レッドチームの攻撃期間は1~2週間
SOC運用やインシデント対応を行うブルーチームの側から、今はレッドチームへと活躍の場を移した羽田。Team Vによるサイバー攻撃演習はどのような流れで行われているのだろうか。
羽田によると、まずは2~3カ月程度の偵察期間が設けられるという。Team Vには前述の通り、例えばOA環境に対して検証を行う場合、マルウェアに感染して乗っ取られたという想定のもと、一般社員と同じ権限を有したアカウントとPCが貸与される。発行される社員アカウントは基本的に偽名だ。Black HatやCODE BLUEなど有名セキュリティカンファレンスへの登壇経験も豊富な羽田をはじめ、Team Vのメンバーのほとんどはセキュリティ業界では知られた存在。一度、本名でアカウントを作成した際、レッドチームである可能性を疑われたことがあるからだ。
Team Vによるサイバー攻撃演習が進行中であることは、セキュリティ担当部署のマネージャーにしか通常は知らされない。つまり、ターゲット組織のセキュリティ担当部署、すなわちブルーチームは普段と同じ状況下でレッドチームを迎え撃つことになる。
実際に模擬攻撃を仕掛ける本番期間は1~2週間だ。偵察期間中に調べ上げた“穴”を突いて、管理者権限などを奪取していく。痕跡を周到に消しながら攻撃を仕掛ける彼らが、演習期間中に攻撃を阻止されたことは一度もない。
ただし、疑似攻撃を成功させることが、Team Vの役割ではない。演習によって課題を見つけ、さらなる強化策を提案することが本当のミッションだ。「インターネットで調べれば出てくるような対策は、我々のような攻撃者であれば回避できるという前提での対策の提案です。ですから、チーム内で議論を相当重ねたうえで提案します」
その提案内容は非常に高度なものと想像できるが、羽田が「一番重要」と強調した対策については、努力すれば簡単に実行できそうなものだ。
「どんな些細な事象でも、『こんなログが出ているが、心当たりはあるか』とユーザーにヒアリングすることが一番重要です。それで「いや、そんなことしていません」といった答えが返ってきたとき、サイバー攻撃の可能性を疑い、きちんとインシデント対応を進められるかどうか――。それが今、セキュリティ組織に問われていることだと思います」
講演をはじめ、様々な情報発信に熱心に取り組む羽田。その一環として「NTTセキュリティテクニカルブログ」(https://jp.security.ntt/tech_blog)へも寄稿している
次は突発的なサイバー攻撃演習
これまでTeam V側から宣言して実施することが多かったサイバー攻撃演習だが、NTTグループ内の認知度が上がった最近は、グループ会社の側から「やってほしい」とリクエストをもらうことも増えてきたという。
次のステップの1つは、よりリアリティのあるサイバー攻撃の演習を行うことだ。本物の攻撃さながらに、攻撃日時や手法は事前にマネージャークラスにも伝えない。
「重大な脆弱性が発見された際、各社が本当にパッチを当てたかどうかは、実際に攻撃してみないと分かりません。そこでNTTグループ全体に対して、攻撃者より早く危険な脆弱性を発見していく仕組みを整えているところです」
Team Vでの活動を中心に、SOC運用サービスにも今も携わる羽田は、さらにアカデミアの世界にも籍を置き続けている。それが、羽田ならではの成果を出し、感謝され続けるために必要なことだと考えているからだ。
「レッドチームでいろいろと検証している最中に発見した新しい攻撃手法について、今年もBlack Hatで発表させてもらいました。また、学会のコミュニティ運営などもやらせてもらっています。研究者の視点で脆弱性などの問題に取り組み、ビジネス視点で運用に落とし込んで世の中へ送り出す――。そんな両方の世界を股にかけた仕事をやっていきたいと思っています」
<お問い合わせ先>
NTTセキュリティ・ジャパン
URL:https://jp.security.ntt/