ペネトレーションテスト「OSINTとは」後篇
〜イエラエセキュリティ 脅威動向レポート 第7回 ペネトレーションテスト「OSINTとは 後篇」〜
セキュリティの専門家が攻撃者と同じ視点でシステムに侵入し、機密情報、個人情報などの情報資産の奪取を試みる「ペネトレーションテスト」。脆弱性診断が網羅的にシステムの脆弱性を評価するのに対し、ペネトレーションテストは機密情報、個人情報などの情報資産に対する脅威への対策状況を評価します。 ホワイトハッカーで構成されたセキュリティ脆弱性診断企業、株式会社イエラエセキュリティによる「イエラエセキュリティ 脅威動向レポート」の第7回目は、第6回の後編として、イエラエセキュリティ 高度解析課 三村聡志氏と、イエラエセキュリティ ペネトレーションテスト課で実際にさまざまなペネトレーションテストに携わり、また「ペネトレーションテストの教科書」の著者でもある川田柾浩が「OSINT」について解説します。
※この記事は、2021年8月20日に公開されたYouTube動画を元に記事化しています。
印象的なペネトレーション案件
三村:さまざまなペネトレーションテストを担当されたなかで、「これは突破できて、うれしかった」という印象的な案件はありますか。
川田:ネットワーク機器のゼロデイ脆弱性を見つけた時は気持ちが高揚して、「こんなふうに侵入できてしまうのだな」と実感しました。セキュリティは何重にも対策する必要があることを示すことができたと思います。また漏洩していた認証情報を収集して侵入できた時は、お客様がOSINT型のペネトレーションテストに一番求めていることであり、最も懸念されていることですので、貢献できたうれしさを感じます。
三村:「ペネトレーションテスト課がネットワーク機器のゼロデイを見つけた」という情報は時々伝わってきて、私も驚かされます。また、漏洩した認証情報がまだ生きていた、使えてしまうことは、ペネトレーションテストを行う側としては「侵入を達成できた」となりますが、企業様側から見れば、大きな問題と言えます。
パスワードは使い回さない
川田:漏洩情報でSaaSにログインできると、業務への影響は大きくなります。今はSaaSが広く使われているので、内部情報に広範囲にアクセスできることになってしまう。認証情報の漏洩は「外部サイトにパスワードを使い回さない」というような基本的なことで対策できますので、社員教育が重要になります。
三村:基本的な対策ですが、パスワードの使い回しの影響は大きい。具体的な事例として聞くと、より実感します。
侵入できなかった事例
三村:逆に侵入を試みようとして失敗してしまったという事例はありますか。
川田:漏洩情報でSaaSの認証情報が特定できたとしても、IPアドレス制限がかかっていると、ログインには至らないので攻撃者としては大きな壁の1つになります。Microsoft 365であれば、IPアドレス制限が徹底されていない場合でも、攻撃者としてイエラエがログインする行為は、普段とは異なるIPからのログインになり、Microsoft 365からメールで送られてくるロック解除用のコードを見ることができなければログインには至りません。ペネトレーションテスターにとっては、大きな壁になります。IPアドレス制限がかかっていると、フィッシングも厳しくなります。導入していただくと、攻撃者にとって大きな壁の1つになります。
IPアドレス制限やハードウェアキーの活用
三村:出張でロシアに行った時はIPアドレスが変わってしまい、普段ログインできているサービスにログインできなくなって、MicrosoftやGoogleから警告メールが来ました。IPアドレス制限は攻撃者から見れば壁であり、セキュリティ対策としては重要です。
ワンタイムパスワードも、例えばYubiKeyが使われていると、ネットワークから侵入してもパソコンを触っている人がYubiKeyを押さない限りは手が出せない。そうしたものを組み合わせることも効果があります。ペネトレーションテストから見れば失敗例が増えることになりますが、セキュリティの面から見ると有効な手段です。
VPNやGitHubなど、特定のサービスにログインする際に、鍵のマネージャーとかエージェントがパソコンの中に常駐していて、IDとパスワードを入力しなくても、エージェントが立ち上がっていればログインできる。あるいは、VPNも秘密鍵を使っているけれど、外部キーになっていなくて、パソコンの内部ですべて完結してしまっているなど、「あと一歩足りない」セキュリティ環境になっている企業様もおられます。そうした場合は、どこかをハードウェアキーに替えるとセキュリティ強化につながります。
川田:外部の攻撃者への対策としては有効です。ただし、端末内にマルウェアを使って侵入されてしまっている場合は、ハードウェアキーをタップした瞬間にワンタイムパスワードも取られてしまうケースがあります。外部からの侵入に対する対策としては有効な対策ですが、完全に安心できるわけではないことに注意が必要です。
ダークウェブではなく、クリアウェブで情報収集
三村:OSINTは、ダークウェブに潜るとかではなく、普通に世の中に出回っている情報を収集し、連携させて、タグ付けすると攻撃者にとって有効な情報になるという話と言えます。
川田:ダークウェブは、すでに漏洩している情報が存在しないか、変な情報がアップされていないかなどをチェックしますが、直接的な情報収集はGitHubなどの、いわゆるクリアウェブ(誰でもアクセスできるウェブ)が一番有効です。
三村:GitHubに、誤ってキーをアップロードしてしまったという事例もあります。あとはユーザー名とかパスワードがソースコードに含まれていることもある。ダークネットを探らなくても、クリアウェブの情報を収集するだけで、かなりの情報を入手できます。
川田:Intelligence Xなど、ダークウェブの情報を収集できるサイトがあり、利用することはありますが、メインはクリアネットの調査です。
GitHubの使い方に注意
川田:実際に対象企業様の情報をGitHubで調査していた時に、別の企業様のレポジトリが見つかり、開発した製品のソースコードが丸見えの状態になっていたことがありました。マニュアルもアップされていて、どのサイトのソースコードかもわかる。DBの認証情報がそのまま入っていました。その他、レポジトリには、Microsoft 365で使うアラート用メールアドレスの認証情報がありました。
三村:ソースコードが丸見え状態というのは、かなりの驚きですね。
川田:パブリックにしてはいけないレポジトリをパブリックにしてしまったという状態だと思います。
三村:自社での開発作業はもちろん、業務委託などで仕事を依頼する際にも十分な注意が必要になります。
川田:ソースコードが漏洩していると、脆弱性を探しやすくなり、攻撃者にとっては有利になります。
三村:Microsoft 365の認証情報が漏洩していた場合、Azure ADなど社内の認証にも同じものが使われていて、なおかつユーザーのグループ設定にミスがあったりすると、さらに大変な状況になります。
川田:Microsoft 365の内容が全部見えてしまうことになるので、二重・三重にミスが重なると、取り返しのつかないことになります。
三村:通知用メールアドレスのためにユーザーを作ったけれど、ユーザー設定が一般になっていて、ログインできてしまうこともあったりします。GitHubの件は、起こりそうなことですね。GitHub、あるいはソースコードを管理している技術者が、自動テストや自動ビルドの結果の送り先としてメールアドレスを設定することはよくあります。ですが、メールアドレスはそれ以外にも転用されてしまう状態になります。
川田:GitHubは本当に気をつけていただきたいです。
OSINTはイエラエへ
OSINTは、公開された情報を分析し、システムへの侵入が可能かどうかを検証します。調査結果を利用した侵入、情報奪取の試行も可能です。イライエのペネトレーションテストはお客様の想定脅威を確認し、OSINTをはじめ、標的型攻撃(疑似マルウェア型)、Webペネトレーションテスト、物理環境、調査特化型など、最適なプランをご提案します。
