ペネトレーションテスターは信頼できるのか問題のあるペンテスターも

システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。

2019年10月16日 08時00分 公開
[Cliff SaranComputer Weekly]

 ペネトレーションテスト(ペンテスト)は、企業セキュリティの脆弱(ぜいじゃく)性の特定を目的とする。だがペンテストの担当者(ペンテスター)が使うツールやテクニックをハッカーが積極的に悪用しているとBlackBerry Cylanceが警告している。

 BlackBerry Cylanceのレポート「Thin Red Line: Penetration Testing Practices Examined」(注意:ペンテスト手法の検証)は「ペンテストサービスを提供する20社以上の企業をレビューしたところ、実際にはプライバシーと機密性の点で顧客にリスクをもたらしているという結論に至った」と述べている。

さらに恐るべき事実

 同社の調査で、OSの組み込み保護機能やウイルス対策ソフトウェアなどの迂回(うかい)方法をペンテスターが公開している事例が大量に見つかった。レポートは次のように警告している。「その直後から、数多くの攻撃者がこうした迂回方法を取り入れているのを見つけている。どうやら、こうした事例はセキュリティ企業と開示の調整をせずに行われているようだ」

 BlackBerry Cylanceでリサーチおよびインテリジェンス部門のバイスプレジデントを務めるジョシュ・レモス氏は次のように語る。「ここ5年で、ペンテストサービスを提供する企業が世界中で急増している。それが企業のセキュリティを著しく損なう恐れのある手法につながっている」

 レポートは、ペンテスターがセキュリティ製品の迂回方法を公開した事例は多数あり、持続的標的型脅威(APT:Advanced Persistent Threat)グループがそれを迅速に実装するようになっていると指摘している。「『AV bypass』というフレーズをTwitterで検索するだけだ。検索結果の約80%はペンテスターが公開した記事だ」(訳注:「AV」は「antivirus」のこと)

 BlackBerry Cylanceによると、ペンテスト中にWindowsの組み込み保護機能を迂回しなかったことで生じた問題を、ペンテスターがブログで公開した2016年4月19日の事例がある。そのペンテスターは、他のペンテスターが同じ問題に遭遇する恐れがあるのでその助けになればと、組み込み保護機能の正当な迂回方法を投稿した。

 同社によるとこのペンテスターのWebページはその後削除されたが、アーカイブ版はまだ入手できるという。「ペンテスターが迂回方法を投稿するや否や、半ダース以上のAPTや犯罪のグループによる何百もの攻撃にその迂回方法が実装され、以後、何年も問題が続いている」とレポートに書かれている。

 レポートは、セキュリティ企業の専門家が攻撃者とペンテスターを混同した事例も指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news175.png

製造業の8割が既存顧客深耕に注力 最もリソースを割いている施策は?
ラクスは、製造業の営業・マーケティング担当者500人を対象に、新規開拓や既存深耕におけ...

news105.jpg

「生成AIで作った広告」が物議 そのとき、コカ・コーラはどう動いた?
生成AIを広告制作に活用し、議論を呼んだCoca-Cola。この経験から何を学んだのか。

news028.jpg

新規顧客獲得と既存顧客のLTV向上、それぞれのCRO(コンバージョン率最適化)について
連載第4回の今回は、新規顧客の獲得と既存顧客のLTV(顧客生涯価値)、それぞれのCRO(コ...