ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習（2/6 ページ）

[高橋睦美，ITmedia]

脆弱性診断などが奏功、無事対処

　1つ目は、名刺管理サービス「Sansan」や請求書管理サービス「BillOne」に対する直接的な攻撃だ。攻撃者と同様、外部から脆弱性を狙ったり、一般ユーザーを装ったアカウントを作成して攻撃を試していったりしたが、いずれも無事に検知・対処できたという。

　「Webアプリケーションについては、脆弱性がないようエンジニアがしっかり作り込んでいた上に、それまで行っていた脆弱性診断が功を奏した。またWAFやEDRといったセキュリティ製品でもシャットダウンできた」（Sansan CSIRT Redチームリーダー　黒澤綾香さん）

　イエラエ側も、本当の攻撃者の振る舞いに近づける工夫はしていた。「一般的なペネトレーションテストでは診断用の特定のIPアドレスから通信を行うが、今回は、海外のサーバを複数借り、そこのIPアドレスを経由して調査した。また脆弱性を探す際には非常に大量の通信が発生し、それが怪しまれるポイントになるが、今回は目立たないよう、一般の利用者になりすましながら探索した」（イエラエ 片岡玄太さん）

　さらに、偽の法人や個人事業主の経歴を用意してまでアカウントを作成し、侵入を試みたが、SOCがうまく機能して次々に利用停止にされたという。