現代の侵入テストは、コンプライアンス遵守のためのチェックリストや年に一度の脆弱性スキャナーの実行だけでは終わりません。攻撃者は機敏に行動し、手作業による創意工夫を凝らし、重要なデータに到達するまで環境内をくまなく調査する忍耐力を持っています。しかしながら、あまりにも多くの「侵入テスト」が、既成のレポートを再利用し、表面的な部分しか把握していないスキャナーの調査結果をコピー&ペーストしているのが現状です。SubRosaは、こうした従来型のアプローチを拒否します。私たちの手法は、現実の攻撃者の行動を模倣したもので、人間の創造性、最先端の侵入テストツール、そしてコンテキストドリブンな脅威モデリングを融合させ、他社が見逃すような攻撃可能なパスを明らかにします。ビジネスリスクに基づいて調査範囲を絞り込み、真の攻撃対象領域をマッピングし、重要なチェーンを悪用し、修復を促進するレポートを提供します。以下は、推測に頼ることなく最大限の効果を発揮する、侵入テストサービスの5段階フレームワークの分かりやすい概要です。
ステップ1: テンプレートではなくリスクに基づいたスコープ設定
有意義な侵入テストは、最初のパケットがファイアウォールに到達するずっと前から始まっています。クライアントを「ブロンズ」、「シルバー」、「ゴールド」といったあらかじめ定められた階層に押し付けるのではなく、SubRosa は、単純な資産インベントリではなく、脅威モデリングに重点を置いたディスカバリーコールから始まります。
私たちは具体的な質問をします。収益の大部分を生み出しているアプリケーションや接続システムはどれですか?機密性の高い知的財産はアーキテクチャのどこに保存されていますか?事業部門間で権限はどのように管理されていますか?どのサードパーティ統合がバックドアとして機能し得ますか?これらの議論は攻撃者の動機を明らかにし、標的の優先順位付けや戦術のカスタマイズに役立つ情報を提供します。
カスタムエンゲージメントデザイン
当社のエンジニアは、ランサムウェア攻撃グループ、内部脅威、APT(Advanced Persistent Threat)攻撃グループといった想定される攻撃者のペルソナをマッピングしたエンゲージメントマトリックスを作成し、お客様の最も価値の高い資産にこれらのペルソナを重ね合わせます。このマトリックスは、リスクベースのスコープ設定を推進します。例えば、レガシーOTデバイスを保有するメーカー向けのオンプレミスActive Directory評価、個人情報(PII)を処理するSaaSプロバイダー向けの詳細なWebアプリケーション侵入テスト、あるいはワークロードをマルチクラウドに移行する企業向けのクラウド混在型侵入テストなどです。
ネットワークマップを超えて
従来の侵入テストの提案は、IPアドレス範囲、ポート数、サブネット図などに重点が置かれることが多いです。ネットワークマップは重要ですが、ビジネスプロセス、ユーザーロール、データ分類といった重要なコンテキストが考慮されていません。SubRosaのスコープ設定プロセスは、技術的な側面と運用上の側面の両方を考慮します。社内DevOpsパイプラインが本番環境に直接接続されている場合、レッドチーム演習の実施を推奨します。また、従業員がシングルサインオンプロバイダーを利用している場合は、フィッシング攻撃からクラウドへの権限昇格チェーンをシミュレーションすることをお勧めします。
共同脅威ワークショップ
成熟したプログラムについては、セキュリティアーキテクト、DevOpsリーダー、コンプライアンス担当者と共同でワークショップを実施し、潜在的な攻撃シナリオをストーリーボードにまとめます。想定されるキルチェーンをホワイトボードにまとめることで、攻撃者がCI/CDランナーに侵入したり、顧客データベースを盗み出したり、ハイパーバイザーにランサムウェアを仕掛けたりする方法を双方が視覚的に把握しやすくなります。この共通理解によってテストの目的が明確になり、最終的な侵入テストレポートがSOCアナリストから取締役会まで、あらゆる関係者の心に響くものになります。
成果物: リスクを考慮した作業指示書
ステップ1の成果物は、対象システム、目標、エンゲージメントルール、そして成功基準を列挙した透明性のある作業指示書(SOW)です。お客様は、テスト内容、適用されるペネトレーションテスト手法(OWASP、PTES、NIST SP 800-115)、そして成功の測定方法(ドメイン管理者の侵害、不正なコードプッシュ、保護されたデータの窃盗)を正確に把握できます。推測に頼る必要がなく、スコープクリープ(作業範囲の拡大)もありません。
ステップ2: 実際の偵察、実際の攻撃対象領域のマッピング
スコープがロックされると、エリート攻撃者がほとんどの時間を費やす偵察フェーズに入ります。
パッシブ偵察とアクティブ偵察
私たちのチームは、オープンソースインテリジェンス(OSINT)を収集し、組織の公開フットプリントをプロファイリングします。具体的には、ペーストサイトから漏洩した認証情報、公開されたS3バケット、忘れられたサブドメイン、ハードコードされたAPIキーが明らかになった開発者のGitHubリポジトリなどです。同時に、AWS、Azure、Google Cloud全体で、サービスの列挙、SSL/TLSフィンガープリンティング、クラウド資産の検出といった能動的な偵察活動を実施します。受動的な調査結果と能動的な調査結果を相関させることで、アクセス可能かつエクスプロイト可能なあらゆる領域のリアルタイムマップを構築します。
メタデータと誤った設定の金鉱
メタデータ漏洩は、攻撃者に鍵を丸ごと手渡してしまうことがよくあります。公開マーケティングサイトでホストされているPDF文書には内部ユーザー名が含まれている可能性があり、DNSのTXTレコードからはCDNの背後にあるIPアドレスが明らかになる場合があります。当社のスクリプトはこうした重要な情報を自動抽出し、人間のアナリストがその重要性を文脈に沿って分析します。例えば、「DEV-SQL01」という情報を含むマーケティングPDFは、ブルートフォース攻撃やソーシャルエンジニアリングの段階で利用可能な命名規則を示唆している可能性があります。
基盤としての攻撃対象領域の検出
一部のベンダーは、四半期ごとに販売できる「スキャン」数を最大化するために、偵察を急ぎすぎます。SubRosa は正反対です。詳細な攻撃対象領域インベントリは、よりスマートなエクスプロイトにつながるため、事前に多額の投資を行います。今、資産が不足していると、後々、誤検知につながります。私たちの偵察成果物は、ドメイン、IPアドレス、クラウドリソース、リポジトリ、サードパーティのSaaSアプリ、ユーザーIDを結び付けた構造化されたナレッジグラフであり、ナビゲーション可能なブループリントとなっています。
動的資産監視
数週間にわたる、あるいは継続的なペネトレーションテスト(PTE)サービスには、継続的な監視機能を搭載しています。DevOpsチームが新しいステージングクラスタを立ち上げたり、テスト中にデフォルトの認証情報でマイクロサービスをプッシュしたりすると、当社のセンサーがその変更を検知します。真の攻撃者は、組織をデプロイの途中で攻撃するのを好みます。私たちも同様です。なぜなら、それが現実を反映するからです。
目標: 総合的な露出認識
ステップ2の完了までに、クライアントはポートスキャンのスナップショットよりもはるかに豊富なエクスポージャーカタログを保有することになります。どの廃止されたVPNゲートウェイがまだ接続を受け付けているか、どの忘れ去られたEC2スナップショットに平文の秘密情報が含まれているか、そしてブランドドメインがフィッシングにどのように悪用される可能性があるかを把握できます。Reconは、ビジネスリスクを外科手術のような精密さで示す戦術的なエクスプロイトのための準備を整えます。
ステップ3:脆弱性スキャンだけでなく、戦術的なエクスプロイト
人間主導、ツールサポート
Burp Suite、Nmap、BloodHoundといった侵入テストツールは依然として不可欠ですが、自動化だけでは限界があります。SubRosaのエクスプロイトフェーズでは、人間の創造性とスクリプトによる効率性が融合されています。スキャナーが一般的なCVEをフラグ付けする一方で、当社のエンジニアは手動で設定ミスを連鎖させ、権限を昇格させ、ハイブリッドネットワークを巡回します。
エクスプロイトを通じてリスクを証明する
重大度の高いCVEが単独で存在しても、必ずしもビジネスへの影響につながるとは限りません。私たちは、Kerberos対応サービスチケットの抽出、オフラインでのハッシュ解読、サービスアカウントのなりすまし、脆弱なIAMポリシーを悪用したクロスアカウントロールの取得、そして最終的に機密データの窃取といった、現実的なキルチェーンをシミュレートします。これらのチェーンをエンドツーエンドで実行することで、理論上の脆弱性がどのように具体的なリスクにつながるかを実証します。これは、スタンドアロンの自動侵入テストツールでは保証できないものです。
横方向の移動と権限昇格
低い権限を持つ請負業者アカウントを介して最初のアクセスが行われたと仮定します。当社のオペレーターは、Living Off-The-Land(LOLBin)、カスタムC2フレームワーク、セキュアシェルリレーを活用してラテラルムーブメント(横方向移動)を行います。資格情報ダンプ、トークンの偽装、Pass-The-Hash攻撃は、デスクトップからドメインコントローラー、そしてクラウド管理ポータルへと移動する際に役立ちます。証拠が完全かつ再現可能であることを確認するため、すべてのコマンド、ハッシュ、トークンを記録します。
クラウドとAPIターゲットの活用
現代の環境では、オンプレミスとSaaS、マイクロサービスが融合しています。SubRosaのクラウドネイティブ専門家は、サーバーサイドリクエストフォージェリ(SSRF)を悪用してメタデータエンドポイントにアクセスしたり、設定ミスのあるIAMロールを侵害して権限を昇格させたり、過度に許可されたAPIエンドポイントを悪用してバックエンドオブジェクトを操作したりします。CI/CDパイプラインで自動デプロイがトリガーされた場合、攻撃者が本番環境にリリースされるDockerイメージに悪意のあるコードを挿入する方法を示します。
ビジネスへの影響を示す連鎖攻撃
単一のSQLインジェクションでユーザーのメールアドレスを盗み出すことは可能ですが、SQLインジェクションをクラウド認証情報の窃取やランサムウェアの展開と連鎖させると、実存的なリスクを露呈します。MITRE ATT&CKマッピングを用いて連鎖的なエクスプロイトを文書化し、攻撃者の攻撃手法(初期アクセス、持続性、防御回避、認証情報アクセス、検出、ラテラルムーブメント、収集、コマンド&コントロール、情報漏洩、影響)に関する明確な洞察を提供します。
倫理的な境界とセーフティネット
エクスプロイトは積極的でありながら、制御されています。大規模なパスワードスプレー攻撃や模擬ファイルの大量暗号化など、潜在的に破壊的なアクションを実行する前に、明示的な承認を求めます。運用システムが対象範囲に含まれる場合は、ダミーレコードの作成、センチネルファイルの作成、破壊的なコマンドの回避など、データ安全対策を講じます。継続的なコミュニケーションにより、クライアントの運用を安定させながら、現実的な成果を達成します。
ステップ3の完了までに、管理ポータルのスクリーンショット、データ流出の証拠、そして明日攻撃者が実行できる可能性のある明確な経路など、具体的な証拠が得られます。これらの証拠は、変化を促進する修復ロードマップの基盤となります。
ステップ4:実際に変化を促す報告
エグゼクティブ向けストーリーテリング
多忙な経営幹部は、収益、評判、そして業務へのリスクを気にしており、CVE IDそのものを気にしているわけではありません。当社のレポートは、侵入テストの内容をビジネス用語で要約した説明で始まります。潜在的なダウンタイムコスト、規制違反の影響、そして顧客の信頼への影響などです。1ページのダッシュボードには、侵害された資産、攻撃者の滞在時間、そして想定される被害シナリオがまとめられています。
実務家向けの技術的知見
セキュリティエンジニアには、綿密な調査が必要です。各脆弱性エントリには、説明、影響を受けるホスト、概念実証コマンド(サニタイズされたトークン付き)、スクリーンショット、レプリケーション手順、ログ参照が含まれます。すべての問題をMITRE ATT&CK、CVSS、そして該当する場合はOWASP Top TenまたはCIS Controlsにマッピングします。色分けされたリスク評価は、悪用可能性、ビジネスコンテキスト、再発の可能性を考慮しています。
リスク評価とエクスプロイトチェーン
個々の脆弱性を列挙するのではなく、エクスプロイトの連鎖、つまり複数の低重大度の問題が組み合わさって重大な影響をもたらす仕組みを提示します。例えば、クラウドストレージの設定ミス(中)、アクセスキーの漏洩(中)、そして脆弱なMFAの適用(中)が組み合わさると、壊滅的なランサムウェアの脅威(重大)につながります。この連鎖を中心としたプレゼンテーションは、CISOが修復予算を正当化するのに役立ちます。
実用的な修復ガイダンス
すべての調査結果には、設定変更、コードパッチ、セグメンテーション戦略、IAM(アイデンティティ・アクセス・アクセス・アーキテクチャ)の強化、ベンダーのアップグレードといった優先順位付けされた手順が含まれています。ベンダーのアドバイザリ、権威ある強化ガイド、そして可能な場合は検証用のオープンソースツールへのリンクも提供しています。改善策に段階的なロールアウトや変更管理の承認が必要な場合は、その間のリスク軽減策として、代替となるコントロールを概説します。
侵害シミュレーションアーティファクト
セキュリティ意識向上トレーニングとパープルチームによる検証をサポートするため、サニタイズ済みのエクスプロイトスクリプト、編集済みのログファイル、検出ルールをオプションで提供しています。ブルーチームはステージング環境で攻撃を再現することでSOCのカバレッジを向上させ、IT運用部門はパッチ適用手順を明確に把握できます。
成果物は、埃をかぶるだけのPDFではありません。証拠と優先順位付けされた修正に裏付けられた戦略計画であり、チームが迅速にギャップを埋める力となります。
ステップ5:テスト後のコラボレーションとサポート
侵入テストは一方通行ではありません。SubRosa は初日からコラボレーションを組み込み、修復を確実に実行するためにエンゲージメント後も継続します。
調査結果ウォークスルーセッション
レポート提出後1週間以内に、経営幹部、マネジメント、技術担当者の3つのトラックで、バーチャルまたはオンサイトでのウォークスルーを実施します。ビジネスリーダーは、収益とブランド価値の向上による効果を実感し、エンジニアはエクスプロイトの痕跡と推奨パッチの詳細を詳細に確認します。リアルタイムの質疑応答により、理解が深まり、部門間の連携が促進されます。
改善コーチングと検証
社内チームに実践的なガイダンスが必要な場合は、当社のコンサルタントが修復作業を共同で支援します。パッチ適用済みのシステムの検証、ファイアウォールルールの再テスト、標的型攻撃スクリプトの実行による脆弱性の解消確認などを行います。クラウド環境の場合は、IAMポリシーの書き換えやInfrastructure as Code(IaaS)ガードレールの導入を支援します。
継続的なアドバイザリーおよびマネージドサービス
多くのクライアントは、定期的な侵入テストをサービスとして選択しています パッケージには、四半期ごとの増分テストや継続的な攻撃対象領域の監視などが含まれます。また、vCISOアドバイザリー、SOC as a Service、インシデント対応のリテーナーといった連携も提供しています。どのようなアプローチを取るにせよ、私たちの使命は変わりません。それは、次の攻撃者が襲い掛かる前に防御を強化することです。
指標とROIの追跡
修正後も私たちは姿を消すことはありません。SubRosaは、フィッシング攻撃の平均検出時間の短縮、権限フットプリントの削減、パッチ適用サイクルの加速など、セキュリティ体制の改善を示す主要業績評価指標(KPI)を提供します。定量化された結果は、セキュリティリーダーが取締役会や監査役にROIを示すのに役立ちます。
結論
SubRosaの哲学はシンプルでありながら奥深いものです。それは、攻撃者のように考え、アドバイザーのように行動し、推測を排除することです。私たちは、実際のビジネスリスクを中心にテストを実施し、真の攻撃対象領域をマッピングするために必要な時間を費やし、攻撃者のプレイブックを模倣したエクスプロイトチェーンを駆使し、恐怖ではなく変化を促すガイダンスを提供します。私たちのペネトレーションテストサービスに対する実践的で証拠豊富なアプローチは、組織がチェックボックスのコンプライアンスから脱却し、回復力のあるセキュリティ成熟度へと進むお手伝いをします。
サイバー脅威との戦いにおいて、盲点を明らかにし、防御を強化し、信頼できるパートナーを獲得する準備ができたら、ぜひご相談ください。__ I18N_TERM_20__の侵入テストチームとのコンサルテーションをご予約いただき、悪意のある攻撃者よりも先に、当社の実践的な戦術でお客様の環境について何が明らかになるのかをご確認ください。