「Red Team Testing」は電子的攻撃だけでなく物理的な攻撃シミュレーションも実施
変装してオフィス侵入も!デルのサイバー攻撃試験サービス
2015年11月12日 12時00分更新
本物に限りなく近い攻撃シミュレーションでリスクを知る
2015年11月11日、デルはDell SecureWorksのセキュリティ&リスクコンサルティングの1つとして、サイバー攻撃シミュレーションサービス「Red Team Testing」を提供開始した。企業システムへの攻撃テストで内在するリスクを洗い出す同サービスでは、電子的な攻撃に加え、物理的な攻撃も実施するのが特徴だ。
「Red Team Testing」では、変装したレッドチームのメンバーによるターゲットオフィス内への物理的侵入テストも実行可能だ
サービスメニューは2種類ある。1つは、フィッシングメールをクリックさせるなどでマルウェアに感染させ、遠隔操作やデータ窃取などを試みる「リモートRed Team Testing」。2つめは、レッドチームのメンバーが現地に赴き、オフィスや業務施設、無線LANなどへの侵入を試みる「オンサイトRed Team Testing」だ。
日本のレッドチームのリーダーを務めるDell SecureWorksの三科涼氏は、「グローバルでは4年前から提供しており、日本のレッドチームは多様な実績を積んだグローバルチームと連携してシミュレーションを実施する。日本チームについても、セキュリティ業界で平均8年以上の経験あるメンバーが集められ、グローバルチームのプロジェクトに参加して実地訓練を受け、鍛えられている」と述べる。
過去4年間の実績、レッドチームによる攻撃達成率は「100%」!
Dell SecureWorks プリンシパルコンサルタントの三科涼氏
同シミュレーションでは、最初に「情報の漏洩や改竄」「最重要システムに対する不正アクセス」「風評被害の発生」といった架空の攻撃目的を、顧客との間で設定する。この目標を達成するべく、レッドチームは「偵察活動・情報収集(OSINT)」「シナリオ作成・攻撃準備」「境界突破」「内部侵入」「目的遂行」「最終分析・報告書作成」の6つの攻撃プロセスを決行する。
「一般的なセキュリティ診断では、システムやWebアプリケーションの脆弱性を網羅的に調査する。一方のRed Team Testingは、目的を達成することを目標に、必要な攻撃方法や攻撃経路を深掘りして実行する。そのため、リアルに限りなく近い攻撃活動が再現され、有事におけるCSIRTやセキュリティ管理部門の危機対応能力、IT環境の総合的な検知力や防御力をかなり正確に評価できる」(三科氏)
実施時期や手法などについて、対象企業には原則通知しない。「最終的にデータを窃取するところまで行うかどうかは、最初の目的設定時に相談、決定する。攻撃環境は案件ごとに構築、破棄するので、シミュレーション時に取得したデータなどは完全に破棄される」(三科氏)。
なお、顧客に危害を与えるような物理的な破壊やDDoS攻撃などについては、その可能性を調査することはできるが実施は対象外になるという。
過去4年間、同サービスの目的(つまり架空の攻撃)達成率は「100%」だという。
たとえばグローバルチームが対応した大手金融機関の事例では、設定された27のゴールすべてを達成、ドメイン管理者含む500以上のユーザーアカウントを掌握することに成功したという。また、致命的な欠陥を突いてLinux専用ネットワークに侵入、顧客データベースを押さえることにも成功。「経験豊富なチームメンバーも、このときばかりは全身に緊張が走った」と三科氏は明かす。
Red Team Testingの料金は個別見積もり。ただし、標準的なアプローチ方法はある程度決まっているので、規模にもよるが500万円から3000万円を想定しているという。
