攻撃者視点の行動を再現するには?―自社内でできるセキュリティ検証の仕組み
多様な侵入経路を前提に、「内部に入られた後」の攻撃シナリオを安全に再現し、重大事故につながるリスクと対策の優先順位を可視化する方法を解説します。
前回のブログでは、ランサムウェア時代に企業が持つべき“攻撃者視点”として、
- どこから侵入されるか(入口)
- 内部に入られたら何をされるか(内部展開)
という 2 つの視点が重要であることをお伝えしました。
そして今回は、 「内部に入られたら何をされるか(内部展開)」 に焦点を当ててお話しします。
侵入されないようにするために「入口対策が重要じゃないの?」と思われるかもしれませんが、実際には、VPN、メール、Webアプリケーション、クラウドサービスなど侵入の入り口は無数に存在し、それらすべてを完璧に守り切ることは現実的ではありません。
だからこそ「どこから入られるか」だけに注力するのではなく、「万が一内部に入られても、重大な事故に発展しないか」を検証し、内部展開のリスクを抑えることが、より効果的で現実的なセキュリティ対策につながります。
本記事では、より詳しく
- 「攻撃者の行動」を再現するとは何か
- 「攻撃者の行動」を再現する方法
- それを補う「自動セキュリティ検証」という考え方
- Penteraで再現できる代表的な“内部攻撃経路”のイメージ
について整理します。
「攻撃者の行動」を再現するとは何か
ここでいう「攻撃者の行動を再現する」とは、単に設定を点検したり、ログを眺めたりすることではありません。
攻撃の一連の流れに沿って、
- 侵入済みの端末やサーバーから、横移動の足掛かりを探す
- どのアカウントを奪うと、どこまで権限が広がるのかを確認する
- どのシステム・どのデータに、どの経路で到達できるのかを検証する
といった “ストーリー”を、実際のネットワーク上で安全な形で追体験すること を意味します。
その結果として、
- 「このサーバーから、この管理者アカウントを奪われると、最終的に基幹システムの DB に到達される」
- 「この部署の端末がランサムウェアの踏み台になると、バックアップまで暗号化され得る」
といった、具体的な攻撃経路と被害イメージ が初めて見えてきます。
具体的な攻撃経路と被害イメージが見えることで本当に必要なセキュリティ対策を判断することができます。
「攻撃者の行動」を再現する方法とは
攻撃者視点を取り入れようとしたとき、これまで多くの企業で用いられてきたのが、次の 2 つの方法です。
1. 脆弱性診断
- OS やミドルウェア、ネットワーク機器などに存在する既知の脆弱性や設定ミスを、自動スキャンなどで洗い出す
- 「どんな脆弱性が、どれだけあるか」の棚卸しには非常に有効
一方で、脆弱性診断で分かるのはあくまで 「潜在的なリスク」 です。
- その脆弱性を実際に悪用できるのか
- 悪用された場合、どこまで被害が広がるのか
といった “攻撃シナリオ”までは見えない ため、
「その脆弱性が自社にとってどれだけ影響のあるものか分からない」
「無数にある脆弱性の中で、どこから優先的に対処すべきか分からない」
といった状況に陥りやすい、という課題を抱えています。
2. ペネトレーションテスト
- 専門家(ホワイトハッカー)が実際に疑似攻撃を行う
- 侵入・権限昇格・横移動・情報窃取など、攻撃シナリオ単位で深く検証できる
一方で、ペネトレーションテストは専門家がマニュアルで実施する形式が一般的なため、次のような課題が上がりがちです。
- 計画〜実施〜報告までに数週間〜数カ月かかる
- 費用もそれなりに高額で、年 1 回程のペースが限界
- 範囲も「重要システム周辺」に絞られ、クライアント端末や周辺機器まではなかなか手が回らない
つまり、「深さ」はあるものの、
- 1回あたりのテスト工数が重たい、ゆえに頻度を増やしにくい
- 対象範囲を広げにくい
という限界を抱えています。
課題を解決するアプローチ:自動セキュリティ検証
そこで近年注目されているのが、攻撃者視点のペネトレーションテストを自動化する 「自動セキュリティ検証」 というアプローチです。
ポイントは次の通りです。
- 実際に攻撃を行う
机上のチェックやスコアリングだけでなく、権限昇格や横移動など、攻撃者の行動を安全な形で自動実行します。 - 環境に合わせて攻撃経路を“探索”する
あらかじめ決められたシナリオだけをなぞるのではなく、実際のネットワーク構成・権限設計・設定状況をもとに、攻撃経路を自動的に見つけていきます。 - “本当に危険な弱点”に絞り込める
「理屈として危険そう」ではなく、「この弱点を足掛かりにここまで到達できた」という 実証ベース で優先順位を付けることができます。 - 何度でも、継続的に実行できる
専門家に完全依存せず、自社のメンバーがツールを使って繰り返しテストできるため、システム変更や新サービス公開のたびに検証を回せます。
そして、弊社が取り扱う Pentera は、この 自動セキュリティ検証 を実現できる製品 です。
Pentera(ペンテラ)なら、こんな“内部攻撃経路”を事前に再現できる
ここからは、Penteraを使うと どのような内部攻撃経路・リスクを炙り出せるのか を、イメージしやすい形で 2つご紹介します。
ここで扱うのはいずれも、すでに何らかの手段で社内に攻撃者が侵入した 「後」 の話です。
例 1:端末1台からドメイン全体が“人質”になるシナリオ
最初の例は、社内ネットワーク内の 1 台の端末が侵害された場合に、どこまで被害が広がり得るか を再現するシナリオです。
Penteraで可視化できる代表的な攻撃の流れは、次のようなものです。
- ドメイン参加端末を起点とし、その端末に保存されたクレデンシャル(キャッシュされた認証情報・保存パスワードなど)を自動収集
- 収集した情報を用いて、別のサーバーや端末へ横移動を試行
- 権限昇格に利用できるアカウントや設定ミス(過剰な権限を持つサービスアカウントなど)を探索
- 最終的にドメイン管理者相当の権限を取得し、ファイルサーバーや重要システムに対してフルアクセスが可能かを検証
このシナリオを自社環境で事前に再現することで、
- 「この種類の端末が 1 台乗っ取られると、ドメイン管理者権限まで到達され得る」
- 「このサーバーのサービスアカウントの権限設計が甘く、横展開の起点になっている」
といった “内部での権限連鎖” を可視化 できます。
結果として、特定端末のハードニングや AD 権限設計の見直し といった、より具体的な対策に結び付けることができます。
例 2:PC1台から“最後の砦”であるバックアップが破壊され、ランサムウェア被害が長期化
ニュースでも、ランサムウェア攻撃によりバックアップまで暗号化・削除され、復旧が長期化した事例が報じられています。
Penteraでは、例えば次のような “内部からのバックアップ破壊” シナリオを再現できます。
- 一般社員 PC を起点とし、その端末に保存されたパスワードやキャッシュ情報を収集
- それらを用いてファイルサーバーや管理系サーバーに横移動
- バックアップサーバーやバックアップストレージへのアクセス権限を持つアカウントを特定
- その権限でバックアップデータの削除/上書きが可能であるかを検証
これにより、
- 「この部署の PC 1 台が乗っ取られると、バックアップサーバーにまで到達され得る」
- 「バックアップが暗号化されてしまう可能性があり、“最後の砦”になっていない」
といった、ランサムウェア対策において重要なバックアップ周りのリスク を事前に洗い出すことができます。
まとめ――“内部での攻撃者の行動”を再現できてこそ、対策の優先順位が見える
今回は、以下内容についてご紹介しました。
- 攻撃者の行動を再現するとは何か
- 脆弱性診断と手動ペネトレーションテストそれぞれの役割と課題
- それを補う「自動セキュリティ検証」 というアプローチ
- Penteraで再現できる代表的な “内部攻撃経路” のイメージ
内部攻撃経路を明らかにすることで、本当に守るべきポイントと対策の優先順位が、より明確に見えてきます。
「どの対策から手を付けるべきか分からない」という状態から、一歩抜け出すための考え方としてお役立ていただければ幸いです。
実際の画面をデモ形式で見たい、自分たちで使えるツールか触ってみたい、などのご要望があれば、ぜひご相談ください。
ご参考までに本日の内容に関連するブログを以下に載せておきます。
・「もし攻撃者だったら?」──ランサムウェア時代に企業が持つべき“攻撃者視点”とは
・ランサムウェア攻撃を「事前に試し」「本番環境で防ぐ」セキュリティアプローチ
・【Pentera 自動ペネトレーションテスト】設定方法を解説!
・自動ペネトレーションテストで高頻度なセキュリティ検証を実現
・大手企業を襲うランサムウェア被害から学ぶ攻めのセキュリティ戦略
この記事の投稿者R.Terada
東京エレクトロンデバイスにてインサイドセールスとPentera製品営業を担当しています。
この記事をシェア
