2019年10月16日 08時00分 公開
特集/連載

ペネトレーションテスターは信頼できるのか問題のあるペンテスターも

システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。

[Cliff Saran,Computer Weekly]

 ペネトレーションテスト(ペンテスト)は、企業セキュリティの脆弱(ぜいじゃく)性の特定を目的とする。だがペンテストの担当者(ペンテスター)が使うツールやテクニックをハッカーが積極的に悪用しているとBlackBerry Cylanceが警告している。

 BlackBerry Cylanceのレポート「Thin Red Line: Penetration Testing Practices Examined」(注意:ペンテスト手法の検証)は「ペンテストサービスを提供する20社以上の企業をレビューしたところ、実際にはプライバシーと機密性の点で顧客にリスクをもたらしているという結論に至った」と述べている。

さらに恐るべき事実

 同社の調査で、OSの組み込み保護機能やウイルス対策ソフトウェアなどの迂回(うかい)方法をペンテスターが公開している事例が大量に見つかった。レポートは次のように警告している。「その直後から、数多くの攻撃者がこうした迂回方法を取り入れているのを見つけている。どうやら、こうした事例はセキュリティ企業と開示の調整をせずに行われているようだ」

 BlackBerry Cylanceでリサーチおよびインテリジェンス部門のバイスプレジデントを務めるジョシュ・レモス氏は次のように語る。「ここ5年で、ペンテストサービスを提供する企業が世界中で急増している。それが企業のセキュリティを著しく損なう恐れのある手法につながっている」

 レポートは、ペンテスターがセキュリティ製品の迂回方法を公開した事例は多数あり、持続的標的型脅威(APT:Advanced Persistent Threat)グループがそれを迅速に実装するようになっていると指摘している。「『AV bypass』というフレーズをTwitterで検索するだけだ。検索結果の約80%はペンテスターが公開した記事だ」(訳注:「AV」は「antivirus」のこと)

 BlackBerry Cylanceによると、ペンテスト中にWindowsの組み込み保護機能を迂回しなかったことで生じた問題を、ペンテスターがブログで公開した2016年4月19日の事例がある。そのペンテスターは、他のペンテスターが同じ問題に遭遇する恐れがあるのでその助けになればと、組み込み保護機能の正当な迂回方法を投稿した。

 同社によるとこのペンテスターのWebページはその後削除されたが、アーカイブ版はまだ入手できるという。「ペンテスターが迂回方法を投稿するや否や、半ダース以上のAPTや犯罪のグループによる何百もの攻撃にその迂回方法が実装され、以後、何年も問題が続いている」とレポートに書かれている。

 レポートは、セキュリティ企業の専門家が攻撃者とペンテスターを混同した事例も指摘している。

ITmedia マーケティング新着記事

news093.jpg

AI活用で日本が米国に追い付く――PwC調査
PwC Japanグループが日本で実施した調査の結果から、日本企業によるAI活用が大きく進み、...

news036.jpg

SaaS企業の成功メソッド「PLG」を実践するための組織作りとは?
成長を続けるSaaS企業には組織としての共通点がある。それは具体的にどのようなものだろ...

news093.jpg

メディア総接触時間、「携帯電話/スマートフォン」が「テレビ」を上回り首位に
博報堂DYメディアパートナーズによる、生活者のメディア接触の現状を捉える年次調査の結...