Facebookがかなり本格的なインシデントレスポンスの訓練を実施していることは以前から有名ですが、Ars Technicaにその訓練内容についての記事が出ていました。
At Facebook, zero-day exploits, backdoor code bring war games drill to life | Ars Technica
Early on Halloween morning, members of Facebook's Computer Emergency Response Team received an urgent e-mail from an FBI special agent who regularly briefs them on security matters. The e-mail contained a Facebook link to a PHP script that appeared to give anyone who knew its location unfettered access to the site's front-end system. It also referenced a suspicious IP address that suggested criminal hackers in Beijing were involved.
Arsの記事によると、訓練のシナリオは FBIエージェントから Facebookのセキュリティチームに送られた 1通のメールで始まります。そこには Facebookのネットワークに外部からアクセス可能なバックドアについての情報が記されていたのです。これを見たチームは右往左往します。どうやってこのコードが紛れ込んだのか、誰の仕業なのか、バックドアは他にもあるんじゃないか。その後 24時間かけて、サーバのログ解析や PCのフォレンジック調査などを行い、ついに一人の開発エンジニアのラップトップPCがゼロデイ脆弱性を攻撃されてマルウェアに感染していたことを突き止める…
これが Facebookが昨年10月末に実施した最近の訓練(社内のコードネームは "Operation Loopback")の様子です。FBIエージェントは以前からチームが良く知る人物ですし、バックドアは本当にインストールされたものです(ただし実際に悪用されないように無害化したもの)。ゼロデイ脆弱性を突くエクスプロイトも無論本物。外部のセキュリティ業者の協力を得つつ、できるだけリアルに近いシナリオで実施しようとしていることが伺えます。もちろん訓練であることは従業員には伏せて行われます。これは相当いい訓練になると思います。まあやられるチームの方はたまったものではないと思いますが。
Facebookは定期的にこの手の訓練を実施していて、この記事では別の訓練 "Project Vampire" についても紹介されています。自社でここまでやっているところは米国でも少ないようで、外部の専門業者に依頼してシステムやネットワークの問題を調査してもらう、いわゆるペネトレーションテスト (Penetration Testing)のほうが一般的でしょう。これは日本でも広く行われているセキュリティ診断、脆弱性診断 (Vulnerability Scanning)とは異なります。網羅的に脆弱性を見つけることが目的ではなく、より実際の攻撃に近い形であらゆる方法を利用してシステムへの侵入を試みます。そのためソーシャルエンジニアリングを行ったり、従業員にマルウェアが添付されたメールを送ったり、なんでもアリなのがペネトレーションテストです*1。
Arsの記事の後半では、2010年に起きた Googleへの攻撃(Operation Aurora)や最近報道されて話題となった NYTimesや他の大手メディアへの攻撃を例に挙げて、こうした巧妙な攻撃に対抗するためには Facebookが実施しているような訓練やペネトレーションテストが必要とされていることを説明しています。その中で Trustwave (SpiderLabs)が実際に行ったペネトレーションテストの内容が紹介されています。昨年の RSA Conferenceでも発表されたものですが、これはとてもおもしろいです。
数年前にある会社にペネトレーションテストを実施した際、ペンテスターは社内に設置された監視カメラがインターネットに接続されていることを見つけました。この監視カメラのシステムには脆弱性が存在していたため、彼らはシステムに侵入して監視カメラの映像を自由に見ることができるようになりました*2。これを利用し、社員がキーボードから入力するパスワードをカメラの映像から読みとり、社内ネットワークへの侵入に成功したという、ウソのようなホントの話です。
RSA Conferenceでの講演は YouTubeでも公開されています。他のペンテストの例も紹介されているので、興味のある方はどうぞ。
RSA Conference 2012 -- Earth vs. the Giant Spider: Amazingly True Stories of Real Pen-Tests
国内でもメールによる標的型攻撃の訓練とか実施されていますが、もう一歩踏み込んでインシデントレスポンス訓練までできるといいですね。
