アラカン"BOKU"のITな日常

文系システムエンジニアの”BOKU”が勉強したこと、経験したこと、日々思うことを書いてます。

サイバー犯罪者が使うツールで自分の管理するサイトを攻撃して穴を見つける「ベネトレーションテスト」は有効です。

例えばの話。

自分の家の防犯がちゃんとできているかどうかを確かめる最も確実な方法は、凄腕の泥棒とかに「入りやすい家」かどうかを見てもらうことです。

そして、それで穴がみつかったら、その泥棒が「ここまでされたら、入るのが難しい=リスクが高いから狙わない」と言うまで、穴をふさぐ手立てをうつことです。

サイバー犯罪についても同じことが言えます。

今回のテーマはそんな話です。

 

サイバー攻撃に利用されやすいツールの報告書

 

泥棒などの現実の犯罪なら、特殊な道具がなくても、手にはいる道具でやろうと思えば、実行可能です。

でも、サイバー犯罪なんて、非常にコンピュータに精通した「ハッカー」などと呼ばれるような人たちでないと、そもそもできないんじゃないのか?

また、そういう犯罪に使うようなプログラムは簡単に入手できないんじゃないか。

そういう意見をよく言われます。

でも。

残念ながら、違うのですね。

もちろん、ある程度の知識は必要ですけど、それほど高度な専門的知識がなくても、サイバー犯罪に手をだせるツールやサービスはすでに存在しています。

その一例が、四か国共同で作成された、サイバー攻撃に利用されることの多いツールについての報告書に掲載されているものです。

www.itmedia.co.jp

取り上げられている5種類のツールを見ると・・。

 まあ、有名どころばかりです。

この報告書で、これらが取り上げられた理由が「簡単に手にいれられるうえに強力なので、重大な脅威になりえる」からだったりするのですね。

 

これらでどういうサイバー犯罪ができるのかなど・・

 

上記リストのツールは、セキュリティ業界内では超有名どころではあります。

でも、普通にはなじみがないです。

なので、説明をすすめるにあたり、ちょっと、寄り道して、補足しておきます。

リモートアクセス型トロイの木馬(RAT)の「JBiFrost」

感染すると隠れて、パスワードなどの不正アクセスのための情報を収集して、攻撃者に送る働きをします。 

WebShellの「China Chopper」

仕込まれると、攻撃者がこのWEBShellを使って、PC上で様々な操作やコマンドの実行ができるようになってしまいます。

ログイン情報を盗み出すツール「Mimikatz」

メモリ上に保持されているアカウントの認証情報にアクセスし、管理者権限の取得や他のアカウントのなりすましを行います。 

階層移動フレームワークPowerShell Empire

ようするに攻撃用のPowerShellスクリプトを作成するフレームワークです。

この攻撃用のPowerShellスクリプトは、メモリ上でコードを実行できるので、ウイルス対策ソフト等で検出は難しくとてもやっかいな代物になります。 

コマンド&コントロール(C2)難読化ツール「HUC Packet Transmitter」

簡単に言えば、プロキシみたいなものです。

攻撃者が被害者に侵入した時に接続元を隠して、追跡しづらくするために使います。

 

まあ、こんな感じです

 

Kali Linuxという強力なものも他にあります

 

この5つ以外にも、高機能なサイバー攻撃に使えるツールってのはいろいろあります。

手に入れる手段の容易度も、似たようなもので・・です。

例えば、「Kali Linux」という、Linuxディストリビューションがあります。

f:id:arakan_no_boku:20181020223509j:plain

これを以下からダウンロードして、インストールすれば、沢山のツールがバンドルされています。

www.kali.org

脆弱なWifiをハックしたり、DOSSQLインジェクションなどの攻撃を加えたり、アカウントをハッキングしたり、セキュリティの甘いサーバーを探し出したり・・・、まあ、大抵の攻撃用ツールはそろってる感じです。

こちらの記事に、軽く紹介いただいているので、興味のある方はどうぞ。

sys-guard.com

  

どのくらい簡単に手にいれらるのか

 

上記で紹介したものはすべて、探せば簡単にダウンロードサイトに行きつけます。

ダークウエブに行く必要はありません。 

普通のインターネットで十分です。

しかも、トロイの木馬「JBiFrost」なんか、条件次第では、Googleで検索結果のトップにでてきたりします。(笑)

そのサイト(英語)を見ると、平然と月額45ドル程度の利用料で販売されてます(笑)

こういう話をすると必ず、怒る人がいます。

言い分としては「そんな危険なツールの公開を放置しているのがおかしい!。徹底的に取り締まるべきだ!」って感じです。

気持ちは、すごい、わかります。

できるなら、自分もそうすべきだろうと思うので。

でも。

取り締まるのが100%無理なことも、同時にわかります。

インターネット上のすべてのやり取りを監視なんかできるわけはありません。

仮に、全てのサイトの内容やネット上のやり取りをすべて監視するような組織が仮にできて、そこが、表のインターネットを取り締まっても、裏に潜るだけです。

それに、システムの保守や開発・テストで絶対必要なんだけど、悪用されると、サイバー犯罪に使える可能性があるツールみたいなものも当たり前のようにあります。

これは、例えば「包丁だって凶器として使えば、人を殺せます」とか「アイスピックだっとそうです」とか「園芸用のスコップも泥棒が窓を破る道具に使えます」とかの話と同じわけです。

それを全部「道具を使えないように取り締まる」なんてしたら、無茶苦茶になります。

だから、悪意のある人間から道具をすべて取り上げるのは非現実的です。

そうなると。

システムを守る側ができるのは、守りを固めることだけです。

家にだって、鍵を掛けたり、センサーを仕掛けたりして、防犯強化しますよね。

あれと同じことです。

防犯対策は完璧か?

ここで、この記事の冒頭に書いた話につながります。

繰り返します。

それを確認する最強の方法は、優れた犯罪者に実際に侵入を試みてもらって、できる穴があれば教えてもらって、ふさいでいくことです。

それは、インターネットでも同じ。

強力なツールを使って、攻撃側になりかわって、自分らが構築したシステムを攻撃してみるのが、一番セキュリティを強化する近道なのです。

そして、そこで見つかった穴をふさぐことで堅牢性を高めていく。

こういうテストを「ベネトレーションテスト」といいます。

 

 

経験上一発でテストOKなんてことは、まあ、無いです

 

ベネトレーションテストは、企業でも意識の高いところは、普通にやってます。

例えば、「ベネトレーションテスト 業者」とかでググると、やってくれる業者がズラズラでてくるくらいです。

珍しいことではありません。

多少、コストはかかりますし、手間もかかります。

でも、結局、やってないところは狙われて、手ひどい代償を支払うリスクを覚悟しとかないといけないわけです。

泥棒が狙いやすい家を狙うように、サイバー犯罪者もセキュリティの穴を放置しているところを狙うわけですから。

実際のところ。

最初からセキュリティの甘いシステムを作ろうと思う人はいないわけです。

自分がやるときでも、それは同じです。

それでも、悲しいかな。

ベネトレーションテストをやると、かなりの確率で穴が見つかります。

それも思ってもみないところから。

結局、システムのセキュリティなんて総合力勝負なのですね。

一部の担当者だけが頑張ったって仕方ないってところがあります。

まあ、テストで穴が見つかる分には、ふさげばいいだけです。

でも。

本当に怖いのは。

テストをやるとかなりの確率で穴が見つかる

この事実なのです。

つまり、まとめるとですね。

① ベネトレーションテストは、実際の犯罪者が使うレベルのツールを使う

② それでテストをすると最初はかなりの確率で穴が見つかる

③ じゃあ・・、テストをやらないシステムには、かなりの確率で穴があるね。

ということなのです。

で・・現実は。

ベネトレーションテストをちゃんとやっているシステムの方が少ない・・はずです。

特にIOT機器にはいっているソフトウエア(最近はLinuxとかが使われてますけど)なんて、ほぼ、ノーガードみたいなものが沢山あります。

rootのパスワードが初期設定のままだったり、変えてても「123456」みたいな、適当なものがついてたり・・みたいな。

もう、好き放題やられてたって不思議はない。

今、大丈夫なのは、偶然でしかない・・みたいに個人的には思ってます。

だから、自分はIOTを使うのを躊躇してます。

便利なのはわかります。

けど、セキュリティを置いてきぼりにした便利さなんて、犯罪者のカモになるためのものでしかありません。

とりあえず、その辺を気にしない怖いもの知らずの人たちが使って、どっかで、犯罪に巻き込まれて社会問題になるのは、確実だと思ってます。

テレビで被害者がわめきちらし、警察も企業も「想定外の自体だ」と発表する。

そこから、政府も企業もIOTのセキュリティを真剣に考え始める。

いつも、だいたい同じ構図ですものね。

自分は申し訳ないですが、初期の被害者の中に加わりたくはありません。

その対応ができたころに、ゆっくりIOTの恩恵にあずかろう。

姑息にもそう考えております(笑)