社外からの通報 ―「NTTデータが攻撃されている?」
「社員の誰かが、疑似マルウェアをVirsuTotal(※3)に検体としてアップロードしたようです。それと関係しているかわかりませんが、テスト用のドメインがSpamhaus(※4)のブラックリストに登録されてしまい、メールサーバのクラウド事業者が、メールの送信をブロックしてしまいました。Spamhausとクラウド事業者には解除を要請してみます(※5)。テストのほうは、念の為用意しておいた別ドメインへ切り替えることで続行できるか検討します。ただ根本的な解決ではないので再度ブロックされる可能性もあります。そうなったらちょっと困ったことになりますね。」
またしばらく時間をおいてCSIRT部門からも連絡が入りました。
「社外のセキュリティ会社から『NTTデータが攻撃されているのでは?』との問合せがきました。内容を確認の上、今回のテストと関係あるか回答をもらえますか。」
White Teamに求められるケーパビリティ
Red Teamは代替ドメインへの切り替えを行えばテストは続行できると言っています。しかし、その判断で問題ないでしょうか?
例えば、攻撃されているのではないかという社外からの問合わせを受け調査した結果、テスト起因だと判明した場合、基本的にはテストの続行を選択するでしょう。しかしながら、社外で不確かな情報が拡散し、自社の取引先・ユーザがその情報を目にすれば、さらなる問合わせに発展する可能性もあります。White Teamは、業務への影響、レピュテーションの低下といった事態を招く可能性も考慮し、テストの続行とともに必要な対処を検討・実施する必要があると考えるべきです。
また社員に対し、VirusTotalのようなサイトの利用を許可する以上、テストで使用する疑似マルウェア(検体)からの情報漏えいも考慮する必要がでてくるかもしれません。通常のマルウェアであれば機密情報が含まれることは考えにくいですが「十分に内部偵察が行われた上での犯行」を想定したシナリオを実施する場合には注意が必要になります。実際、我々自身、一部リージョンではこのようなテストを実施しました。長期的に内部を偵察し、組織固有のセキュリティ対策の実装状況なども把握されたという前提で(実際にはそれら情報をRed Teamに渡し)、対策を回避する仕掛けを擬似マルウェアに作り込んでもらったのです。我々の場合、当該シナリオの実施に関しては、関係者を相当に絞り込み、テスト計画をある程度説明した上で実施しました。つまり攻撃のリアル性を少々犠牲にし、リスクヘッジを優先したということです。
図:WhiteTeamの役割・求められるケーパビリティ
2019/6/17に本サイトに掲載の「TLPT ~全ての企業に必要であるモダンなセキュリティ診断~( https://www.nttdata.com/jp/ja/data-insight/2019/061702/ )」のこと。
日本(本社)と、欧州、北米、中国、APACのグループ各社を接続する自社ネットワークを対象としたTLPTのこと。
ファイルやウェブサイトのマルウェア検査を実施できるサイト
スパムメールのブロック等を目的に利用されるDNSブラックリストを公開しているサイト
通常はドメインの所有者(今回のケースではRed Team(テスタ企業))から行うが、今回は申請が受理されなかったため、追加でWhite Teamからも申請を実施。被検組織自身から申告することで、無事ブラックリストから削除してもらうに至った。