レッドチームの攻撃を簡単に許してしまう4つの行動
レッドチーム演習(英語)を行うセキュリティ専門家は、インシデント検出と対応の能力をテストする中で、企業のセキュリティ現状をすべて見てきました。レッドチームは企業に侵入するための方法を熟知しています。また、この専門家の間では、サイバーセキュリティにおける最も脆弱な接点はシステムよりも、一般の人々であるというのが基本的な考え方になっています。
したがって、ソーシャルエンジニアリング(人々に行動や情報漏えいを誘導する心理的操作)が、レッドチーム演習での中心的手段になっているのです。
確かにホワイトハッカーには卓越した技術的な才能が求められます。しかし、多くの従業員をターゲットにしたフィッシング詐欺が短期間で成功するのであれば、なにも何週間も費やして企業に侵入するゼロデイエクスプロイトを構築することはしないでしょう。
企業を標的にする場合、レッドチームの攻撃は、実際の犯罪ハッカーが行うものと同様のものです。したがって、言うまでもなくレッドチームのメンバーはみな善意の人々で、企業を助けるために来ているのですが、少しでも彼らの作業を学ぶことにより、侵害を疑う力が身に付き、実際に攻撃を受けたときに役立ちます。
エフセキュアのレッドチーム演習がどのように行われているか、その概要を把握していただくために、オーディオブック「レッドチーム演習の技術( The Art of Red Teaming)」を作成しました。このオーディオブックの内容を少しご紹介するために、レッドチームメンバー(そして悪意を持ったハッカー)の侵害を許してしまう4つの行動を取り上げました。
- パスワードを分かりやすい場所に「隠す」。
パスワードを書いた付箋を、キーボードの下や袖机の引き出しに貼ります。これでパスワードを隠していると言えますか?これらの隠し場所はあまりにも一般的なので、レッドチームの専門家が最初に探す場所です。パスワードは、パスワードマネージャに保存することをお勧めします。
- コンピュータを起動したまま、またはロックしないで退社する。
これは常軌を逸しているように聞こえるかもしれませんが、レッドチームが時折見かける光景です。もう一つの、極めて一般的な過失は、離席の際、ノートPCをロックせず出かけてしまうことです。これらの過ちは、自ら攻撃してくれと言っているようなものです。
- Eメールにすぐに反応する。
「あなたのDropboxアカウントがハッキングされました」、あるいは、「LinkedInディスカッショングループへのアクセスが拒否されました」というEメールが届いたら、すぐに返事をせずにしばらく時間を空けましょう。レッドチーム(および犯罪者)は、このような偽のEメールを使用して感情をもてあそび、フィッシングリンクをクリックするように仕向けます。したがって、行動を起こす前に時間をとって慎重に考えて調べるようにしてください。
- 誰でも信用する。
あなたに続いて施設に入ろうとする見知らぬ人に対して、ドアを閉じてしまうのは思いやりに欠ける行為のように思えるかもしれません。そして、建物の中でうろついている人に目的を尋ねることには違和感を覚えることでしょう。この基本的に人間が持っている他人への信頼感こそが、レッドチームが利用しているもので、制限区域にアクセスし、通常は許可が必要な場所にも入れるのです。身の回りの状況に健全な懐疑心を持つことで、レッドチームの作業は少し難しくなるでしょうし、本物の悪意に満ちた行為を止めることにつながります。
レッドチーム演習とそれがどのように行われるかについて、「レッドチーム演習の技術」をお聞きください。
ebook はここからをダウンロードしてください (英語)。
カテゴリ