「想定している脅威より、現実の脅威の方が複雑でレベルが高い。セキュリティ対策に求められる知識が増えている」——こう語るのは、トライコーダ 代表取締役の上野宣氏だ。2023年1月17日に開催された「TECH+セミナー セキュリティDay ゼロトラストの実現に向けて」では、ペネトレーションテストを提供する立場から、従来の境界型セキュリティとゼロトラストモデルに対する攻撃手法、対策について解説した。
攻撃者が境界型セキュリティを突破する方法
ペネトレーションテストは、システム構成要素の問題点をそれぞれ網羅的に探す脆弱性診断に対し、セキュリティの総合力を高めるためのテストであるとする上野氏。「ペネトレーションテストは、セキュリティ対策のレベルがある程度成熟している組織が実施するとより効果が見込める」と説明する。例えば、標的型攻撃のような明確な意図を持った攻撃を考える場合、ペネトレーションテストでは、その目的を達成することが可能であるか、マルウェアやフィッシング、物理アクセスなどあらゆる手法を使って攻撃者と同じ立場から検証を進めていく。
こうした攻撃者の視点から見ると、従来の境界型セキュリティに対して最初にやりたいことは、RAT(Remote Administration Tool/Remote Access Tool)と呼ばれる遠隔操作を可能にするツールを内部ネットワークの端末にインストールすることだ。特殊なツールを用いると検知される場合もあるので、OS標準機能をはじめ侵入環境にあるソフトウエアなどを利用したLOLBaS(Living Off The Land Binaries and Scripts)攻撃も多く使われる。
RATを仕込む手段としては、メール経由が一般的である。上野氏は「攻撃者は、従業員のコンピューターでURLや添付ファイルをいかに開かせるかという視点で考える」と話す。VPSやリモートデスクトップなどリモートアクセス経由で、不正に得た認証情報や脆弱性を利用して突破するケースも多い。他にも水飲み場型攻撃やUSBなどの物理メディアなどを利用する方法もある。