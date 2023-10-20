ペネトレーションテスト

ペネトレーション・テスト（または「侵入テスト」）は、セキュリティー侵害をシミュレートしたものです。テスト実施者は、企業システムに不正アクセスする悪意のあるハッカーを模倣します。もちろん、テスト実施者が実害を加えることはありません。実施者はテストの結果を、企業が実際のサイバー犯罪者から身を守ることに役立てます。

ペネトレーション・テストは、次の3段階で行われます。

1. 偵察

偵察段階では、ペネトレーション・テストの実施者が、会社のネットワークにあるコンピューター、モバイル・デバイス、Webアプリケーション、Webサーバー、およびその他の資産に関する情報を収集します。この時ネットワーク全体のフットプリントのマッピングが行われるため、「フットプリンティング」と呼ばれることもあります。

テスト実施者は、手動または自動化された方法で偵察を行います。ヒントを求めて、従業員のソーシャル・メディアのプロフィールやGitHubページをくまなく調べる場合もあります。時により、Nmapなどのツールを使用して開いているポートをスキャンしたり、Wiresharkなどのツールを使用してネットワーク・トラフィックの検査を実施します。会社が許可している場合は、ソーシャル・エンジニアリング戦術により、従業員をだまして機密情報を共有させることもあります。

2. 段階的攻撃

ペネトレーション・テストの実施者は、ネットワークの概要と利用できる脆弱性を把握すると、システムをハッキングします。テストの範囲によっては、さまざまな攻撃が試みられる可能性もあります。このテストでごく一般的に使用される攻撃には、次のようなものがあります。

– SQLインジェクション：テスト実施者が悪意のあるコードを入力フィールドに入力し、ウェブページまたはアプリを取得して機密データを開示させようとします。

– クロスサイト・スクリプティング：テスト実施者が、企業のウェブサイトに悪意のあるコードを埋め込もうとします。

– サービス拒否攻撃：テスト実施者が、サーバー、アプリ、その他のネットワーク・リソースにトラフィックを大量に送信してオフラインにさせようとします。

– ソーシャル・エンジニアリング：テスト実施者は、フィッシング、おとり、プリテキスティング、またはその他の戦術を使用して、従業員をだましてネットワーク・セキュリティーを侵害します。

攻撃中、テスト実施者は、悪意あるハッカーが既存の脆弱性をどのように利用し得るか、また、ネットワークへの侵入後、ネットワーク全体をどのように移動し得るかを調査します。加えて、ハッカーがどのような種類のデータや資産にアクセスできるかを調べます。さらに、既存のセキュリティー対策がその活動を検出または阻止できるかも確認します。

攻撃の最後に、テスト実施者はテストの痕跡を隠します。これには2つの目的があります。まず、サイバー犯罪者がネットワーク内でどのように潜伏するかを示すためです。第2に、悪意あるハッカーが倫理的ハッカーの後を追って密かにシステムに侵入するのを防ぐためです。

3. 報告

テスト実施者は、ハッキング中のすべての行動を記録します。次に、利用した脆弱性、アクセスした資産とデータ、セキュリティー・システムを回避した方法を概説したレポートを情報セキュリティー・チームに提出します。倫理的ハッカーは、これらの問題に優先順位を付けて修正するための推奨事項も作成します。

脆弱性評価

脆弱性評価はペネトレーション・テストに似ていますが、脆弱性を悪用するまでには至りません。そうではなく、倫理的ハッカーは手動および自動化された手法で、システム内の脆弱性を見つけ、分類し、優先順位を付けます。そして、調査結果を企業と共有します。

マルウェア分析

倫理的ハッカーの中には、ランサムウェアやマルウェアの種類の分析を専門とする人もいます。彼らは新たにリリースされたマルウェアを研究してその仕組みを理解し、その結果を企業や幅広い情報セキュリティー・コミュニティーと共有しています。

リスク管理

倫理的ハッカーは、高レベルの戦略的リスク管理を支援することもあります。つまり、新たに生まれた脅威を特定し、それらの脅威が企業のセキュリティー体制にどのような影響を与えるかを分析し、企業の対抗策の構築を支援することです。