脅威ベースのペネトレーションテスト（TLPT）実践からの示唆 TLPTにおけるスレットインテリジェンスの活用

2020-09-25

TLPTにおけるスレットインテリジェンスの位置づけ

TLPT（Threat Led Penetration Test）は、実際に想定されるサイバー攻撃の脅威に基づいて実施されるペネトレーションテストです。テスト実施者は被対象組織を闇雲に攻撃するわけではなく、初めにスレットインテリジェンスに基づいた攻撃シナリオの策定を行います。その後、策定した攻撃シナリオをどのように実施するかをテスト計画として策定し、計画に基づいてテストを実施します。スレットインテリジェンスとは一般的に、自組織のサイバーセキュリティ対策向上を目的にサイバーセキュリティ脅威に関する情報（インフォメーション）を分析する取り組みや、それを提供するサービスを指します。こうした分析は、企業や組織の意思決定を左右する知見にもなり得ます（詳しくは「再考、スレットインテリジェンス」をご覧ください）。スレットインテリジェンスの活用はTLPTの特徴の一つであり、一連のプロセスは、国内では2019年9月、公益財団法人金融情報システムセンター（FISC）から公開された「金融機関等におけるTLPT実施にあたっての手引書^*1」によってまとめられています。

一方、TLPTの実施が先行している英国では、イングランド銀行によってTLPTを実施するフレームワークとしてCBEST^*2が定義されています。また、CREST（the Council for Registered Ethical Security Testers）^*3と呼ばれる資格団体がCBESTに基づいたフレーワームを定義しており、セキュリティベンダーの認証を実施しています。CRESTによる認証はサービスごとに細分化されており、スレットインテリジェンスについては「Simulated Target Attack （STAR） Threat Intelligence services」として提供されています。

昨今のサイバーセキュリティを検討する上で欠かすことができないスレットインテリジェンスをTLPTでどのように活用するか、その目的と方法を考えます。

TLPTにおけるスレットインテリジェンスの目的

前述の通り、スレットインテリジェンスは意思決定のための知見と考えることができます。あらかじめ脅威の内容を把握し、どのように対処するべきかを考えておくことは、迅速かつ的確な対応を行う上で非常に有効となります。企業や組織の重要な決断のもととなるため「何のために分析するのか」という目的設定が非常に重要となります。分析の目的によって必要となる情報や知見が異なるため、そこが明確でないと、単なる情報に留まり知見に至らない、自組織に役に立たない知見しか得られない可能性があります。TLPTにおいては「自組織（被対象組織）で実際に想定される脅威を明らかにする」ことが目的となります。

TLPTにおいてスレットインテリジェンスをどう活用するかを考える前に、どのような情報がスレットインテリジェンスになり得るのかを考えてみましょう。いくつかの考え方をもとに明確にすることができますが、ここでは5W1Hを活用した例を紹介します。誰が（Who）、どこから（Where）、何を（What）、なぜ（Why）、いつ（When）攻撃しているのかを明らかにし、その手法を防御側の知見とするというものです。

例えば、実際のハッキングで多用されるハッキングツールのハッシュ値はスレットインテリジェンスと言えるでしょうか。この情報から分かることは、1）ハッキングツールの存在、2）そのハッキングツールが世の中のサイバー攻撃で多用されていること、3）そのハッキングツールのハッシュ値です。そのため、誰が使っているのか（Who）、どの業種・企業、システムを攻撃し、（Where、What）、なぜ攻撃しているのか（Why）、どのように使われるのか（How）、いつ攻撃されるのか（When）などを説明しきれておらず、「実際に想定される脅威を明らかにする」という目的を十分に果たしているとは言えません。

より攻撃者像に着目してその意図、能力、機会で捉えることもできます。これを5W1Hと掛け合わせることで攻撃者の実態がより浮き彫りになり、取るべき対策の検討に役立てられると考えられます。なお攻撃者の意図に関しては、「日本企業に対するインシデント解説サイバー攻撃者は何を目的に攻撃するか」を併せてご覧ください。

攻撃シナリオに落とし込むためのスレットインテリジェンス

「再考、スレットインテリジェンス」でも紹介したように、スレットインテリジェンスは大きくストラテジック型、OSINT（Open Source Intelligence）型、テクニカル型に分類することができます。このうち、TLPTでより必要となるのはテクニカル型です。スレットインテリジェンスの結果に基づいて攻撃シナリオの策定を行う必要があるため、より実用的な同型が求められるのです。そのため、TLPTにおけるスレットインテリジェンス活用のアプローチとしては、大きく分けて以下の2つが考えられます。

1．事例情報に基づいた攻撃者像の分析

テレワーク・リモートワークの普及に伴うインシデントなど、世の中の動向に連動したインシデント事例、同業他社のインシデント事例および自組織内で過去に発生したインシデント事例に基づいて攻撃者像の分析を行うアプローチです。特に他社事例などでインシデントの詳細が判明・公開されているケース、自社事例で分析が実施されているケースでは、攻撃グループ名、戦術、攻撃手法、利用されたツールなどのいずれかをキーにMITRE ATT&CK^*4と照合することで、想定される攻撃の全体像を洗い出すことができます。こうした情報はMITRE ATT&CKのウェブサイト上でまとめられており、例えばAPT41と呼ばれる攻撃者グループの情報^*5を確認することで、同グループが用いる攻撃手法、利用するツールなどの情報を把握することができます。

2．収集情報に基づいたアタックサーフェイスの分析

主にOSINTにより収集されたオープン情報を攻撃者視点で見た場合に、どのような攻撃が考えられるかの分析を行うアプローチです。これは、ダークウェブなどで流通し売買されている社員のメールアドレス・パスワードなどの漏えい情報、自社が展開しているサービスのアカウント販売情報、IoT検索エンジンなどにより検出される、インターネットに接続された自社のShadow ITに関する情報が含まれます。例えば、自社で過去にサイバー攻撃による情報漏えいが発生しており、当該情報がダークウェブ上で流出していることが確認された場合、このような情報を悪用した攻撃が考えられます。具体的には、漏えいしているメールアドレスに対するスピアフィッシング攻撃や、漏えいした認証情報を悪用したサービスへの不正利用などです。

こうして収集・分析された結果と自組織が置かれた環境や情勢を複合的に分析することで、実際に起こり得る攻撃を描き、攻撃シナリオを策定します。次回は、攻撃シナリオに基づいてどのようなペネトレーションテストを実施するかについて紹介します。

^*1金融情報システムセンター,2019年,「金融機関等におけるTLPT実施にあたっての手引書【PDF版】」

^*2BANK OF ENGLAND, ‘Financial sector continuity ‘（2020年9月2日閲覧）

^*3CREST（2020年9月2日閲覧）

^*4サイバー攻撃に関する戦術、テクニックをまとめたフレームワーク。実際に発生したインシデントの分析に基づいて戦術、テクニックと攻撃グループや利用されたツールなどの情報の紐づけも行われている。

^*5MITRE,2019年,‘APT41’（2020年9月2日閲覧）

執筆者

村上純一

パートナー, PwCコンサルティング合同会社

※ 法人名、役職、コラムの内容などは掲載当時のものです。