サイバーセキュリティ
October 6, 2025
レッドチームが想定外の事実を明らかにするとき
多くの組織は自分たちがセキュアであると思っている——が、レッドチームがそれを証明するまで。私が28年にわたるオフенсивセキュリティのキャリアの中で見てきたのは、実際の攻撃者による戦術が企業の防御システムに適用されると、どれほどすばやく自信が崩壊するかである。レッドチームの作戦はシステムをテストするだけでなく、決心した、洗練された攻撃者の視点から見て得られるアクセスの限界を押し広げる。多くの場合、参戦規則は広く、サーバーサイドの攻撃だけでなく、ソーシャルエンジニアリング、ワイヤレス、さらには物理的な手法も許可される。私たちが作戦でしばしば発見するのは、壊滅的なレベルのアクセスが可能であるということである。私と私のチームは、商業用の爆発炉、ドライバーのコード署名インフラストラクチャ、給与システム、機密の知的財産、銀行のホストシステム、CCTVシステム、CFOの受信トレイ、MRI/X線マシンの結果、機密の医療情報を含むファイル共有、企業ネットワークにVPN接続されたCEOの2番目の自宅、そして多くのActive Directoryフォレストの完全なハッシュダンプへのアクセスと制御を獲得してきた。クラウドリソースを妥協した後、私たちはオンプレミスネットワークに移行し、オンプレミスからクラウドベースのフットホールドへの作戦を遂行してきた。時には、ターゲットが大きいほど、情報セキュリティの予算の規模に関係なく、簡単になることがある。これは、攻撃者と防御者之间の自然な非対称性によるものである。大きい規模では、意図せずに弱点が露呈する機会が増える。これらのリスクは理論的なものではない。現実的であり、多くの組織がこのレベルの妥協に脆弱であることを認識していない。フットホールド外部の侵入はフットホールド——深刻な妥協の扉を開く初期のアクセスポイント——から始まる。私たちの仕事では、フットホールドを4つの主なタイプに分類する。1. ソーシャルエンジニアリング一般的ではあるが、私たちが最も報われると考えているものではない。ユーザーをリンクをクリックさせるか資格情報を明らかにさせることは効果的だが、洗練された攻撃者のスキルを反映していない。ただし、攻撃者がCFOのメールを偽装して「緊急」のワイヤー送金を開始したり、AI生成のボイスクローンを使用してヘルプデスクのプロトコルをバイパスしたりするのを見てきた。2. パスワードスプレーこの低速で継続的なテクニックは、依然として最も効果的なものの1つである。一般的なパスワードを大量のユーザーリストに推測することで、攻撃者はロックアウトを避け、多くの場合成功する。パブリックソースからスクラップした数千のユーザー名に対して「Summer2025!」というパスワードを使用してネットワークを侵害したことがある。企業ユーザーの1,000人に1人以上がそれを選択する可能性がある、除けなければならない単語の適用がない限り、「summer」や「2025」や「25」といった文字列をブロックする。長いパスワードポリシーの場合、「Summertime2025!」が例として考えられる。3. MFAの弱点マルチファクターオーセンテーションは不可欠だが、万能ではない。すべてのセキュリティコントロールと同様に、徹底的で一貫した展開が重要である。プッシュの疲労、条件付きアクセスのループホール、古い登録リンクを使用してMFAをバイパスしてきた。ある場合には、侵害された受信トレイで見つけた6か月前のリンクを使用して私たちのデバイスを登録した。4. 利用可能な脆弱性カスタムWebアプリは特に脆弱である。私たちは、SQLインジェクションからパストラバーサル、オブジェクトのデシリアライゼーションバグまで、論理的な欠陥がチェックアウトで基本的なユーザーが価格を設定できるようにしたり、管理者への昇格を許可したりするものまで、すべてを利用してきた。古くなった商用ソフトウェアコンポーネントは、修正されなければリモートコードの実行につながる可能性がある。現実の確認:コンプライアンスvs. 露呈セキュリティ監査では、多くの場合、陽気な絵が描かれる。しかし、レッドチームはスクリプトの外側で動作する。レッドチーム作戦の参戦規則は、標準のペネトレーションテストよりも広い——目標のある攻撃者をシミュレートする。多くのエンゲージメントでは、クライアントは過去のペネトレーションレポートをいくつか持っているが、「侵入」の実証はほとんどない。基本的な非認証の外部からのペネトレーションテストで重大なレベルのアクセスを達成することで、この認識を修正することは珍しくない。認識されたリスクと実際のリスクの間には大きなギャップがある。品質の高い、カバレッジ指向のペネトレーションテストは、まだ成熟していないセキュリティポストを持つ組織にとって、目標ベースのレッドチーム作戦よりも価値がある。AIのオフенсивセキュリティでの役割AIはまだレッドチームの人間の工夫を置き換えていないが、ワークフローを加速させている。私たちは、概念実証のエクスプロイトを構築するために、攻撃面を分析するために、フィッシング作戦中に声をシミュレートするために、そして本物のように見えるフィッシングキャンペーンを構築するために生成AIを使用している。パブリックバグバウントリストでトップランクを獲得するエージェントオフенсивAIの台頭は、来るべきものの兆しである。防御者への共感私たちが攻撃的な役割を持っているにもかかわらず、防御者を深く尊重している。非対称性は現実的である——防御者は24時間365日完璧でなければならない;攻撃者は1つのミスだけが必要である。したがって、私たちのレポートは脆弱性、キルチェーン、スクリーンショット、現実世界の影響のみを強調するのではなく、テスト中に遭遇した肯定的な実践を最も上位に記載する。私たちがこれらを書くことを楽しんでいるのは、発見よりも多い。私たちはあなたのチームの一員であり、教育し、是正するために——あなたをさらすためにではない。結論:想定外のものは多くの場合、すぐ目の前にあるレッドチームは欠陥を見つけるだけでなく、組織に不快な真実を直面させる。セキュリティのFacadeは多くの場合、壊れやすいシステム、誤った構成、見落とされたリスクを隠している。私たちが想定外のものを発見するのは、批判するためではなく——強化するためである。セキュリティでは、現実の確認は選択肢ではない——それが「紙上でのセキュア」とフロントページの侵害の間にある唯一のものである。
