デジタルフォレンジック、ペネトレーションテストの目的とは？

サイバーセキュリティ関連コラム～第5回～

デジタルフォレンジックとペネトレーションテストによる対策と検証

今回も、クラウドセーフ株式会社の平原氏によるコラムをお届けします。同氏は、以下のコースの講師としても活動されており、お客様個別のご要望にお応えするカスタマイズにも対応いただいております。

• CompTIA PenTest+
• CompTIA Advanced Security Practitioner (CASP+)
• CHFI (Computer Hacking Forensic Investigator)

「標的型攻撃の全貌を明らかにするデジタルフォレンジック」

今回は、前回のコラムで書いた、
「標的型攻撃の全貌を明らかにするデジタルフォレンジック」
「同じ攻撃が発生した際に防御または検知のためのペネトレーションテスト」
について説明します。

特に犯人検挙が目的ではないデジタルフォレンジックの目的は、
・機密情報などの漏えい有無の明確化
・被害状況の確認
・攻撃内容を明らかにし、新たな防御 / 検知策を検討
ということになると思います。

(攻撃内容を明らかにする例)
攻撃者がターゲットに侵入した後に、ラテラルムーブメントと呼ばれる更なる侵入拡大にWindowsの管理共有を悪用したとします。このようにデジタルフォレンジックによって、攻撃テクニックを解析することで、管理共有を無効にしたり、Windows Defender ファイアウォールで制御したりするといった対策を検討、実施することができます。

「同じ攻撃が発生した際に防御または検知のためのペネトレーションテスト」

ペネトレーションテストの目的の一つは、
・対策を実施した後に本当にそれが有効かどうかを検査すること
です。

さらに、攻撃者がラテラルムーブメントを行うには管理共有の悪用以外に、SSH (Secure Shell)やRDP (Remote Desktop Protocol)の悪用といった様々な方法があります。その他の攻撃テクニックも、ペネトレーションテストで検査することができれば、事前対策として、環境をより堅牢化することに役立てることができます。

なお、このようなサイバー攻撃の攻撃戦略、攻撃テクニック、手順はMITRE ATT&CK(外部リンク)によって形式知にされていることがよく知られています。また、CompTIAのPenTest+やEC-CouncilのCEH (Certified Ethical Hacker)、SANSのSEC504 (Hacker Tools, Techniques, Exploits, and Incident Handling)などのセキュリティトレーニングを通じて攻撃手法を学ぶことも出来ます。

攻撃の被害に遭わないために重要なこと

攻撃の被害に遭う前に、

• 先を見越してこのような知識を基に情報システムを堅牢化
• 堅牢化された環境に同様の攻撃をペネトレーションテストで検証

といった流れがあれば国家主導の標的型攻撃までは防げないにしても、多くのサイバー攻撃には耐えられるかもしれません。

新年度がスタートして1か月半が経ち、新たな一年に向けて、スキルアップに向けた学習計画を立てている方も多いかと思います。サイバー攻撃を解析する能力であるデジタルフォレンジック、擬似攻撃を行うペネトレーションテストは、数あるサイバーセキュリティの業務においても挑戦しがいのある業務だと思います。先に挙げたセキュリティトレーニングはそのような仕事への第一歩となり得ますので、この機会に検討するのも良いのではないでしょうか。

2002年大手セキュリティメーカーに転職後、18年以上、サイバーセキュリティ分野に従事し、マルウェアに関する動向や解析、サイバー攻撃、サイバー犯罪時のコンピュータ等に残された痕跡情報調査の分野（フォレンジック）を担当。その中で、多くの政府・企業・団体におけるサイバーセキュリティ事故対応を経験。ITをもっと安全、安心に利用することで企業成長に貢献したいという想いから2017年3月クラウドセーフ株式会社を創業。現在は、損害保険会社、上場企業、大手製造業、スタートアップ企業等のサイバーセキュリティ技術活用に関する技術顧問やセキュリティトレーニングの講師として活動。

【保有資格】
GIAC Certified Forensic Analyst
CHFI (Computer Hacking Forensic Investigator) 他

平原氏の主な活動等の詳細はこちら(外部リンク)