Interop Tokyo 2022出展レポート

これを読めばペネトレが理解できる?!「サンタさんのペネトレーションテスト」物語

シェア ツイート

こんにちは。年の瀬が押し詰まる前に「何か、何か今年の成果を!」と、誰にも何も言われていないのに勝手に焦り始めたブログ担当もちゃじです。

季節に合わせた内容で書けたらなぁなんて考えていたときに、「クリスマスにちなんでみるのは?」との天の声が聞こえてきました。それだ!ということで、今回はクリスマスに絡めて書いてみます。

題して、サンタさんのペネトレーションテスト!!

情報漏洩ニュースのたびに「うちのサイトは大丈夫かな」と心配されていませんか?

脅威に対する「安心」が手に入れば、心配事はなくなります!

サンタさんのペネトレーションテスト物語

【登場人物】

  • 不動…住宅デベロッパーの開発部長。自分の手掛けた住宅の防犯に自信があるものの、毎年クリスマスの時期に担当した住宅へ何者かの侵入を許してしまう。今年こそはその手口や被害を知ろうと息巻いている
  • 出木杉…不動部長の部下。とにかく優秀。なぜかペネトレに詳しい
  • 参田…サンタコンサル。サンタさんのことなら何でも知っているサンタさんのスペシャリスト。行動規範から思想、行動を想像できる人物
  • 家守…防犯専門家
  • 本物の家族…30代の両親、3歳の子どもの3人家族
  • サンタさん…毎年子どものいる家に侵入し、子どものあるものを奪っていく

悩める不動部長と、デキすぎる部下・出木杉

住宅デベロッパーの開発部長不動は悩んでいた。なぜだ。なぜ毎年クリスマスの時期だけ家宅侵入されてしまうんだ!

「不動部長、それプロの仕業ですね。子どもがいる住宅を狙って深夜に侵入して、子どものあるものを奪っていくって、毎年同じやり口です。ああ、サンタさんって呼ばれる老齢の男の仕業みたいですよ」部下の出木杉がPCのモニターから目を離さずに言う。

サンタさんだと?サンタさんってあのサンタさんか?クリスマスの時期だしな。あのサンタさんのことか?

「そういえば世の中いろんな専門家がいますから、探せばサンタさんのスペシャリストもいるかもしれませんね。」

サンタさんのスペシャリスト? 初めて聞いたが、そんな専門家なんているんだろうか。

「いました、サンタコンサル。アポ取ってみますね。」

出木杉、デキる。ボーナスの査定が終わっているのが惜しいところだ。

出木杉、淡々と交渉し、すんなり契約成立。サンタコンサルの協力のもと、ペネトレーションテストをやるらしい。私はもっと、どうやって侵入されてしまったのか、何を盗まれているのか、デベロッパーとしての想いや熱意を伝えたかったのだが、最近は人情派ははやらないようだ。あっさりサンタコンサルの参田氏から協力を得てしまった。出木杉の昇給を検討するか。

「せんえつながら、ペネトレーションテストをしてもらうなら防犯の専門家も必要だと思い、アポ取ってあります。」

昇給決定だな。

一触即発!レッドチーム vs ブルーチーム

サンタコンサルの参田氏には、サンタさんが狙いそうな子どもがいる住宅に疑似攻撃をしてもらうことになった。参田氏をレッドチーム(攻撃)とする。

次に、ペネトレを行うサンタさんが狙いそうな住宅の手配も必要だが、それは出木杉に任せる。すでに当たりを付けていることだろう。

「30代の両親と3歳の子どもがいるご家庭に、ご自宅を防犯モデルとして協力いただけないか交渉します。条件は、全ての防犯設備をオンにした状態、12月に実際に防犯テストを行う、謝礼を出す、で問題ないでしょうか?」

無論問題ない。優秀な部下が実務を引き受けてくれている間、私は思考を整理することができるのだ。あ、そうだ。過去にペネトレを行ったハッカーが逮捕される事件があったな。事前に警察に伝えないとまずいな。

「2019年9月にアメリカのアイオワ州で起こったレッドチーム逮捕の件ですよね。ご家族から防犯モデル協力のOKが出たら、管轄の警察署にペネトレを行う旨と正確な日時を連絡します。」

出木杉には私が言うことなど何もないのかもしれない。

ご家族の協力を得られたので、防犯専門家の家守氏と私、出木杉をブルーチーム(防御)とし、警察にペネトレ実施の旨を伝える(出木杉が)。

 思えばレッドチーム、ブルーチームは初回会議時からバチバチだった。

会議冒頭でまず家守氏がブルーチームの勝利を宣言する。住宅の間取り、家族のセキュリティ意識の調査結果、防犯設備の仕様書を見て確信したらしい。個人住宅であるにも関わらず完璧な防犯設備というのがその根拠のようだ。それはそうだ。私が携わった住宅なのだからな。

「私が描くサンタ像から侵入シナリオを計画してみたところ、残念ながらアリの子いっぴき入る隙間すらありませんでした」私は家守氏の鼻の穴がふくらむ様子を見ていた。 

対して参田氏、 彼もレッドチームの勝利を確信している。ブルーチームはサンタさんのことを全く分かっていないらしい。侵入シナリオは穴だらけだ、と。そうなのか?

「私が本物のサンタさんを見せて差し上げます」彼の口の端は終始上がりっぱなしだった。 

互いに勝利を譲らない両者の間でひともんちゃくあったが、出木杉がなんとか収めてペネトレのゴールを「住居に侵入して、大切なものを盗む」と定めた。出木杉の特別賞与支給決定の瞬間だ。 

もろもろの事前準備は整った。ここからが実際のサンタさんのペネトレーションテストだ!

ここからの説明は出木杉に任せることにする。

ペネトレ実際の動き

出来杉です。時系列に沿ってペネトレーションテストを説明します。

1日目(初期調査)

レッドチームはまず、ターゲットである企業・組織、場合によってはその企業の製品について調査するところから始めます。

今回の初期調査では、SNSなどを使って両親がサンタさんについてどのように思っているのかを調査します。調べたところ、父親は懐疑的、母親はサンタさんの存在を信じ切っていました。

2日目(デリバリ)

初期調査を終えると、デリバリと言われる段階に移ります。デリバリでは、ターゲット社員にウイルスメールを送ったり、マルウェアを仕込んだUSBメモリを渡したりといった模擬攻撃を実施します。

今回は母親にターゲットを絞って、参田氏扮する偽サンタの背格好や、家に来る状況など、参田氏(ペネトレ執行者)が安全だということを刷り込んでいきます。同時にSNSとメールでもコンタクトを取り、子どもの好きなものや欲しいものなどの情報も聞いておきます。

3日目(環境構築)

デリバリでターゲットの端末を遠隔で操作できるようになったら、環境構築段階に入ります。

今回は、参田氏が本物のサンタさんのアシスタントの体で(一人二役の大活躍)、母親に接触します。合鍵を作ってもらい、防犯装置をOFFにする時間帯を決め、侵入の準備を進めていきます。母親から自宅の間取りももらっておきます。

4日目(権限奪取)

サーバーやID、パスワードなどの情報を取得したら、企業・組織のドメイン管理者権限の奪取を試みます。

今回は母親を利用して、懐疑的だった父親の説得を試みます。

5日目(侵入)

シナリオに沿って、侵入していきます。

シナリオに沿って、参田氏がサンタさんの格好で玄関に到着。合鍵で玄関を開け、見つからないようにそーっと侵入します。子ども部屋まで間取りを見ながら侵入していき、プレゼントのぬいぐるみを置きます。

ここから参田氏は、さらに侵入します。リビングの隣の金庫が置いてある和室へ移動。事前に聞いていた子どもの誕生日で金庫が開きました。参田氏は子どもが本当に欲しがっていたものをプレゼントとして金庫に残していきます。両親はともにサンタさんが来て子どもが喜んだ、と思っています。金庫が開けられたことにはすぐには気づいていません。

6日目(報告)

テスト結果をまとめ、報告書を作成します。

結論、やつはとんでもないものを盗んでいきました。子どもの心です。

今回、住居への侵入は簡単に達成され、なおかつ金庫の鍵を開けても中のものを奪取することなく、むしろプレゼントを残していくことで金庫の鍵が開いた事実を知らせています。参田氏は2段階で子どもへのプレゼントを用意したことで子どもの心をガッツリつかみ、奪うことに成功しました。

自宅の防犯においては、問題点がいくつか洗い出される結果となりました。

侵入の手口と被害状況を知りたかった不動部長ですが、ブルーチームがやすやすと負け、結果について考え込んでしまったようです。

さすがはサンタさんだ。いや、侵入したのは参田氏だが、本物のサンタさんであれば金庫の鍵も開けられるということか。子どもの心を奪うことにかけてはあっぱれとしか言いようがない。サンタさんがいるから世の子どもたちの笑顔もあることだろう。サンタさんには子どもたちへプレゼントを届け続けてほしい。だがしかし、住宅の防犯は、これで、これで良いのだろうか。もしこれがサンタさんを装ったサンタ強盗だったらと考えると胃が痛い。

サンタさんと防犯・・・・・・

答えが出ないまま不動部長の夜が更けていく。

今回登場した用語

ペネトレにおけるレッドチーム組織の評価を行う際の演習やロールプレイングで侵入するチームのこと。攻撃側
ペネトレにおけるブルーチームレッドチームに対し、それを防御するチームのこと

あなたのWebサイトも、脅威に対する「安心」を手に入れませんか?

ふぅ•••書き終えた

サンタさん、スペシャリストすぎんか!ホワイトハッカーなんか!

参考サイト

https://github.com/ueno1000/about_PenetrationTest

ライター/もちゃじ

IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。

ITド素人の私がWebセキュリティについて学び、レベルアップしていく(予定です)様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。

シェア ツイート

カテゴリー

キーワード