イエラエ CSIRT支援室 第 25 回 システムに侵入したペンテスターが、よく目にする脆弱性とは？

※この記事は 2021 年 8 月 20 日公開のYouTube動画を元に記事化されました※

　セキュリティの専門家が攻撃者と同じ視点でシステムに侵入し、機密情報、個人情報などの情報資産の奪取を試みる「ペネトレーションテスト」。脆弱性診断が網羅的にシステムの脆弱性を評価するのに対し、ペネトレーションテストは機密情報、個人情報などの情報資産に対する脅威への対策状況を評価します。

　ホワイトハッカーで構成されたセキュリティ脆弱性診断企業、株式会社イエラエセキュリティによる「イエラエセキュリティ 脅威動向レポート」の第 4 回目は引き続き、イエラエセキュリティ 高度解析課 三村聡志氏と、イエラエセキュリティ ペネトレーションテスト課でさまざまなペネトレーションテストを担当しつつ、「ハッカーの学校 ハッキング実験室」「ハッカーの学校 IoTハッキングの教科書」「ハッカーの技術書」の著書を持つ村島正浩が、ペネトレーションテストで実際に最近、よく見つかる脆弱性を取り上げます。

●案件のなかで最近、よくある脆弱性は？

三村聡志（以下、三村）：最近、いろいろな案件に携わっているなかで「これは対策されていなくて、よくないな」とか、逆に「ペネトレーションテスト的には、これが残っていて助かるのだけれど、セキュリティ面からはつぶしておいてほしい」というような脆弱性には、どのようなものがあるでしょうか。

●意外と進んでいるプリントナイトメア対策

村島正浩（以下、村島）：最近、PrintNightmare（プリントナイトメア）が話題になって、第 1 回の脅威分析チャンネル（脅威動向レポート）でも取り上げられていました。その際、我々はちょうど、あるお客様のペネトレーションテストを実施していて、プリントナイトメアの脆弱性があるかどうかをチェックしていました。テストの段階としては、すでに定められたシナリオゴールは達成し終えていましたので、補足的にお客様に有意義な情報を提供するために、継続して調査を行っていたところでした。

プリントナイトメアに関して言えば、当社がペネトレーションテストを担当させていただくようなお客様は、すでに対策を終えているケースが多いです。我々も少し驚きました。

三村聡志（以下、三村）：さすがにペネトレーションテストを依頼されてくるようなお客様は、すでにいろいろと対策をされているわけですね。

●設定漏れ、設定不備を突く

村島：そういった意味では、我々が行うペネトレーションテストでは「対策されていなくてまずい」というような脆弱性、つまり、「この Window の、このバージョンにはエクスプロイトがあるから、それを使って侵入する」という方法はあまり採りません。どちらかというと、お客様の社内ネットワークを探索して、まず、設定漏れ、設定不備などを見つけて、次にエクスプロイトがあれば、そこを突くという方法で進めます。

●Linuxサーバーの権限昇格

例えば、この図で言えば、「管理者権限を取得して、Linuxサーバーから重要な情報を奪取する」というシナリオゴールが設定されています。その場合は、Linuxサーバーに一般ユーザーとして侵入したのちに、権限昇格などが可能な脆弱性があるか、もしくは管理者（ルートユーザー）のパスワードがどこかの端末に保存されていないか、というような観点で調査していきます。Linuxサーバーの権限昇格に関して言えば、我々がシナリオゴール達成を目指す場合には、脆弱性を使った権限昇格が多くなっていると言えます。

それ以外では「どういった脆弱性が多かったか」という質問には、あまり具体的な答えはありません。結局、お客様固有の環境のなかでエクスプロイトが利用できるかどうかが問題になります。エクスプロイトを発見したときは、まず、エクスプロイトがどのような挙動をするかを手元のローカル環境で調査したうえで、お客様の環境での実施許可をいただいて、実施していきます。

●社内IT担当者の油断

三村：そういった意味では、脆弱性よりも社内IT担当者が作成した「便利な初期化スクリプト」のようなものがペンテスターのターゲットになるわけですね。

●ローカル端末だと安心する

村島：そうですね、そういった事例が多くなります。やはり皆さん、自分のローカル端末については、安心されていることが多く、パスワードが平文のまま保存されていることがあります。さらにドメイン管理者など、高い権限を持つアカウントが、一般ユーザーの端末にまったく同じパスワードでログインできるようになっている環境の場合は、そのまま一般ユーザーの端末に侵入して調査を続けることが多いです。

●ブラウザのクッキー

三村：一般ユーザーの端末のクリップボードとか、ブラウザのクッキーとか、そういう類の情報ですね。

村島：ブラウザのクッキーの場合は、例えば、そこから社内コミュニケーションツールの Slack にアクセスして、何か有益な情報が入手できるかどうかを試したり、あるいは、Office365 にログインして、情報が取れないかどうかを探ったりします。

●Office365のセッション情報

三村：Office365 のセッション情報を探ることができると、結構、いろいろなことがわかりますからね。

村島：そうですね。さらに高い権限を持ったアカウントの場合は、ペネトレーションテスト的には別の要素も生まれます。つまり、Office365 などのサービスになってくると、さらに Azure AD（Active Directory）が存在するかとか、Azure AD とオンプレミスの AD が連携されているかなどを調べていくことができます。あるいは、奪取できたアカウントユーザーの権限で、さらに他のアカウントなどにアクセス可能になるパーシスタンス（Persistence：永続化）的なことができるかなど、ペネトレーションテストとしては、別の局面に入っていきます。ペネトレーションテストなのでスコープ次第で、いろいろなケースがあります。

●ペネトレーションテストはイエラエへ

村島：ペネトレーションテストによる疑似攻撃で、攻撃者がゴール設定した機密情報などに到達したという実証は、IT担当者をはじめ社内関係者に心理的インパクトを残します。サイバーセキュリティにおいては、防御側よりも攻撃側が有利という事実の理解にもつながり、社内のセキュリティに対する意識をより一層高めることができます。

ペネトレーションテストのご依頼をご希望される方はこちら