ペネトレーションテスターは信頼できるのか：問題のあるペンテスターも

システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。

[Cliff Saran，Computer Weekly]

　ペネトレーションテスト（ペンテスト）は、企業セキュリティの脆弱（ぜいじゃく）性の特定を目的とする。だがペンテストの担当者（ペンテスター）が使うツールやテクニックをハッカーが積極的に悪用しているとBlackBerry Cylanceが警告している。

　BlackBerry Cylanceのレポート「Thin Red Line: Penetration Testing Practices Examined」（注意：ペンテスト手法の検証）は「ペンテストサービスを提供する20社以上の企業をレビューしたところ、実際にはプライバシーと機密性の点で顧客にリスクをもたらしているという結論に至った」と述べている。

さらに恐るべき事実

　同社の調査で、OSの組み込み保護機能やウイルス対策ソフトウェアなどの迂回（うかい）方法をペンテスターが公開している事例が大量に見つかった。レポートは次のように警告している。「その直後から、数多くの攻撃者がこうした迂回方法を取り入れているのを見つけている。どうやら、こうした事例はセキュリティ企業と開示の調整をせずに行われているようだ」

　BlackBerry Cylanceでリサーチおよびインテリジェンス部門のバイスプレジデントを務めるジョシュ・レモス氏は次のように語る。「ここ5年で、ペンテストサービスを提供する企業が世界中で急増している。それが企業のセキュリティを著しく損なう恐れのある手法につながっている」

関連記事

• 主要VPNサービスは危険？　VPNプロバイダーの資本や国籍に注意
• スキル不足を補完する、演習によるサイバーセキュリティ経験値アップ
• 米国にまん延する「AIでセキュリティの課題は解決」論の危険性
• DDoS攻撃を阻止するトラフィックスクラビング
• ホストOSは守らない！　仮想化ベースセキュリティ技術

　レポートは、ペンテスターがセキュリティ製品の迂回方法を公開した事例は多数あり、持続的標的型脅威（APT：Advanced Persistent Threat）グループがそれを迅速に実装するようになっていると指摘している。「『AV bypass』というフレーズをTwitterで検索するだけだ。検索結果の約80％はペンテスターが公開した記事だ」（訳注：「AV」は「antivirus」のこと）

　BlackBerry Cylanceによると、ペンテスト中にWindowsの組み込み保護機能を迂回しなかったことで生じた問題を、ペンテスターがブログで公開した2016年4月19日の事例がある。そのペンテスターは、他のペンテスターが同じ問題に遭遇する恐れがあるのでその助けになればと、組み込み保護機能の正当な迂回方法を投稿した。

　同社によるとこのペンテスターのWebページはその後削除されたが、アーカイブ版はまだ入手できるという。「ペンテスターが迂回方法を投稿するや否や、半ダース以上のAPTや犯罪のグループによる何百もの攻撃にその迂回方法が実装され、以後、何年も問題が続いている」とレポートに書かれている。

　レポートは、セキュリティ企業の専門家が攻撃者とペンテスターを混同した事例も指摘している。