Thin Red Line - ペネトレーションテスト手法の検証レポート

By Cylance Research and Intelligence Team

本ブログ記事は、2019年8月7日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

Thin Red Line - ペネトレーションテスト手法の検証レポート

ペネトレーションテストは、サイバーセキュリティの現場で最も古く、最も幅広く活用されている手法の1つです。

現在、大手金融機関、クレジット会社、病院、保険会社、軍隊や諜報機関、電力会社など多くの組織が、ペネトレーションテスト業者を信頼して、組織の評判や重要な価値を持つデジタル資産の運命をペネトレーションテスト業者(ペンテスター)の手に委ねています。

ペネトレーションテスト業者に依頼する組織は、トラブルを探していることになります。 手遅れになる前に組織の防御体制の弱点を探すことが、このテストの全体的な目標です。

クライアントはペンテスターを雇って、疑似攻撃における攻撃者の役割を担ってもらいます。テスト業者は高価なセキュリティソリューションを容易に打ち破って、機密性の高いデータの危険性を示し、フィッシングを行い、システム管理者や経営者を当惑させることがよくあります。しかし、これらすべてはクライアントの許可を得て行うことです。

このレポートは、クライアントや一般の人々が気づいていない可能性のある、ペネトレーションテストのさまざまな手法、副産物、後遺症の真相を明かし、この件に関して対話を開始してもらうことを意図しています。

レポート全文のダウンロードはこちら

ペンテスト業界が進化、拡大していく中で、レッドチームエクササイズ(もともとは軍事用語で、多くの場合、ペンテストを含むサービスに関連している)と実際の脅威アクターの行動の間の境界線はあいまいになってきており、場合によっては完全に識別できなくなっていることもあります。

以降のページでは、BlackBerry® Cylance®の 脅威インテリジェンスチームが、この「Thin Red Lineシン・レッド・ライン」をペネトレーションテスト業者の側から探っていきます。

この調査は、広く受け入れられている標準が存在しない状況を明らかにしています。そうした状況においては、多くの隠れたリスクを意図せずに引き起こしてしまう多くの一般的な慣習が存在し、このようなリスクは、ペネトレーションテストで保護することが求められるクライアントのプライバシーやセキュリティなどの価値に悪影響を与える可能性があります。結果として、これらの慣習は、サイバーセキュリティの根本的なパラダイムの1つであるリスク減少に関して重大な疑問を投げかけることになります。

この調査では以下のことが判明しました。

  • あるセキュリティ企業によっていわゆるAPT攻撃のグループであると特定され、プロファイリングされたグループのケーススタディを取り上げています。当社の調査によると、これは実はペネトレーションテストサービスを提供するブラジルのセキュリティ企業のオープンな活動であることが判明しました。

  • この企業はいくつかのクライアントから尊敬されてはいるものの、ある国の航空交通管制システムの機密性の高い200メガバイトを超える調査データが抜き取られた件に関して、この企業に責任があることが証拠によって示唆されています。その後、我々はセミパブリック上のマルウェアリポジトリにこのデータが置かれていることを発見しました。

  • クライアントデータがセミパブリック上のリポジトリで広く公開されていたことは、空港、医療機関、大手金融機関、大規模なテクノロジー企業、州政府や地方政府、世界的な非営利組織、大規模な小売企業、米国連邦政府の組織に影響を与えます。これらすべては、当社がペネトレーション技術を調査した20を超えるペンテスト業者によって作成されたマルウェア、フィッシングルアー、コマンドアンドコントロール(C2)インフラストラクチャによって公開されたものです。

  • プライバシーや機密性に関するクライアントの期待に応えることや、ならびにヨーロッパの一般データ保護規則(GDPR)などの法規制要件に対するペンテスト業界のコンプライアンスに関して、新しい不穏な疑問が生じています。

  • ネットワークを保護する側の使用が想定された、ペンテスト業者が生成したマルウェアやハッキングツールのスイートの多くが、国家主導の脅威アクターや犯罪組織の脅威アクターの手に渡っています。これらは実際の多くの攻撃で使用されており、攻撃者の身元や属性の特定が困難になっています。

  • ペンテスト業者向けの現実的、倫理的、法的なガイドラインの概要を説明しています。また、クライアント向けの業界全体の標準が存在しないことによる影響についても説明しています。

このレポートの目的は、他の研究者、ペンテスト業者、そして最も重要な点として業者のサービスを受けるクライアントに対して適切な知識を提供する試みを通じて、セキュリティ研究者の観点からペンテストの視点を提供することです。ペンテストのベストプラクティスに関して一般的に受け入れられる一連の標準を作成する取り組みを触発するための対話を促すことを期待して、ペンテストの活動で発生する可能性のあるネガティブな結果に関して説明しています。

レポート全文のダウンロードはこちら

Tags: