トレンドマイクロが実践するサイバー攻撃演習（前編）～サイバー攻撃者視点で徹底的にあぶりだす、組織のペインポイント

サイバー攻撃者視点でチェックすることで明らかになる、組織の「ペインポイント」（前編）

しばしばサイバーセキュリティの世界は「いたちごっこ」だと言われます。流行りのサイバー攻撃を防ごうと対策を講じても、しばらくすると攻撃者は新たな手法を用い、防御の網をかいくぐって侵害しようと試みます。この数十年は、そんな防御と攻撃のせめぎ合いの歴史と言ってもいいかもしれません。

こうした経験を経て今、「攻撃者の視点」に立って自分たちのシステムをチェックすることの重要性が認識されつつあります。その答えの1つが、「レッドチーム演習」です。レッドチーム演習では、攻撃者の思考や手法に沿って自社システムに攻撃を仕掛け、防御技術や検知・対応プロセスの弱点をチェックしていきます。攻撃者に先回りして弱点を補強し、情報共有体制やインシデント対応プロセスを改善するヒントを得る手段として、特にセキュリティ対策の成熟度を一層高めたいと考える企業で広がり始めました。

ブルーチームの体制やプロセス、エンジニアのスキルアップに寄与

実はトレンドマイクロでも、2020年からこうした意図に基づいてレッドチーム演習を実施してきました。

一般的なレッドチーム演習では、外部の専門家に依頼して自社の情報システムに模擬的な攻撃を仕掛けるケースが大半です。しかしトレンドマイクロの演習では、最新の脅威動向を日々追いかけ、解析に当たっている社内の専門家で組織されるレッドチームが、現実味あふれるシナリオで攻撃を仕掛けます。一方、いわゆる「情シス」の業務に携わるサイバーディフェンス＆インフラストラクチャーサービス課を中心に、普段は「Trend Vision One」をはじめとするサイバーセキュリティ技術の開発や、高度な脅威の検出、調査、および対応を実施するマネージドサービス「Managed XDR」を提供するリサーチメンバーからなるブルーチーム^※が知見を持ち寄り、改善につなげています。
※攻撃者側に立つレッドチームに対して、ブルーチームは、サイバー攻撃から情報システムを守る役割を担う。

トレンドマイクロのレッドチーム演習には、いくつかの目的があります。一つは、一般的なレッドチーム演習と同様に、CSIRTやSOC、情報システム部などからなるブルーチームのスキルや対応体制の弱点を探り、改善につなげることです。

「我々のレッドチームは、実際に世の中で流行っている手口を元にとてもリアルな攻撃を仕掛けてきます。そういった攻撃を受けた際に、社内システムや構成面で防げるところはないか、もっとレベルを上げるところはないかを確認ができ、我々のセキュリティを強化する機会になると感じています」（インフォメーションサービス本部インフォメーションテクノロジー部サイバーディフェンス＆インフラストラクチャーサービス課シニアエンジニア、梅川博輝）

トレンドマイクロでは以前から、グローバルの情報セキュリティ部門を担う組織である「インフォセック（InfoSec）」が中心となって、一般的な脆弱性診断やペネトレーションテストなどを定期的に実施し、修正プログラムの適用やバージョン管理といった対策も常日頃から実施していました。

「しかし、どんなに脆弱性を潰していても、たとえば標的型攻撃メールをうっかり開いてしまい、そこを起点にして侵入されることはあり得ます。レッドチーム演習は、人間という不確定な要素も試すことで、リテラシーも含めてどの程度備えができているか確認するとともに、実際にインシデントが起きた時に、どんなフローに沿って対処し、誰とどう情報を共有するかといった事柄を訓練することが狙いです」（インフォメーションサービス本部シニアセキュリティスペシャリスト兼インフォメーションテクノロジー部サイバーディフェンス＆インフラストラクチャーサービス課課長、林新樹）

頭では手順をわかっていたつもりも、いざとなると慌ててしまうことは珍しくありません。ちょうど地震や火事に備えた「防災訓練」と同じように、定期的に訓練を実施することでプロセスを確認し、改善していくものと位置づけています。

サイバーディフェンス＆インフラストラクチャーサービス課ではさらに、訓練を通して、対応に当たるエンジニアの育成につなげたいとも考えています。以前まで同課は「インフラストラクチャサービス課」として、主にインフラの運用管理をミッションとしていましたが、2021年以降は全社的な方針の下、セキュリティ運用業務も担うことになりました。元々サーバーエンジニアだった梅川らにもセキュリティ関連のスキルが求められています。

「外部トレーニングや資格取得を通しても多くのことを学べますが、その多くは机上の知識です。演習を通して、学んだ知識を実地で使うことによって、より使える知識に変わっていくと考えています」（林）

自社製品を自社の専門家の手で試し、顧客により安心なセキュリティを

ここまでならば、今、先進的な企業がレッドチーム演習に取り組む理由と共通ですが、トレンドマイクロのレッドチーム演習にはさらに重要な目的があります。自社が提供するセキュリティ製品やサービスをチェックし、よりよいものにしていくことです。

製品やサービスをよりよいものにするために、セキュリティリスクへの対処は非常に重要な活動です。なかでも脆弱性は、セキュリティベンダーに限らず、すべての製品、サービス提供事業者にとって、今や最優先課題といえます。ご存じの通りトレンドマイクロは、さまざまなセキュリティ製品やソリューションを開発・提供する立場にあります。もちろん脆弱性とは無縁ではなく、過去には、トレンドマイクロ製品に存在する脆弱性が実際に悪用される事案も発生しています。
こうした状況に対応するため、当社では、脆弱性を含めたセキュリティリスクをできる限り最小化できるよう製品開発のプロセスを強化するほか、確認した脆弱性は自社、JPCERT/CCを通じて広くお客さまやステークホルダー皆さまにお届けするなどの取り組みをかねてから推進しています。この取り組みの一環として始まったのが、演習を通じた製品品質の向上です。製品開発プロセスにおける脆弱性検査だけでなく、攻撃者目線で自分たちの製品を試していく必要があるのではないかと考えたことが、演習というアイデアのきっかけになったのです。

「この演習の企画を持ちかけたのは2019年のことです。当時、トレンドマイクロ製品の脆弱性が複数見つかり、お客さまを守るために何かアクションを起こす必要があると考えていました。自分たちの製品に対し、攻撃者目線でどういった悪用が可能かをチェックし、製品品質の改良をしていく必要があると考えました」（セキュリティエキスパート本部アプライドサイバーセキュリティラボ部スレットリサーチチームシニアスレットリサーチャ―、原弘明）

参考：
・トレンドマイクロ製品の安全性・透明性向上のための5つの取り組み
・2021年度ベストレポーター賞（脆弱性部門）をトレンドマイクロ株式会社に贈呈

同様に当社がお客さまへ提供するマネージドサービスについても、自分たちの手で試すことで、インシデント対応能力の実効性を確認し、鍛えていくことも期待していました。それが、顧客に提供するサービスの拡充につながるからです。

「ちょうどこの頃からトレンドマイクロのXDRを関する監視・対処サービスを行うマネージドサービス「Managed XDR」の提供に向けて動いていました。レッドチーム演習を通して、製品やその背後にある脅威検知のモデルを強化し、さらに攻撃を見えやすくしていくサイクルを回せるようになっていると感じています」（セキュリティエキスパート本部アプライドサイバーセキュリティラボ部マネージドサービスチームセキュリティアナリスト、大沼和也）

世の中で実際に増加している攻撃手法をなぞって作られたシナリオ

こうしたさまざまな観点からレッドチーム演習は企画され、2023年7月までに10回近く実施されてきました。中でも第6回の演習は、一般的な対策では検知が難しい「水飲み場攻撃」と、近年多数の企業に被害を与えている「Human Operated Ransomware」を組み合わせた攻撃を通して、トレンドマイクロのXDR製品（Trend Vision One）や「Managed XDR」の有効性を確認することを念頭に置いて実施されました。

水飲み場攻撃とは、攻撃のターゲットがよく訪問する正規のWebサイトを改ざんし、不正なソフトウェアをダウンロードさせるなどし、マルウェアに感染させる手法です。攻撃者が押しかけるのではなく、被害者側が水場に水を飲みにやってくるのを待ち構えて利用することから「水飲み場攻撃」と呼ばれており、既存の対策では検知・防御がなかなか困難な手法の1つです。

もう一つのランサムウェアについては、最近耳にする機会が増えているでしょう。感染先システムの重要なファイルやシステムを暗号化し、元に戻してほしければ身代金を支払えと要求してくる、金銭目的のサイバー攻撃です。データを暗号化するだけでなく盗み出し、「外部に流出させてほしくなければ金銭を支払え」と脅す「二重脅迫」の手口も増えています。ただ、数年前まではメールなどで無差別にばらまき、うっかり感染してしまった人物や組織を対象に脅迫する「ばらまき型」のものが大半でした。これに対し最近増加しているのが、攻撃者がネットワーク越しに状況を見ながら対象組織を侵害していく、Human Operated Ransomware（人手を介したランサムウェア攻撃）^※ です。
※ 日本では「標的型ランサムウェア攻撃」、「侵入型ランサムウェア攻撃」などとも呼称されます。

「Human Operated Ransomware は、名前の通り、実際の人間がネットワーク内を探索し、複数の端末を侵害してデータを窃取し、脅迫して金銭を手に入れる攻撃手法です。当時から非常に盛んに行われ、従来通りの対策では被害を受けてしまうケースが何件も報告されていました。この攻撃にトレンドマイクロが正しく対処できるかを確認することが目的でした」（原）

シナリオは次のようなものとなります。
まず、トレンドマイクロのある社員がChromeを使ってクローリングツールを動かしていたところ、情報収集対象としていたWebサイトの一つが改ざんされており、Chromeの既知の脆弱性が悪用され、遠隔操作ツール（RAT）が送り込まれるというシナリオのもと、侵害が始まりました。このRATを介し、当時Trend Micro Apex One（以下、Apex One）に存在したゼロデイ脆弱性（本演習を通じてレッドチームが発見し、ただちにトレンドマイクロの製品開発部門等の関係部門へ報告し、修正。実際の悪用は報告されていない）を突いて、マルウェアの検索設定を変更し、検知されないような環境を作成したのです。その上で、別の既知の脆弱性を使って権限昇格を行い、より高い権限でカスタマイズしたハッキングツール「Mimikatz」を用いて認証情報を窃取して横展開を広げ、最後に重要情報を外部に送信してランサムウェアを実行する、というストーリーを描いていました。

実はトレンドマイクロでは、業務端末におけるクローラー実行を禁じています。このため、全員がルールに従っていれば、今回のシナリオのようなことは起こり得ないはずです。ただ「現実には、たとえルールがあっても破ってしまい、インシデントにつながってしまうケースが多々あります。そんな事態を想定して訓練することにも意味があると考えています」と林は述べています。

クローラーはWebアクセスを自動化することが目的のツールであり、それ自体はハッキングツールやマルウェアのように有害ではありません。またツールで自動化しているとはいえ、行為自体は正規のウェブアクセスと変わりがないため、行為そのものを制御することも難しいのが現実です。こうした背景から、トレンドマイクロでは、業務端末におけるクローラー実行をセキュリティポリシーで禁じています。

セキュリティ対策は、リスクをゼロにすることが目的ではなく、攻撃者の目的達成を防ぐことが目的です。このため、セキュリティ対策は、守るべき資産に対するセキュリティリスク評価を踏まえ設計することが必要です。ただそのリスクは、攻撃手口やIT環境により変容します。そこで、今回のように定期的な演習などを通じてリスクと運用を再評価、検証ていくことで、適切なセキュリティが維持できるのです。

二種類の脆弱性を盛り込んだ攻撃によって浮かび上がったベストプラクティスの重要性

今回のシナリオで特徴的なことの一つが、ゼロデイとNデイ、二種類の脆弱性をシナリオに組み入れたことです。
「一つの演習シナリオに当社製品の脆弱性を複数盛り込むのは初の試みでした」（原）

前述の通りレッドチーム演習の目的の一つは、製品の脆弱性を自分たちで見つけ、品質改善につなげることです。今回はレッドチームが見つけたゼロデイ脆弱性（前述の通り演習時点での話であり、すでに修正済み）を悪用し、エンドポイントセキュリティ製品（EPP）の検知をすり抜けるのに用いました。

「攻撃者がまず行うのは、EPPの検知をどうにかしてバイパスすることです。製品の脆弱性を自分たちで見つけて品質改善につなげるという演習の目的も踏まえ、今回は、レッドチームが発見したゼロデイ脆弱性を突いて検知除外を行いました」（セキュリティエキスパート本部アプライドサイバーセキュリティラボ部スレットリサーチチームスタッフスレットリサーチャ―、川畑公平）

もう1つのNデイ脆弱性には、脆弱性マネジメントにどう取り組むかというレッドチームからの問いかけが込められていました。

世の中では、修正プログラムがリリースされていても、端末やアプリケーションの動作確認や業務との兼ね合いで適用を先延ばししているうちに攻撃にさらされてしまうケースが起きています。「修正プログラムを適用するまでのタイムラグが、攻撃者が狙うポイントの一つです。今回悪用したNデイの脆弱性は、演習時点で修正プログラムがリリース済みでしたが、社内で全台に適用する前に攻撃者がその修正プログラムを解析して脆弱性を特定し、悪用したという想定でシナリオに盛り込みました」（川畑）

レッドチームの狙いは功を奏します。本Nデイ脆弱性は、悪用するにはネットワーク内に侵入されていることが前提となる脆弱性でした。外部から直接悪用される脆弱性ではなかったため、修正プログラムを適用するまでに数日のタイムラグがあったのです。

ブルーチーム側は演習の結果を踏まえ、Apex Oneをオンプレミス版からクラウド版に移行する決定を下しました。
「オンプレミス版でも、修正プログラムは基本的にリリースから一ヶ月以内に確実に適用していましたが、今回の演習でその隙を突かれる可能性があったことを踏まえ、すべてSaaSに移行しました。SaaS版になった結果、修正プログラムが出たらすぐ適用される環境になり、Nデイの脆弱性を突かれることはない環境となりました」（梅川）

過去のレッドチーム演習でも、修正プログラム適用の有効性は実証されていました。セキュリティエキスパート本部アプライドサイバーセキュリティラボ部インシデントレスポンスチームシニアスレットリサーチャ―の中谷吉宏によると、ある演習では、レッドチームが悪用しようとしていた脆弱性がすでに修正プログラム適用によって修正済みになっており侵害できなかったため、急遽シナリオを変更したケースもあったそうです。

レッドチーム側の攻撃を阻止し、やりにくくさせたもう1つの要因が、ネットワークのマイクロセグメンテーション（セグメント化）です。当初の予定では、侵害した端末でネットワークトラフィックを監視し、重要な情報を手に入れていくもくろみでした。しかし「ネットワーク環境が細かくセグメント化されており、本来意図していた通信がとらえられなかったため、シナリオの変更を余儀なくされました」（中谷）

このセグメント化も、これまでのレッドチーム演習を通して積み上げられてきたベストプラクティスです。「演習が始まった当初に比べ、社内のネットワーク環境はかなりハードニング化されています」（原）。社内のネットワーク環境では、WiFiの利用やインターネット利用時には二要素認証が求められます。他にも、ファイアウォールで不要なプロトコルは通さないよう制御したり、部門をまたいだPC間の直接通信を行えないようにしたりすることで、仮に初期侵入されたとしても、横展開による被害のリスクを最小限にしています。

「最初の一歩のところは人間という不確定要素が絡む部分があるため、侵入を許す事態をゼロにするのは困難ですが、そこから先の被害は簡単に広げさせないことに重きを置いています。いわゆるゼロトラストと言われる考え方であり、グローバルも含めトレンドマイクロ全体で推進しています」（林）

画：インフォメーションサービス本部シニアセキュリティスペシャリスト兼インフォメーションテクノロジー部サイバーディフェンス＆インフラストラクチャーサービス課課長、林新樹

侵害は起こりうる前提で、速やかな検知・対応の仕組みの整備と訓練を

そもそもこの演習は、現実世界における攻撃と防御の力関係と同様、圧倒的にレッドチーム側が有利な状態からのスタートになります。それでも、これまで蓄積してきた対策に加えXDRでモニタリングを行うことで、横展開の途中で侵害を発見し、レッドチームによる最終的な目的実行は頓挫しました。「ブルーチームもけっこうやるな、と感じながら演習を行っていました」（川畑）

原は、一連のレッドチーム演習を通して得た知見として、「自分たちのネットワークやシステムを知ること」の重要性を挙げました。「攻撃者は、我々が予想するよりもはるかに詳しく対象システムを知った上で攻撃を行ってきます。従って自社を守るには、攻撃者以上に自分たちを詳しく知ることがまず重要です。それによって守るために必要な体制や検知方法を検討し、より高いセキュリティレベルを維持できるのではないかと思います」（原）

また中谷は、Human Operated Ransomware によって起こった実際のインシデント対応を行ってきた経験を踏まえ、「インシデントは起こるもの」という前提で、組織や対応プロセスを整備することが重要だとアドバイスしました。「組織の規模にかかわらず、年に一回はどこかでインシデントが起こってしまうものです。そうしたときにすぐに気付ける仕組みを整備するとともに、冷静に対応できるよう訓練を実施することが重要だと思います」（中谷）

これはデジタルトランスフォーメーション（DX）を推進していく上でも重要なポイントとなります。インシデントを防ぐのに一番簡単な方法は、便利なツールを使わず、あれもこれも禁止することでしょう。しかしそれでは利便性が損なわれ、ビジネス上の競争力も落ちてしまい本末転倒です。「ツールを有効に活用しつつ、普段と異なる振る舞いを迅速に検知、対応する仕組みを整え、致命傷になる前に食い止めるゼロトラストの考え方が重要ではないかと、最近よく思います」（中谷）

脆弱性の速やかな修正や侵害前提のアプローチ、そしてDXといった要素を考えると、あらためてSaaSへのシフトを検討すべきだというのは川畑です。「当社に限った話ではなく、多くのセキュリティSaaS製品には、たとえ侵害されても被害を最小限に抑えるための新たな機能をどんどん追加しています。オンプレミス版ではなかなか速やかな修正プログラム適用やアップグレードが困難な部分がありましたが、SaaS版ならば脆弱性の修正プログラム適用はもちろん、新機能も即座に使っていただけると思います」（川畑）

トレンドマイクロが実践するサイバー攻撃演習シリーズ
後編はこちら。

・日本固有の脅威・環境に対応せよ、日本サイバーディフェンスチームの2年にわたる取り組み

・強いサイバーディフェンスチームの作り方トレーニングのサイバー人材育成への活用方法

・XDRによるインシデントの早期発見・対処とEPPによる防御を両立することで、わずか5人で約800台の業務環境に対するSOC業務を実現