CompTIA Goldパートナー「トップアウトヒューマンキャピタル」でPenTest+やCASP+の講師も担当しているサイバーセキュリティアドバイザーより、人材育成やスキルアップのコラムをお届けします！

Top Out Human Capital（トップアウトヒューマンキャピタル）
https://www.topout.co.jp/

最近の私はと言うと３月、4月と非常に興味深い複数のサイバー攻撃に係るインシデントレスポンスおよびデジタルフォレンジックをしていました。詳しい内容は秘密保持契約があるため書く事ができないのですが、サイバー攻撃の足跡を解析し、事実と推理によって攻撃内容を明らかにする工程は、何度経験してもやり甲斐のある仕事だなと思いました。

今回は、前回のコラムで書いた、
「標的型攻撃の全貌を明らかにするデジタルフォレンジック」
「同じ攻撃が発生した際に防御または検知のためのペネトレーションテスト」
について説明します。

「標的型攻撃の全貌を明らかにするデジタルフォレンジック」

特に犯人検挙が目的ではないデジタルフォレンジックの目的は、
・機密情報などの漏えい有無の明確化
・被害状況の確認
・攻撃内容を明らかにし、新たな防御 / 検知策を検討
ということになると思います。

(攻撃内容を明らかにする例)
攻撃者がターゲットに侵入した後に、ラテラルムーブメントと呼ばれる更なる侵入拡大にWindowsの管理共有を悪用したとします。このようにデジタルフォレンジックによって、攻撃テクニックを解析することで、管理共有を無効にしたり、Windows Defender ファイアウォールで制御したりするといった対策を検討、実施することができます。


「同じ攻撃が発生した際に防御または検知のためのペネトレーションテスト」

ペネトレーションテストの目的の一つは、
・対策を実施した後に本当にそれが有効かどうかを検査すること
です。

さらに、攻撃者がラテラルムーブメントを行うには管理共有の悪用以外に、SSH (Secure Shell)やRDP (Remote Desktop Protocol)の悪用といった様々な方法があります。
その他の攻撃テクニックも、ペネトレーションテストで検査することができれば、事前対策として、環境をより堅牢化することに役立てることができます。

なお、このようなサイバー攻撃の攻撃戦略、攻撃テクニック、手順はMITRE ATT&CK※1によって形式知にされていることがよく知られています。また、CompTIAのPenTest+やEC-CouncilのCEH (Certified Ethical Hacker)、SANSのSEC504 (Hacker Tools, Techniques, Exploits, and Incident Handling)などのセキュリティトレーニングを通じて攻撃手法を学ぶことも出来ます。

攻撃の被害に遭う前に、
・先を見越してこのような知識を基に情報システムを堅牢化
・堅牢化された環境に同様の攻撃をペネトレーションテストで検証
といった流れがあれば国家主導の標的型攻撃までは防げないにしても、多くのサイバー攻撃には耐えられるかも
しれません。


新年度がスタートして1か月半が経ち、新たな一年に向けて、スキルアップに向けた学習計画を立てている方も多いかと思います。サイバー攻撃を解析する能力であるデジタルフォレンジック、擬似攻撃を行うペネトレーションテストは、数あるサイバーセキュリティの業務においても挑戦しがいのある業務だと思います。
先に挙げたセキュリティトレーニングはそのような仕事への第一歩となり得ますので、この機会に検討するのも良いのではないでしょうか。

（本コラムは、トップアウトヒューマンキャピタルが配信するメールニュース掲載のコラムを一部編集の上掲載しています。）