PR

 セキュリティソリューションを提供するラックは2015年10月14日、自作のセキュリティ検査用のソフトウエアで企業や団体を1カ月間“疑似攻撃”し、標的型サイバー攻撃への耐性を診断する新サービス「APT先制攻撃」を始めた。

 企業や団体のインシデント(セキュリティ上の事故)対応や対策製品に抜けや漏れが無いかを組織の内側から実践的に評価する。費用は600万円からで、年間7件の受注を目指す。

 APT先制攻撃の提供に向けて「疑似攻撃マルウェア」と名付けた検査用のソフトを自社でゼロから開発。攻撃者がマルウエアに指令を出したりマルウエアからデータを受け取ったりする「コマンド・アンド・コントロール(C&C)サーバー」も疑似的なものを同サービス用に設けた。

 これらを使って実際の標的型攻撃をなぞって疑似的に攻撃する()。ラックからの遠隔操作を受けて疑似攻撃マルウェアで他のPCやサーバーの情報を集めて感染を広げたり、別の攻撃ツールをダウンロードしたりする。

図 ラックが提供する検証サービス「APT先制攻撃」の概要
疑似攻撃で対策力を見極める
図 ラックが提供する検証サービス「APT先制攻撃」の概要
[画像のクリックで拡大表示]

 ディレクトリーサーバーを攻撃して管理者権限を奪ったり、機密情報を疑似C&Cサーバーに送ったりすることも仕掛ける。ただし、特定のPCに感染済みのところから検証を始めるため、感染防止力は評価しない。

“侵入先”を熟知し徹底攻撃

 検証期間は全体で3カ月間。最初の1カ月間でラックが診断対象組織にヒアリングして、部門や部署、支店といった組織の構成をはじめ、ネットワーク構成やセキュリティ対策製品の導入状況、個人情報や機密情報の保管の仕方などを把握する。

 実際の標的型攻撃でも攻撃者は攻撃前に情報を集める。ラックはヒアリング結果を基に攻撃シナリオを考える。

 次の1カ月間はシナリオに基づいて疑似攻撃を実施。「本番システムでの検証が望ましい」(セキュリティ本部MSS統括部 システムアセスメント部長の渡部友一氏)。最後の1カ月間でデータを分析し、30~40の項目にまとめた報告書を提出する。対策強化の必要があれば、その後のコンサルティングなどを引き受ける。

 従来も外部から疑似攻撃してシステムの脆弱性(セキュリティ上の欠陥)を見付ける「ペネトレーションテスト」はあったが、インシデント対応力は評価しない。

 これに対し渡部部長は「複数の対策製品が連携できているのか、インシデント対応は正しいのかなど、内側から評価するニーズが高まっている」と話す。ラックは半年に一度の検査を推奨している。