特集「マクドナルドに行ってみてください」とクリス・ガットフォードは教えてくれた。「『Create Your Taste』というバーガービルダーPCがあって、OSにアクセスできるはずです。そのマシンを見つけて、コマンドプロンプトを開いて、何か重要なことをしているふりをしてみてください」
「私はあなたを監視しています。」
ガットフォード氏が記者にハンバーガー店を訪問するよう指示したのは、「レッドチーム」と呼ばれる侵入テストの一形態を実践しているからだ。レッドチームとは、コンサルタントが想像力、創意工夫、そして勇気によってのみ制限される手法を使って顧客を攻撃するテストである。
彼は、数億ドル相当の大手不動産チェーンの、安全だとされる本社に侵入することを目的としたレッドチームの襲撃にレジスター紙を同行させる前に、私にハンバーガー製造業者を破裂させて私の弱点を探らせようとした。
そのターゲットを攻撃する前に、侵入テスト会社 HackLabs のディレクターである Gatford は、ソーシャル エンジニアリングの攻撃中に私が情報を漏らしてしまうかどうかを知りたがっています。
HackLabsのクリス・ガットフォード氏、ニューサウスウェールズ州マンリーのオフィスにて(写真:ダレン・パウリ/ The Register)
それで、マクドナルドのコンピューターが修理され、私の偽のシステム管理者の演技がキャンセルされたことが判明すると、私たちはオフィスビルのロビーを訪れ、そこでガットフォードは私に、みすぼらしい ATM がある小さなガラス張りの部屋に侵入するように挑戦しました。
鍵のかかった部屋への入り口が見えない。屋根から下を覗いている防犯カメラが見えたような気がするが、後になって確信が持てなくなった。入り口が思い浮かばず、緊張しているようにしか見えないから、なるべく気楽な態度を取ろうとしている。
時間切れだ。ガットフォードはロビー係とのやり取りを終えた。彼はどうやって入るのか尋ね、私が黙っている間に、ドアは熱センサーに反応するのだとほのめかす。
ヘアドライヤーを使うなんて、とんでもないことを呟くと、ガットフォードは笑いながら、手袋やスキーブーツに差し込むカイロのことを思い出させた。「あれを股間に差し込めばいいんだよ」と彼は言った。
私はそのテストに失敗したが、冷静さを保っていたので、レッドチームがめったに大きな抵抗に遭遇しないという理由だけで、ガットフォードは私をレッドチームの襲撃に同行させることに決めた。
「結局のところ、人々はただ助けたいだけなのです」とガットフォード氏は言う。
赤色警報
そのため、レッドチームによるレイドでは服装が重要な要素となります。今回のレイドでは、ソフトウェアエクスプロイトはスーツとクリップボードです。視認性の高い作業着やヘルメットなど、セキュリティテスターが本物に見えるような服装も必要です。
役柄にふさわしい服装を身につけた実務家は、ソーシャルエンジニアリングのスキルを駆使してスタッフを操り、自分の命令に従わせます。『ミスター・ロボット』のファンなら、主人公がソーシャルエンジニアリングを駆使して厳重に警備されたデータセンターにアクセスするエピソードを思い出すかもしれません。これはレッドチーム演習を様式化したものです。現実世界のキャプチャー・ザ・フラッグを想像してみてください。CEOのオフィス、警備室、そして何重にも施錠された扉の向こうにある厳重に警備されたエリアに旗が掲げられています。
フラグを採点することにより、テスターは物理的な防御の誤りやすさを実証します。
オペレーションが進行中であることを知っているのは、通常、標的企業のCEOであるマネージャー一人だけです。組織の真の防御を検証するには、限られた知識、つまりブラックボックステストが不可欠です。レッドチームのメンバーは通常、業務の最低限の基準以外は何も知らされず、スタッフは全く何も知りません。これは技術チームの不意を突くことになり、彼らの評判を落とす可能性があります。ガットフォード氏のように、防御を突破するために使うのと同じソーシャルエンジニアリングの手法で、怒り狂ったスタッフをなだめざるを得ないテスターは他にもいます。
レッドチームはほぼ常に勝利し、一部のチームをより大胆な攻撃へと駆り立てる。Vulture Southは、黒ずくめのハッカーたちがGoProカメラを頭に装着してデータセンターの屋上からアブセイリングで降り、警察に摘発されたオーストラリアのチームを取材している。
太平洋の向こう側では、ベテランセキュリティテスターのチャールズ・ヘンダーソン氏が、数年前にレッドチーム演習の仕事を終えて倉庫から出てきた時のことを語ります。「倉庫を出ようと歩いていると、ふとトラックが目に入りました」とヘンダーソン氏は言います。「シュレッダー処理される予定の会社のディスクが満載で、鍵も入っていました。」ヘンダーソン氏はCEOに電話をかけ、トラックが対象範囲内かどうか尋ねました。対象範囲内とは、侵入テスターにとってゴーサインとなる条件です。実際、対象範囲内でした。警察に通報される可能性がなければ、彼はタクシーに飛び乗って走り去っていたでしょう。ヘンダーソン氏は現在、IBMの米国における新しいレッドチーム演習部門を率いていますが、この部門も自らがゼロから構築したものです。
「刑法では行為と意図をほとんど区別しないケースがあり、レッドチームは任務中、特に物理的な侵入任務を行う際に苦境に立たされる」と、センス・オブ・セキュリティのメルボルン事務所のナサニエル・カルー氏とマイケル・マッキノン氏は述べている。「レッドチームは、企業からの委任状を常に携帯しておくべきだ。」
記者はハッカーコミュニティと酒を酌み交わす中で、レッドチーム作戦中に法執行機関が現場に駆けつけたという話を数多く耳にしてきました。あるオーストラリア人は、軍用グレードのスナイパースコープを覗き込んでいたところ、警官に窓をノックされました。ガットフォード氏は数年前、ニューサウスウェールズ州の電力会社でレッドチームの任務中に道を間違え、巨大な工業炉のある小さな部屋で対面しました。彼と同僚はスーツ姿でした。中東で任務中の別のテスターは、CEOが電話に出なかったため、AK-47を携えた警備員に1日間拘束されました。レジスター紙の取材によると、レッドチームの参加者はロンドン、シドニー、ケベックで警察に止められたそうです。
オーストラリアの優秀なレッドチームメンバーの一人が、ノートパソコンと携帯電話を使って大手ゲーム会社に完全に侵入した方法を語りました。レッドチームで現場にいても、キーボードの裏で作業していても、目的は同じです。あらゆる手段を使って侵入することです。
