ハッカーが評価する「脆弱性攻撃ツール」の種類とは？ 独自調査で判明：「ハッカー視点のセキュリティレポート」の気になる中身【前編】（1/2 ページ）

侵入テスト実施者やハッカーを対象とした調査結果をまとめたセキュリティレポートが公開された。IT担当者やベンダーを対象とした一般的な調査からは見えにくかった“真実”とは。

[Michael Heller，TechTarget]

侵入者視点のセキュリティレポートに書かれていることとは

　ほとんどのサイバーセキュリティレポートは、IT担当者やベンダーなど定番の情報源に基づいて作成されている。だが、このたび作成されたレポートでは、これまで十分に取り上げられてこなかったペネトレーション（侵入）テストの実施者（以下、ペネトレーションテスター）とハッカーの視点に焦点を当てるという、新たな試みに挑戦している。

　フォレンジック（証拠保全・分析）ベンダーのNuixは、米ラスベガスで2016年7月末から8月上旬に掛けて開催されたセキュリティカンファレンス「Black Hat」「DEF CON」でペネトレーションテスターとハッカーを対象とした調査を実施し、その結果をサイバーセキュリティレポート「The Black Report」にまとめた。このレポートの中で、Nuixの最高情報セキュリティ責任者（CISO）を務めるクリス・ポーグ氏は「調査結果は従来のサイバーセキュリティの認識とは大きく異なるものになっている」と記している。

　攻撃阻止に有効だと考えられている対策の中には、攻撃を鈍らせることすらできないものがある。一方で全く根拠がないと考えられている防衛対策が、実は防御態勢にとって大きな意味を持っていることもある。「明らかになったのは、早急に認識と現実をすり合わせなければならない実情だ」とポーグ氏は語る。

　このレポートは、ペネトレーションテスターとハッカーの両方を調査対象としている。調査に回答したペネトレーションテスターの1人が指摘したところによると、侵入に使用するツールや手法は攻撃者と全く同じであり、違うのは、侵入が仕事なのか、犯罪なのかだけだという。

　過去にブラックハットハッカー（技術を悪事に利用するハッカー）として活動し、現在はペネトレーションテストベンダーRhino Security Labsでアセスメントディレクターを務めるヘクター・モンセガー氏は、このような調査プロジェクトやハッカーを対象とした調査に大きな関心を寄せる。その理由は「自分や所属する組織の能力を高める情報にアクセスできることが、非常に重要だからだ」と話す。

　ペネトレーションテスターとハッカーは、どちらも同じようにセキュリティ問題に日々取り組んでいる。自分自身が攻撃の被害者になることさえある。サイバーセキュリティに携わる彼らの思考や経験を調査することは、サイバーセキュリティを理解する最初のステップとして非常に有効だ。

　Black Hat／DEF CONや「Hack In The Box」などのセキュリティカンファレンスでは、サイバーセキュリティの研究者が脆弱（ぜいじゃく）性に関する情報や攻撃手法などを報告している。だが実際のところ「ほとんどの人はセキュリティカンファレンスの内容を入手する方法はおろか、こうしたカンファレンスが存在することすら知らない」とモンセガー氏は指摘する。

　このレポートには「セキュリティの確保に役立つ知見が書かれており、他のサイバーセキュリティレポートでは見たことのない視点が記されている」と、調査会社Forrester Researchでシニアアナリストを務めるジョセフ・ブランケンシップ氏は説明する。ペネトレーションテスターとハッカーのセキュリティに対する視点を身に付けることは「有益で、意思決定を下す上で役に立つだろう」とブランケンシップ氏は指摘。「多くのセキュリティ意思決定者は、この視点を持ち合わせていなかったのではないだろうか」と語る。

併せて読みたいお薦め記事

「侵入テスト」についてもっと詳しく

• 無償で使える5つのネットワーク侵入検知ツール
• 「人の脆弱性」をあぶり出す、4つの侵入テスト手法

失敗しない「学校IT製品」の選び方：不正侵入対策編

• 学校システムへの不正侵入が招く「最悪のシナリオ」とは？
• 「無線LAN」が学校のセキュリティ対策を台無しにする“真犯人”だった？

攻撃手法

　当然ながら、このレポートに含まれる全ての情報が、従来のサイバーセキュリティについての認識と矛盾するわけではない。調査では回答者の72％が、攻撃を仕掛ける前にソーシャルエンジニアリングで情報を収集すると答え、86％が標的の弱点を見つけるために脆弱性スキャンを使用すると答えている。またフィッシング（40％）とサーバへの直接攻撃（43％）が、最もよく使われる攻撃手法の上位2位を占める。

　一方でこのレポートからは、侵入に使われるツールは、サイバーセキュリティの専門家が想定しているツールとは異なる可能性があることが明らかになった。市販のツールを使用していると回答したのは10％しかおらず、エクスプロイトキット（脆弱性攻撃ツール）を使用していると答えた回答者は、わずか3％だったのだ。なお回答者の60％がオープンソースソフトウェア（OSS）のツール、21％が自作ツールを使用している。「通常、組織に所属していればツールの購入予算が与えられる」とポーグ氏は指摘する。だがこの調査結果は、予算がある場合でも無料のツールや自作ツールを選んでいることを示している。