SecureWorks Japan(以下、Dell SecureWorks)は2015年11月11日、現実のサイバー攻撃をシミュレーションするサービス「SecureWorks Red Team Testing」を開始した。契約した企業に対して実際にサイバー攻撃を仕掛けることによって、サイバー攻撃対策の弱点を調査する。業務システムへのバックドアの設置や、漏えいしてはいけないデータの取得など、事前に打ち合わせて定めたゴール(目的)を達成するべく、様々なやり方で攻撃する。
一般的なセキュリティ診断が個々のシステムの脆弱性を調べることを狙うのに対して、Red Team Testingは、実際に攻撃の成果(ゴール)を達成することを狙う。現実の標的型攻撃と同様に、目的さえ達成できれば手段は選ばない。標的型メールの送付や遠隔アクセスだけでなく、業者を装って建物に入るといったオンサイトでの攻撃も実施する(写真1)。実施期間は数週間から数カ月と長期になる(図)。
同サービスは、グローバル市場では4年前から提供している。過去4年間の攻撃シミュレーションの実績は、「契約した全ての企業で、攻撃のゴールを達成した」(SecureWorks Japan、セキュリティ・エバンジェリスト、ジェネラル・マネージャのジェフ・モルツ氏、写真2)としている。今回のタイミングで同サービスを日本国内で提供する理由としてモルツ氏は、マイナンバー、PCI DSS、東京オリンピックの三つの要因を挙げる。
日本国内でサービスを提供するにあたり、日本人によるチームを構成した。標的型攻撃メールを日本語で書くほか、日本の商習慣に沿った攻撃を実施する。歳暮、中元、年賀状といった日本の文化も攻撃に利用する。料金は、SIサービスなどと同様に、稼働する工数ベースで決まる。案件に合わせて個別見積もりだが、基本サービスの内容はおおよそテンプレート化されている。500万円から3000万円くらいの価格感になるという。
隠密にサイバー攻撃を実施、攻撃対策組織の機能をテスト
契約企業に対しては、隠密に水面下でサイバー攻撃を実施する。セキュリティ責任者や情報システム部門など、一部の人だけがサービスを契約していることを知っている状態である。これにより、現実のサイバー攻撃を受けているのと似た条件で、その企業のサイバー攻撃対策能力を測ることができる。企業が攻撃を検知した場合も、インシデント対応チームの対応が適切かどうかが分かる。
主な実施フェーズは以下の通り。まずは情報を収集する。インターネットやSNSの上で公開されている情報をもとにプロファイリングする。次に、誰にどんなメールを送るかや、どのようなツールを使うかなどを決める。続いて、実際に企業に侵入を試みる。侵入に成功した後、企業内で侵入を繰り返すなど、攻撃を横展開する。こうして目的を遂行する。最後に、企業のサイバー攻撃対策の状況を分析して報告書にまとめる。
