:そうですね。ペネトレーションテスト、という名前のサービスなので、侵入ができないかを確認することが目的だ、ということは全くもって正しいと思います。
村島:ただ、お客様から「ペネトレーションテストをやりたい」と依頼を受けても、期待される内容が「自身のシステムに攻撃者から侵入されないか確認したい」ということではない場合があります。これはペネトレーションテストがベンダーによって提供する内容が様々であることが一因かと思います。
GMOイエラエでは、お客様へのご提案の場にエンジニアが同席してサービスのご説明を行うことがよくあります。
ペネトレーションテストにレッドチーム的な動きを期待されているお客さまには、ルスランさんをはじめとしたペネトレーションテストのエンジニア(ペンテスター)が同席すると大変喜ばれることが多いのですが、逆にお客様の期待する内容が特定の診断項目の定期監査のような場合には「ちょっとやりたいことと違うかな」という反応をいただくこともあります。
寺村:お客様がペネトレーションテストに何を期待するのかを、事前に認識合わせをしておくことが大事ですね。特定の診断項目を監査するという話であれば、GMOイエラエのサービス定義では脆弱性診断になる場合も多そうです。
ルスラン:しかし、お客様が求めるものだけではなく、私たちホワイトハッカーから見てお客様にとって本当に必要なものを提案することも必要です。
例えば、ペネトレーションテストをやりたいというお客様の中には、標的型攻撃への対策を意識されている方も多くいらっしゃいます。その場合に、お客様がペネトレーションテストに期待する内容が「過去に行われた既存の標的型攻撃を机上でシナリオ化・手順化し、現場ではその手順を実行するテスト」の場合があります。
結論からいうと手順化した攻撃は EDR等のセキュリティ製品を導入するだけで無効化できる場合が多いです。ただし、実際の標的型攻撃は「標的型」という名のとおり、個社ごとにカスタマイズされた執拗な攻撃が行われます。そのことも考慮すると手順化した攻撃に対する対策だけでは十分とは到底言えません。
本質的にはお客様の企業、組織が攻撃者の標的になった場合に、攻撃に対する検知能力や防御力を高めることこそがお客様にとって本当に必要なことだと思います。そのためのアプローチや私たちが支援できることについて、日々積極的に提案しています。
寺村:なるほど。ペネトレーションテストに対するお客様の期待値と、実際に提供されるテストがずれているケースもありそうですね。
標的型攻撃を想定したペネトレーションテストをしたいのならば、個社ごとに実際の環境をみながら侵入を試していく方が望ましいのでしょうか?
ルスラン:そう考えています。その上で実際の攻撃者ならこう考える、こういう方法を取るかもしれないと「攻撃者目線」で考えながら、より現実のサイバー攻撃に近い形でペネトレーションテストを進めるのが望ましいです。
例えば攻撃を検知されてしまうとブルーチームに警戒されるので、攻撃者としては出来るだけ検知されないように進めたいですよね。私たちがペネトレーションテストをする際も、通信を可能な限り検知されないように進めます。
方法としては、実際の環境で利用されている製品や設定を確認し、それに合わせて通信パケットを偽装します。検知されないことが確認できたら、実際にどこまで侵入ができるのか、どこまでの被害を及ぼされる可能性があるかを確認して、お客様にご報告します。
もちろん報告して終わりではなく、どう対策していけばよいかをご提案するまでがGMOイエラエのペネトレーションテストだと考えています。
寺村:ちなみにペネトレーションテストの成功率として、これまでどの程度の会社に侵入できましたか?
ルスラン:どのような前提条件を置くかで多少前後しますが、成功率としては90%以上です。
侵入する意地がすごい!多種多様な攻撃手段を用いて侵入成功
寺村:続いて「レッドチームサービス」について教えてください。
一般的にサイバーセキュリティでは、会社を守るチームを「ブルーチーム」と呼びます。ブルーチームが会社を守れているか、その対策状況を見える化するために、模擬攻撃訓練を行うチームを「レッドチーム」と呼びますが、GMOイエラエが提供する「レッドチームサービス」はどのようなものなのでしょうか。
村島:GMOイエラエのレッドチームサービスは、本当に「攻撃者目線」というか、ブルーチームに気づかれないよう様々な工夫を行うところが最大の特徴だと思います。
ペネトレーションテスト中もセキュリティ製品による攻撃検知されないよう注意しながら進めていますが、レッドチームでは実際の攻撃者さながら、さらに細心の注意を払ってより慎重に進めます。
寺村:実際の攻撃者はもちろん検知等の対策がされている前提で侵入を試みますよね。過去の攻撃手法を模倣するのではなく、攻撃者の思考や考え方を取り入れ、実践しているということですね。
村島:その通りです。最近ではレッドチームやペネトレーションテストを実施した経験があるお客様も増えてきましたが、そのようなお客様の中には「過去に他社様にお願いしたレッドチームサービスでは侵入されず自社は安全だと思っていたが、GMOイエラエのレッドチームでは侵入されたうえに、自社のSOC部隊などブルーチームが対応できなかった」という評価をいただいたことがあります。
寺村:なるほど。そのようにしてブルーチームの課題を発見し、対策を行っていくことで、より会社全体のセキュリティを上げていくことにつながりますよね。Sansan様(※3)がそのようなケースでしょうか。
(※3)【導入事例】手段を選ばないレッドチームによるサイバーレジリエンスの実践的評価
村島:はい、Sansan様もその一例ですね。お客様のオフィスに気づかれずに入館するために、従業員や清掃業者を装ったり、入館証を複製したり、実際の攻撃者が取りうる手法を実践することを許容いただいた上で、レッドチームサービスを提供させていただきました。
このようなテスト方法を受け入れられるブルーチームを整えていらっしゃる点で、日本国内において非常にセキュリティに対して先進的な企業だと感じます。結果として侵入はできたのですが、それがさらに Sansan様のブルーチームのモチベーションとなり、ますますサイバー攻撃対策に力をいれていると伺っています。
寺村:すばらしいですね。「点数が低いからダメ」ではなく、どこがダメなのかを気づき、改善を行うということ、それこそがテストに望まれる形ですよね。
GMOイエラエのレッドチームではなぜそのようなことができるのでしょう?
村島:一重にエンジニアの技術力の高さと「攻撃者目線」を持っていることだと思います。例えば、市販のツールを頼りにペネトレーションテストを進めるベンダー様も多いかと思います。GMOイエラエでももちろん市販のツールも使いますが、それでは侵入できないと思ったら多種多様な攻撃手段を用いて侵入を試みます。
機器のファームウェアのバイナリ解析を行って、ゼロデイの脆弱性を見つけ出して、その脆弱性を利用するマルウェアを模倣したモジュールを開発して、独自の通信プロトコルを発生させ、さらに検知を欺いて侵入をするという手法を行うこともあります。
寺村:それはすごい。技術もすごいですが、「絶対に侵入する」という意地がすごいですね(笑)
先ほど、ペネトレーションテストを医者の手術に例えられていましたが、人の病気でも、あるお医者様は見つけられなくても、他のお医者様は見つけられることがあると思います。
GMOイエラエは技術力が高く、意地もすごい「名医」がそろっているので、過去に他社でペネトレーションテストやレッドチームを実施して問題がないと診断された会社も、セカンドオピニオンとして、ぜひGMOイエラエでペネトレーションテストを受けてみてほしいと思いますね。
ルスラン:同じ会社で何度もやることは効率化の面で良いこともあるのですが、観点が偏る点で悪い面もありますね。これは私たちがやる場合も同じで、ペネトレーションテストを実施する前から、攻撃者として分かってしまっているケースもある。1年おきに会社を交互に入れ替えて実施するのもいいかもですね。
サプライチェーン攻撃の盲点「攻撃するならグループ会社よりも本体を狙え」
寺村:昨今の情勢を踏まえて、サプライチェーン攻撃への対策に関するご相談も増えていると思います。そのあたりはいかがでしょうか。
村島:グローバルで活躍されている企業から依頼を受けることも多いのですが、その中でもよくあるケースが、海外に本体を置く企業が日本の取引先やグループ会社のセキュリティを確認するためにペネトレーションテストを実施するように統制をかけるケースです。
多くの企業はグループ会社や取引先を入口として、侵入されるリスクを考えています。グループ会社が安全か、そしてグループ会社のシステムに万一侵入されたとしても、本体に影響がないかを確認したい、という目的です。
ただ、実際に私たちがペネトレーションテストを実施した環境でよく見つけられる問題が、取引先やグループ会社ではなく、本体側から侵入ができたため結果として取引先やグループ会社まで一網打尽で侵入できてしまうケースです。本体に侵入してActive Directory(※4)のドメイン管理者権限を取ってしまうと、本体からグループ会社へのアクセスは特別な対策がされておらず、なんなくグループ会社にも侵入できてしまうという。結構そういう会社も多いです。
(※4)Windowsサーバーに搭載されているディレクトリサービス
寺村:なるほど。グローバル展開している会社は、サプライチェーンリスクとして、グループ会社から本体に対する侵入リスクを警戒しているケースをよく見かけますが、そもそも本体がちゃんとしていないと意味がないですよね。それこそグループ会社や取引先が、本体を無条件に信用する慣習となっていて、その前提でシステムを構築していると、もうどうしようもない。
ルスラン:ペネトレーションテストの対象が、あるグループ会社のシステムだとしても、本来はそのシステム単体を確認するわけではなく、システムが会社やグループ全体で連携されていることを踏まえてすべてを見なければいけないと考えています。禁止されなければ、ペネトレーションテストで本体に侵入して権限をとってからグループ会社への侵入を試みることもありますね。
寺村:なるほど。なかなかテスト対象というスコープに囚われていたらできないですね。
ルスラン:考え方は簡単で、自分は攻撃者であると考えるだけです。契約上、禁止事項に該当するならもちろん実施してはいけませんが、そうでない場合、本体もグループ会社もネットワークがつながっているなら侵入を考えられるポイントは山のようにありますので、対象システム単体ではなく、システムの設計やビジネスの慣習にセキュリティ上の問題があることも視野に入れてテストするのが望ましいと思います。
日本というリージョンに存在するシステムや会社であっても、それが世界につながっているのであれば、世界のどこのリージョンからでも侵入のポイントは存在しますから。
相乗効果 で成長し続ける「チームルスラン」
寺村:メンバーについて話を聞かせてください。今日聞いた話の中でも、ゼロデイを見つけたり、その場で模擬マルウェアをコーディングしたりできる、優秀なエンジニアが多いと思います。なぜそのようなエンジニアを抱えられるのでしょう?育てるのもなかなか難しいかと思います。
ルスラン:そうですね、運がよかったかなと思います(笑)
川田:GMOイエラエのペネトレーションテストのチームはすごく環境が恵まれていると思います。普通の会社だと、ルスランさんのようなペネトレーションテストの知見や経験がある人はまずいないと思います。ルスランさんが熱心に教育してくれて、案件をメンバーと一緒にやってくれる。その中で私たちも、スキルトランスファーとしてルスランさんの知識をインプットできます。
会社としてもトレーニングをどんどんトレーニングを受けさせてくれるので、エンジニアとしてかなりありがたい環境だと感じています。
寺村:まずルスランさんが、とにかくめちゃくちゃ勉強していますよね。ルスランさんの受けるトレーニングの種類や内容など、バリエーションの多さにいつもびっくりしています(笑)
川田:ルスランさんは海外のトレーニングでも勉強し続けていて、その姿を見ていると「トップがこんなに勉強しているんだ。自分ももっと勉強しよう」と、すごくいい刺激になっています。
寺村:私から見て、ペネトレーションテストのチームはまさに「チームルスラン」というイメージで、メンバーはここで学んで、山のように吸収してもらって。第二、第三のルスランさんになってもらいたいなと思います。
ルスラン: 私たちのチームはすごくバランスが良くて、レッドチームで必要な要素、オンプレミス環境、クラウド環境、Web、OSINT、フィッシングに強いメンバーが揃っています。これからもそれぞれ自分の得意なことや興味のあることを、どんどん勉強して、どんどん成長してもらいたいと思っています。
寺村:それぞれのメンバーがしっかりと自分の強みを持っているのはいいですね。その強みは元々それぞれのメンバーが持っていた強みですか?それとも後から獲得したのでしょうか。
川田:後からです。私の場合、Mac端末がマルウェアに感染した場合を想定したシナリオの案件を担当することが多いのですが、元からMacについてすごく知識があるというわけではありませんでした。ルスランさんがWindowsやActive Directoryの知見が深すぎるので「そこで同じことをやっていてはダメだ。Macなら貢献できるかもしれない」と思って勉強を始めたんです。
寺村:なるほど。チームとして補完しあうように、それぞれのメンバーがチームに貢献できるように、スキルを磨いているうちに得意になったということですね。 それは自主的な取り組みだったのでしょうか?
川田:そうです。自主的に「これがやりたい」と言いました。ルスランさんはMacについても知見があって、おすすめの資料やトレーニングなどを沢山教えてもらいました。また業務でもMacに関係する案件には優先的に関わらせてくれました。そういったサポートがあって、自然と力が伸びたのかなと思います。
ルスラン:お互いに助けあって、学びあえるところがペネトレーションテストの面白いところなんですよね。メンバーそれぞれが異なる強みや得意分野を持っていて、メンバーが集まるとお互いのスキルを補い合うようにチームが纏まり、目の前の課題をクリアしていく。なかなかいいチームだとおもいます。
寺村:ちなみにどういう人がペネトレーションテストに向いていると思いますか?
ルスラン:そこにある問題に対して、クリエイティブに考えていく人だといいと思います。人生と同じで、ペネトレーションテストもなかなか思う通りには行かないですから。
寺村:たしかにね(笑)ところで、ペネトレーションテストチームは社内のエンジニア支援制度を積極的に利用されているそうですが、制度を利用したことがきっかけで何かチームにいい影響はありましたか。
村島:社内インターン制度と、社内異動制度という2つの制度があり、社内インターンでは希望すれば1カ月程度、他の部署の仕事を体験することができます。社内異動制度は、行きたい部署と本人の希望が合えば、自由に異動ができるという制度ですね。
今年Webアプリケーションの脆弱性診断チームからペネトレーションテストのチームに異動してきたメンバーがいるのですが、もともと社内インターン制度でペネトレーションテストを体験してくれていた人でした。インターン中、意欲的に勉強している姿勢が感じられて「得た知識を活用して自分の頭で考えて、クリエイティブな発言をする人だな」と思いましたね。
寺村:社内インターンでお互いの適性のマッチングができたわけですね。
村島:はい。社内インターンを通じて、その人がペネトレーションテストに向いているなと思いました。その人もインターンを通じて、ペネトレーションテストをやりたい、という気持ちを持ってくれて、結果、社内異動制度を利用して、今はペネトレーションテストを実施してもらっています。
寺村:GMOイエラエの中でも、ペネトレーションテストをやりたいという人多いと思います。興味がある方はチャレンジしてもらいたいですね。
他にもGMOイエラエでは、社内のメンバーが報告した脆弱性にCVE番号(※5)が発番されると会社から奨励金を出す制度などを行っています。2023年の1年間でGMOイエラエからCVEは33件発番されています。そのうちの12件はペネトレーションテストのチームの成果によるものでしたね。
(※5)Common Vulnerabilities and Exposures(共通脆弱性識別子)の略称。米国政府の支援を受けた非営利団体のMITRE社が提供する脆弱性情報を管理するデータベースで、個別製品中の脆弱性を対象に固有の識別番号(CVE-ID)を付与している。
ルスラン:うちのチームはCVEの内容も面白いよね。
寺村: macOS の脆弱性やWindows 製品など、一般的に広く使われているシステムの脆弱性を報告されていますね。
ルスラン:そうですね。お客様の環境でも使われていることが多いので、日々の仕事の延長線上で発見した脆弱性も結構あります。
川田: macOS の脆弱性(※6)を発見したのも業務に関係していて、Windows環境に対するペネトレーションテスト案件で、Word形式の模擬マルウェアを使うことがあるのですが、それをmacOS 環境で転用できないかなと思って、色々と検証を行っている時にmacOS の脆弱性を見つけました。
日頃から「もしかしたらゼロデイの脆弱性があるかもしれない」と思いながら調査したり、検証したりしていますが、会社が CVEに関する活動を応援してくれるので励みになります。
(※6)【 CVE-2023-27966】 macOSにおけるアプリケーションサンドボックスのバイパス
寺村:最後にペネトレーションテストチームは今後、何をしていきたいですか?
ルスラン:数年間の長期契約をして、レッドチームやペネトレーションテストを実施していけたら面白いなと思います。実際に標的型攻撃を行う攻撃者は、何年も企業やシステムを調査し、入念な準備をして攻撃を実行することがあります。それと同じような環境でペネトレーションテストを行えたら、より実際の攻撃に近いテストができると考えています。
「お客様を助けたい」「お客様を守りたい」という気持ちはGMOイエラエの皆が持っているものだと思いますが、ペネトレーションテストチームが出来ることとして、私たちが仮想の敵となってお客様の弱点を見つけて、一緒に改善策を考えて、一緒にサイバー攻撃に対して強い企業、組織を作っていけるのが理想だと思っています。
寺村:ありがとうございました。