ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習(3/6 ページ)
標的型攻撃メールから物理侵入まで、Sansanが本当にやった何でもアリなセキュリティ訓練。携わってメンバーに話を聞いた。
“第二波”標的型攻撃メールも無事に対処
2つ目は、いわゆる標的型攻撃メールによる侵害の試みだ。ただし、これも「不審なメールを受け取ったという報告が社内から上がって来て、すぐにメールの内容を解析し、隔離することで、侵害に至らなかった」(黒澤さん)
というのも、Sansanでは毎年、標的型攻撃メール訓練を実施しており、注意の意識が身についていたという。中には訓練中、うっかりリンクをクリックし、開いてしまう人もいるが「それ以上に何倍もの報告がSOCに上がってくる状況。訓練は確実に効果があると思う」と黒澤さん。
ただ、人の判断だけに頼るのはナンセンスであることも承知しており「人間なので100%は難しい。そこはシステムでカバーし、いかに兆候を捉えて閉め出していくかが重要かなと思っている」(黒澤さん)と続けた。
イエラエ側も「LinkedInなどのSNSからメールアドレスを収集し、フィッシングメールを送付したが、トレーニングが行き届いているのか、早い段階で『怪しいメールが来ている』との連絡があり、侵入はなかなかうまくいかなかった」(片岡さん)
ただ、現実の世界では、より巧妙なフィッシングが仕掛けられる恐れもある。今回の演習では2カ月というテスト期間内での試行だったが、「実際の攻撃者であれば、感づかれたとしても少し時間を置いて再度フィッシングを仕掛けることもある。(ビジネスメール詐欺のように)偽の会社名を名乗って信頼関係を築いた上で攻撃してくることもあるため、テスト期間内にできることには限界がある」(イエラエ サイバーセキュリティ事業本部執行役員 サイフィエフ・ルスランさん)
いずれにせよ「この2つのパターンは、現実の攻撃でも多く見られるもの」(ルスランさん)といい、いかに普段からの備えが重要かが分かる。イエラエ独自のツールを用いてチェックしても、定期的な脆弱性診断やペネトレーションテストが効果を発揮し、規模の割に、クリティカルな問題は見つからなかったという。
なお、ここまでの手口はあくまでSansanを対象に、目的を踏まえて計画されたものであって、他のレッドチーム演習でも同様の手法が用いられるとは限らない。マニュアルがあるわけではなく、顧客の懸念をヒアリングし、時には調査中に怪しいところを見つけ、掘り下げながら実施しているという。
関連記事
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練
「自社のDB破壊しCEOに身代金要求」──2021年にこんな障害訓練を実践したfreeeが、今年も新たな訓練を実施。今回のシナリオは?“自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く
「自社のDBを破壊し、CEOに身代金を要求する」訓練を実施し話題を集めたfreee。全社を巻き込んだ訓練で、経営層は当時どんな教訓を得たのか。同社の佐々木大輔CEOに聞く。“わざと自社にサイバー攻撃”のシナリオを自動生成するツール 三菱電機が開発 ペネトレーションテスト支援
三菱電機が「ペネトレーションテスト」のシナリオを自動生成するツール「CATSploit」(キャッツプロイト)を発表した。同様のツールは世界初という。
Copyright © ITmedia, Inc. All Rights Reserved.