インタビュー
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習(2/6 ページ)
標的型攻撃メールから物理侵入まで、Sansanが本当にやった何でもアリなセキュリティ訓練。携わってメンバーに話を聞いた。
脆弱性診断などが奏功、無事対処
1つ目は、名刺管理サービス「Sansan」や請求書管理サービス「BillOne」に対する直接的な攻撃だ。攻撃者と同様、外部から脆弱性を狙ったり、一般ユーザーを装ったアカウントを作成して攻撃を試していったりしたが、いずれも無事に検知・対処できたという。
「Webアプリケーションについては、脆弱性がないようエンジニアがしっかり作り込んでいた上に、それまで行っていた脆弱性診断が功を奏した。またWAFやEDRといったセキュリティ製品でもシャットダウンできた」(Sansan CSIRT Redチームリーダー 黒澤綾香さん)
イエラエ側も、本当の攻撃者の振る舞いに近づける工夫はしていた。「一般的なペネトレーションテストでは診断用の特定のIPアドレスから通信を行うが、今回は、海外のサーバを複数借り、そこのIPアドレスを経由して調査した。また脆弱性を探す際には非常に大量の通信が発生し、それが怪しまれるポイントになるが、今回は目立たないよう、一般の利用者になりすましながら探索した」(イエラエ 片岡玄太さん)
さらに、偽の法人や個人事業主の経歴を用意してまでアカウントを作成し、侵入を試みたが、SOCがうまく機能して次々に利用停止にされたという。
関連記事
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練
「自社のDB破壊しCEOに身代金要求」──2021年にこんな障害訓練を実践したfreeeが、今年も新たな訓練を実施。今回のシナリオは?“自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く
「自社のDBを破壊し、CEOに身代金を要求する」訓練を実施し話題を集めたfreee。全社を巻き込んだ訓練で、経営層は当時どんな教訓を得たのか。同社の佐々木大輔CEOに聞く。“わざと自社にサイバー攻撃”のシナリオを自動生成するツール 三菱電機が開発 ペネトレーションテスト支援
三菱電機が「ペネトレーションテスト」のシナリオを自動生成するツール「CATSploit」(キャッツプロイト)を発表した。同様のツールは世界初という。
Copyright © ITmedia, Inc. All Rights Reserved.