クラウドペネトレーションテスト🔗
サービス概要🔗
Secureworksのクラウドペネトレーションテストは、実際の攻撃シナリオや攻撃者の行動をシミュレーションすることで、お客様のクラウド環境のセキュリティを体系的に評価します。当社のテストフレームワークは、複数の脅威ベクトルに対応し、巧妙な攻撃者によって悪用される可能性のあるセキュリティギャップ、設定ミス、脆弱性を詳細に評価します。
これらのテストを効果的に実施するためには、アクセスアカウント(Readerアカウントや開発者アカウントなど)、サービスプリンシパルの認証情報、リモートテスト用アプライアンスやVPN接続などの技術的インフラストラクチャといった、一定レベルのアクセスや情報が必要です。以下は、各テスト目的、実際のシナリオ、それらを実行するために必要なアクセスや情報の詳細な概要です。
| クラウドテストの目的 | 説明 |
|---|---|
| クラウド偵察 | 認証されていない外部攻撃者が、お客様のクラウド環境に関する情報を収集しようとするシミュレーションを行います。 |
| 認証されていない攻撃者による偵察 | 必要なアクセスまたは情報: なし。このテストは完全に外部からの視点で、内部アクセスや認証情報を一切使用せずに実施されます。 目的: 認証されていない外部攻撃者が、お客様のクラウド環境に関する情報を収集しようとするシミュレーションを行います。AWS、Azure、GCPインフラストラクチャ全体で、攻撃に利用される可能性のある公開リソースや情報を特定することが目的です。 実際のシナリオ: インターネット上の認証されていない攻撃者が、クラウドリソースの露出や情報漏洩を探し、クラウドインフラストラクチャへの足掛かりとなるものを見つけようとしています。こうした攻撃者は、設定ミス、開放ポート、公開データをスキャンするために自動化ツールや手動検索を活用します。 |
| 侵害前提シナリオ | 内部アカウントやサービスが侵害された場合のシナリオをシミュレーションし、クラウド環境への影響を評価します。 |
| 開発者認証情報の侵害 | 必要なアクセスまたは情報:
実際のシナリオ: 開発者がフィッシング攻撃の被害に遭い、認証情報が侵害されます。攻撃者は開発者と同じアクセス権を持ち、このアクセスを利用して権限昇格や複数のクラウドサービスにまたがる機密リソースへのアクセスを試みます。 |
| 低権限の一般ユーザーの侵害 | 必要なアクセスまたは情報:
実際のシナリオ: 従業員の認証情報がソーシャルエンジニアリングやマルウェアによって侵害されます。攻撃者はこの低権限アクセスを出発点として環境内を移動し、より高い権限の取得や制限されたデータへのアクセス方法を探します。 |
| オンプレミスからクラウドへのラテラルムーブメント | 必要なアクセスまたは情報:
実際のシナリオ: 攻撃者がオンプレミスリソース(例:ワークステーションや侵害されたADユーザー)を制御し、DirectConnect、ExpressRoute、Cloud Interconnectなどのハイブリッド接続を利用してクラウドリソースの侵害を試みます。 |
| クラウドからオンプレミスへのラテラルムーブメント | 必要なアクセスまたは情報:
実際のシナリオ: 攻撃者がクラウドベースのリソースを制御し、ハイブリッド接続を通じて社内ネットワークにピボットし、内部システムやデータの侵害を試みます。 |
| Azure固有のシナリオ | 以下のシナリオは、お客様のAzureクラウド環境を対象としています。 |
| アプリケーションのサービスプリンシパルの侵害 | 必要なアクセスまたは情報:
実際のシナリオ: 攻撃者がアプリケーションの脆弱性を悪用し、リモートコード実行(RCE)攻撃を成功させます。これにより、攻撃者はアプリケーションサーバー上で任意のコマンドを実行できるようになります。このアクセスを利用して、攻撃者はシステム内を移動し、サービスプリンシパルの認証情報(アプリケーションIDおよび認証キーまたは証明書)が含まれるセキュリティの甘い設定ファイルや環境変数を特定します。これらの認証情報を入手した攻撃者は、アプリケーションになりすまし、サービスプリンシパルがアクセス権を持つすべてのリソースやデータにアクセスできる可能性があります。 |
| 条件付きアクセスのテスト | 必要なアクセスまたは情報:
実際のシナリオ: 攻撃者が信頼された場所やデバイスを偽装することで、条件付きアクセスポリシーを回避し、機密リソースへのアクセスを試みます。 |
| AWS固有のシナリオ | 以下のシナリオは、お客様のAWSクラウド環境を対象としています。 |
| IAMロールの侵害テスト | 必要なアクセスまたは情報:
実際のシナリオ: 攻撃者がIAMロールがアタッチされたEC2インスタンスを侵害するか、侵害されたアプリケーションを通じて一時的な認証情報を入手します。攻撃者はAWS STSを利用して追加のロールをアサインしたり、アカウント間の信頼関係を悪用しようとします。 |
| クロスアカウントアクセスのテスト | 必要なアクセスまたは情報:
実際のシナリオ: 攻撃者が下位環境のAWSアカウントにアクセスし、クロスアカウントロールやリソース共有を利用して本番環境やより高権限のアカウントへのアクセスを試みます。 |
サービス手法🔗
Secureworksのクラウドペネトレーションテストは、実際の攻撃シナリオ、攻撃者の行動、高度なラテラルムーブメント技術をシミュレーションすることで、お客様のクラウド環境のセキュリティを体系的に評価します。以下は、お客様指定のセクションを取り入れたフェーズアプローチです。
事前計画およびスコーピング🔗
Secureworksは、目的、リスク、ロジスティクスの整合を図るため、協働によるキックオフからテストを開始します。このフェーズは、運用への影響を最小限に抑えつつ、テストの有効性を最大化します。
- スコープの確定:対象となるクラウドアカウント、ハイブリッド接続、API(例:AWS Organizations、Azureサブスクリプション)を定義します。
- アクセス調整:認証情報の要件(例:開発者アカウント、サービスプリンシパルキー)を確立し、ハイブリッド攻撃シミュレーション用にリモートテスト用アプライアンス(RTA)を展開します。
クラウド偵察および列挙🔗
Secureworksは、認証なし・認証ありの両方でクラウド環境の攻撃対象領域をマッピングするための調査を実施します。このフェーズでは、公開サービス、設定ミスのあるリソース、認証情報漏洩リスクを特定します。
- 認証なしスキャン:パブリックなストレージ(S3バケット、Azure Blobs)、公開API、メタデータサービス(例:AWS IMDSv1)を調査します。
- 認証あり監査:IAMロール、Entra ID条件付きアクセスポリシー、過度に許可されたネットワークセキュリティグループをマッピングします。
- サービス列挙:ScoutSuite、Pacu、カスタムスクリプトなどのツールを用いて、クラウドAPIの脆弱性(未保護のデータベース、DNS脆弱性、GitHubトークン漏洩など)を調査します。
例:
- 保護されていないダッシュボードを持つパブリックKubernetesポッドの特定
- 過剰なGraph API権限を持つAzure ADアプリ登録の列挙
侵害前提シナリオおよびラテラルムーブメント🔗
Secureworksは、侵害後の活動をシミュレーションし、攻撃者がどのように権限昇格やハイブリッド・マルチクラウド環境間でのピボットを行うかを評価します。
- 認証情報の窃取:ボールト(AWS Secrets Manager、Azure Key Vault)や環境変数からシークレットを抽出します。
- ロール昇格:信頼関係(例:AWS AssumeRole、Azure Management Groups)を悪用し、管理者権限を取得します。
- ハイブリッドピボット:フェデレーションID(例:Azure AD Connect)を利用して、クラウドからオンプレミスシステムへ移動します。
例:
- 盗まれたGCPサービスアカウントキーを使ってOrganization Policy制約を回避
- 設定ミスのあるVPCピアリングを悪用して制限付きサブネットにアクセス
悪用および権限昇格🔗
特定された脆弱性を活用し、Secureworksは攻撃者の悪用手法を模倣してビジネスへの影響を実証します。
- IAMの悪用:過度に許可されたロールを利用してバックドア(例:悪意のあるCloud Functions)を展開したり、データを流出させます。
- ワークフローの侵害:CI/CDパイプライン(例:GitHub Actions、Azure DevOps)を攻撃し、悪意のあるコードを注入します。
- サーバーレスの悪用:安全でないLambdaレイヤーやAzure Functionsを利用してリモートコード実行を行います。
例:
- AWS SSM Agentの設定ミスを悪用し、EC2インスタンス上で任意コマンドを実行
- GCP Identity-Aware Proxy(IAP)をバイパスして内部Webアプリにアクセス
リモート再テスト🔗
Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回の是正措置検証("RV")を実施します。主テスト完了後、お客様は90日以内に問題を是正し、RVのスケジュールを調整し、SecureworksにRVの実施を依頼する必要があります。お客様は、最終レポート納品から30日以内に、評価担当のSecureworks連絡先へメールでRVリクエストを提出しなければなりません。これを過ぎるとRVの権利は失効します。
外部ペネトレーションテストの場合、ピボットやポストエクスプロイト後に発見された事項は検証が困難なため、RVの対象外となります。内部ペネトレーションテストの場合、元のテストでSecureworks RTAを使用していた場合のみRVが実施可能です。
Secureworksは、RVの結果を要約した簡易レポートを発行し、お客様が問題を是正できたかどうかの情報を含めます。
注意
Secureworksは、評価がオンサイトで実施された場合でも、RVはリモートでのみ実施します。
成果物🔗
Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれます。
- エグゼクティブサマリー
- 手法、詳細な発見事項、ナラティブ、および推奨事項(該当する場合)
- 関連する詳細や補足データのための添付資料
お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間満了までにお客様からコメントがない場合、レポートは最終版とみなされます。
サービス完了時には、お客様指定の連絡先に対し、Secureworksからセキュア/暗号化されたメールによる確認通知が送信されます。お客様指定の連絡先から書面による異議申し立てがない限り、当該メール確認から5営業日以内にサービスおよび本SOWは完了したものとみなされます。
スコーピング情報🔗
クラウドペネトレーションテストは、お客様が選択したテスト目的に焦点を当てて実施します。
| 説明 | 期間 |
|---|---|
| 認証されていない攻撃者による偵察 | 1週間 |
| 侵害前提 - 開発者認証情報の侵害 | 1週間 |
| 侵害前提 - 低権限の一般ユーザーの侵害 | 1週間 |
| 侵害前提 - オンプレミスからクラウドへのラテラルムーブメント | 1週間 |
| 侵害前提 - クラウドからオンプレミスへのラテラルムーブメント | 1週間 |
| Azure - アプリケーションのサービスプリンシパルの侵害 | 1週間 |
| Azure - 条件付きアクセスのテスト | 1週間 |
| AWS - IAMロールの侵害 | 1週間 |
| AWS - クロスアカウントアクセスのテスト | 1週間 |
お客様に関連する未記載の資産を特定するために一部OSINTを実施しますが、書面による承認がない限り、それらのシステムに対するライブテストは行いません。スコープの変更が必要な場合は、お客様と協議・文書化のうえ進行し、変更注文により追加料金が発生する場合があります。
クラウドペネトレーションテストは、人工的に圧縮されたタイムラインに従った目的ベースの手法に基づいています。追加情報の提供により、効率的かつインパクトのあるテストが可能となります。指定されたテストアカウントの有効な認証情報を提供いただくことで、Secureworksはより正確なテストを実施し、最も効率的なテストのためのツール設定が可能となります。
作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用でご利用いただけます。
スケジューリングおよび予約情報🔗
本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。