※この記事は 2021 年 8 月 20 日公開のYouTube動画を元に記事化されました※
セキュリティの専門家が攻撃者と同じ視点でシステムに侵入し、機密情報、個人情報などの情報資産の奪取を試みる「ペネトレーションテスト」。脆弱性診断が網羅的にシステムの脆弱性を評価するのに対し、ペネトレーションテストは機密情報、個人情報などの情報資産に対する脅威への対策状況を評価します。
ホワイトハッカーで構成されたセキュリティ脆弱性診断企業、株式会社イエラエセキュリティによる「イエラエセキュリティ 脅威動向レポート」の第 7 回目は、第 6 回の後編として、イエラエセキュリティ 高度解析課 三村聡志氏と、イエラエセキュリティ ペネトレーションテスト課で実際にさまざまなペネトレーションテストに携わり、また「ペネトレーションテストの教科書」の著者でもある川田柾浩が「OSINT」について解説します。
●印象的なペネトレーション案件
三村:さまざまなペネトレーションテストを担当されたなかで、「これは突破できて、うれしかった」という印象的な案件はありますか。
川田:ネットワーク機器のゼロデイ脆弱性を見つけた時は気持ちが高揚して、「こんなふうに侵入できてしまうのだな」と実感しました。セキュリティは何重にも対策する必要があることを示すことができたと思います。また漏洩していた認証情報を収集して侵入できた時は、お客様が OSINT型のペネトレーションテストに一番求めていることであり、最も懸念されていることですので、貢献できたうれしさを感じます。
三村:「ペネトレーションテスト課がネットワーク機器のゼロデイを見つけた」という情報は時々伝わってきて、私も驚かされます。また、漏洩した認証情報がまだ生きていた、使えてしまうことは、ペネトレーションテストを行う側としては「侵入を達成できた」となりますが、企業様側から見れば、大きな問題と言えます。
●パスワードは使い回さない
川田:漏洩情報で SaaS にログインできると、業務への影響は大きくなります。今は SaaS が広く使われているので、内部情報に広範囲にアクセスできることになってしまう。認証情報の漏洩は「外部サイトにパスワードを使い回さない」というような基本的なことで対策できますので、社員教育が重要になります。
三村:基本的な対策ですが、パスワードの使い回しの影響は大きい。具体的な事例として聞くと、より実感します。
●侵入できなかった事例
三村:逆に侵入を試みようとして失敗してしまったという事例はありますか。
川田:漏洩情報で SaaS の認証情報が特定できたとしても、IPアドレス制限がかかっていると、ログインには至らないので攻撃者としては大きな壁の 1 つになります。Microsoft 365 であれば、IPアドレス制限が徹底されていない場合でも、攻撃者としてイエラエがログインする行為は、普段とは異なる IP からのログインになり、Microsoft 365 からメールで送られてくるロック解除用のコードを見ることができなければログインには至りません。ペネトレーションテスターにとっては、大きな壁になります。IPアドレス制限がかかっていると、フィッシングも厳しくなります。導入していただくと、攻撃者にとって大きな壁の 1 つになります。
●IPアドレス制限やハードウェアキーの活用
三村:出張でロシアに行った時は IPアドレスが変わってしまい、普段ログインできているサービスにログインできなくなって、Microsoft や Google から警告メールが来ました。IPアドレス制限は攻撃者から見れば壁であり、セキュリティ対策としては重要です。
ワンタイムパスワードも、例えば YubiKey が使われていると、ネットワークから侵入してもパソコンを触っている人が YubiKey を押さない限りは手が出せない。そうしたものを組み合わせることも効果があります。ペネトレーションテストから見れば失敗例が増えることになりますが、セキュリティの面から見ると有効な手段です。
VPN や GitHub など、特定のサービスにログインする際に、鍵のマネージャーとかエージェントがパソコンの中に常駐していて、ID とパスワードを入力しなくても、エージェントが立ち上がっていればログインできる。あるいは、VPN も秘密鍵を使っているけれど、外部キーになっていなくて、パソコンの内部ですべて完結してしまっているなど、「あと一歩足りない」セキュリティ環境になっている企業様もおられます。そうした場合は、どこかをハードウェアキーに替えるとセキュリティ強化につながります。
川田:外部の攻撃者への対策としては有効です。ただし、端末内にマルウェアを使って侵入されてしまっている場合は、ハードウェアキーをタップした瞬間にワンタイムパスワードも取られてしまうケースがあります。外部からの侵入に対する対策としては有効な対策ですが、完全に安心できるわけではないことに注意が必要です。
●ダークウェブではなく、クリアウェブで情報収集
三村:OSINT は、ダークウェブに潜るとかではなく、普通に世の中に出回っている情報を収集し、連携させて、タグ付けすると攻撃者にとって有効な情報になるという話と言えます。
川田:ダークウェブは、すでに漏洩している情報が存在しないか、変な情報がアップされていないかなどをチェックしますが、直接的な情報収集は GitHub などの、いわゆるクリアウェブ(誰でもアクセスできるウェブ)が一番有効です。
三村:GitHub に、誤ってキーをアップロードしてしまったという事例もあります。あとはユーザー名とかパスワードがソースコードに含まれていることもある。ダークネットを探らなくても、クリアウェブの情報を収集するだけで、かなりの情報を入手できます。
川田:Intelligence X など、ダークウェブの情報を収集できるサイトがあり、利用することはありますが、メインはクリアネットの調査です。
●GitHubの使い方に注意
川田:実際に対象企業様の情報を GitHub で調査していた時に、別の企業様のレポジトリが見つかり、開発した製品のソースコードが丸見えの状態になっていたことがありました。マニュアルもアップされていて、どのサイトのソースコードかもわかる。DB の認証情報がそのまま入っていました。その他、レポジトリには、Microsoft 365 で使うアラート用メールアドレスの認証情報がありました。
三村:ソースコードが丸見え状態というのは、かなりの驚きですね。
川田:パブリックにしてはいけないレポジトリをパブリックにしてしまったという状態だと思います。
三村:自社での開発作業はもちろん、業務委託などで仕事を依頼する際にも十分な注意が必要になります。
川田:ソースコードが漏洩していると、脆弱性を探しやすくなり、攻撃者にとっては有利になります。
三村:Microsoft 365 の認証情報が漏洩していた場合、Azure AD など社内の認証にも同じものが使われていて、なおかつユーザーのグループ設定にミスがあったりすると、さらに大変な状況になります。
川田:Microsoft 365 の内容が全部見えてしまうことになるので、二重・三重にミスが重なると、取り返しのつかないことになります。
三村:通知用メールアドレスのためにユーザーを作ったけれど、ユーザー設定が一般になっていて、ログインできてしまうこともあったりします。GitHub の件は、起こりそうなことですね。GitHub、あるいはソースコードを管理している技術者が、自動テストや自動ビルドの結果の送り先としてメールアドレスを設定することはよくあります。ですが、メールアドレスはそれ以外にも転用されてしまう状態になります。
川田:GitHub は本当に気をつけていただきたいです。
●OSINTはイエラエへ
OSINT は、公開された情報を分析し、システムへの侵入が可能かどうかを検証します。調査結果を利用した侵入、情報奪取の試行も可能です。イライエのペネトレーションテストはお客様の想定脅威を確認し、OSINT をはじめ、標的型攻撃(疑似マルウェア型)、Webペネトレーションテスト、物理環境、調査特化型など、最適なプランをご提案します。
