脅威ベースのペネトレーションテスト（TLPT）実践からの示唆 攻撃シナリオに基づいたペネトレーションテストとは

前回、脅威ベースのペネトレーションテスト（TLPT）においてスレットインテリジェンスを活用する目的として、テスト対象の組織にとっての「脅威」を明らかにすることであると述べました。また、スレットインテリジェンスを活用して攻撃シナリオを作成するアプローチとして、「事例情報に基づいた攻撃者像の分析」と「収集情報に基づいたアタックサーフェイスの分析」の2つを説明しました。これらのアプローチから得た結果と自組織が置かれた環境や情勢に鑑みて分析を行うことで、現実に起こり得る攻撃を想定した攻撃シナリオを策定することができるようになります。本稿では、策定された攻撃シナリオに基づいて実際にどのようにペネトレーションテストを実施するかを紹介します。

スレットインテリジェンスによる攻撃シナリオの策定の仕方

スレットインテリジェンスの調査とネットワーク環境などに関するヒアリング、リスクアセスメント資料の分析をもとに、その環境に対して現実に起きる可能性がある攻撃のプロセスを、攻撃シナリオとして策定します。攻撃シナリオの検討にあたっては、初めに攻撃の目標（クラウンジュエル）と目的を決めます。攻撃の目的の例としては、機密情報や個人情報の窃取と外部への持ち出し、システムの不正制御や破壊といったものがあります。

次に、その目的を達成するために、どのような過程を経て攻撃が実施されるかを検討します。具体的には、想定される攻撃グループが、どのような攻撃経路を、どのような手法（Tactics, TTPs:Techniques and Procedures）で、どのようなツールを使用して攻撃の目的を達成し得るかを分析し、サイバーキルチェーンの各段階における攻撃内容へ反映しながら、攻撃シナリオを策定します。

攻撃シナリオの例（標的型メール攻撃・内部犯行・物理攻撃）

代表的なTLPTの攻撃シナリオとしては、APT(Advanced Persistent Threat：高度で継続的な脅威)グループによる標的型メール攻撃が挙げられます。この攻撃シナリオをサイバーキルチェーンに沿って策定する場合、攻撃者は、まず攻撃対象の調査を行い（探索）、攻撃に用いるマルウェアを作成し（武器化）、外部からマルウェアを添付した攻撃メールを送付することが想定されます（デリバリー）。さらに、OA端末の感染を試み（エクスプロイト、インストール）、C2サーバーにより端末の遠隔操作を行うと考えられます（指令と制御）。そして、内部での感染拡大を試み、設定した攻撃の目標・目的に到達するまで攻撃試行を続ける（目的実行）――。こうして基本的な攻撃シナリオを作成することができます。

さらに、この攻撃シナリオを図表2のように（1）～（9）の詳細なプロセスまで落とし込み、より標準的なシナリオに発展させることで、攻撃の具体像をより詳細に把握することができます。攻撃は必ずしも外部からのみとは限りません。組織によっては、内部犯行による情報漏えいが最大の脅威となるため、組織内から攻撃が始まるケースも想定しておくべきでしょう。または、オフィスやデータセンターへ人が物理的に不正侵入を行い、情報が格納されているサーバーやOA（Office Automation）端末などの機器に対して物理的な攻撃を行うという攻撃シナリオも考えられるでしょう。

（1） メール経由でマルウェアを配布

（2） OA端末内でマルウェアを実行

（3） C2端末へ接続し、外部通信を開始

（4） 脆弱性を悪用し、特権ユーザーへ権限を昇格

（5） ユーザーアカウントの認証情報を窃取

（6） 窃取した認証情報を使用し、他のOA端末へ感染を拡大

（7） サーバーに対してリモートコードを実⾏し、攻撃を拡大

（8） サーバーから顧客情報や機密情報を収集

（9） 収集した情報をC2端末に移し、外部に漏えい

このようにTLPTでは、スレットインテリジェンスで得た分析結果や組織環境の調査などにより策定した攻撃シナリオに基づいて、ペネトレーションテストを実施します。そして、適切な精度と期⽇で防御・検知、調査、報告などができたかを評価し、サイバーレジリエンスに対する課題を洗い出します。次回は、サイバー攻撃発生時にインシデント対応を行うブルーチーム（防御側）の態勢評価の手法と評価結果の活用の仕方について紹介します。