【レポート】サイバーセキュリティ研修に参加してきました | AQ Tech Blog

はじめに

先日サイバーセキュリティ連盟主催の「『体験型』サイバーセキュリティ研修」がサイバージムで開催され、参加をしてきました。
サイバーセキュリティ連盟の会員企業であるサイバーコマンド株式会社による、若手社員を中心とした一般クラス社員の 「サイバーセキュリティマインド」向上を目的とした研修です。
弊社はサイバーセキュリティ連盟の会員企業のため、今回研修参加の機会を頂きました。

イベント概要

イベント概要について記載していきます。

開催日時

2023年4月4日(火)　13:00~14:00

開催場所

株式会社サイバージムジャパン　赤坂アリーナ

イベントスケジュール

• サイバー攻撃概況
• サイバー攻撃の種類について
• サイバー攻撃の実例

今回のイベントではサイバー攻撃を実際に体験することができました。
会場の端末が実際にハッキングされていく過程が確認できたり、どのような攻撃が実際に行われたかが学べたりするということで、参加前からかなり興味を引く内容でした。

参加した経緯

セキュリティの重要性は言うまでもありませんが、実際にシステムが攻撃されるところを体験した方は少ないのではないでしょうか。
私も実際にシステムが攻撃されているところに立ち会ったことはありません。
しかし、システムが攻撃されることにより、情報の流出や改ざんが発生し、損害の発生や信用の低下が起こる恐れがあります。

攻撃を受けたときに自分は何をするべきか、また攻撃を防ぐために事前に何をするべきかを考えるいい機会だと思い本セミナーに参加しました。

イベントレポート

まず始めにイベント会場の様子を紹介していきます。

会場の様子

こちらが会場全体の様子です。
画像のように一人一台端末が提供され、WEBブラウザの挙動やツールを使用して、攻撃の体験や調査を行いました。
ハンズオンでは攻撃を防ぎきることができなかったので、画像はイベント終盤のPCが乗っ取られた後の状態です。

続いて調査中の様子です。
後述するSIEMなどのツールを使用して調査をしています。
また、講師の方がセキュリティチームのリーダーとして異常があれば報告をする形で調査を進めていました。

それでは各工程ごとのレポートを書いていきます。

サイバー攻撃概況

まずはサイバー攻撃の概要です。
年々サイバー攻撃の件数は増えていっていますが、その要因として大きく２つあります。

• インターネットの普及
  電子機器の普及やDXの推進など、インターネットに接続する機器が増えたことによりサイバー攻撃の機会が増加
• テレワークの増加
  感染症対応によるテレワークの普及により、家庭への攻撃が増加

また、サイバー攻撃を実施されることにより、企業には販売機会やブランドイメージ、株価の減少をはじめ、損害賠償の発生や個人情報の流出、さらなる攻撃への踏み台にされるなど様々な悪影響が発生します。

踏み台に使用されることにより、サイバー攻撃の被害者でもあり加害者となってしまう危険性があります。

サイバー攻撃の種類について

続いてサイバー攻撃の種類についてです。
サイバー攻撃には複数の工程(APTフェーズ)があり、各工程ごとに手法や目的が異なります。

APTフェーズの流れ

• 情報収集
• 初期侵害
• 拠点確立
• 権限昇格
• 内部偵察
• 水平展開
• 存在維持
• 任務遂行

中でもサイバー攻撃には情報が重要で、情報収集では外部からOSやバージョン、設定値の調査を行い、システムへの侵入後も内部偵察としてシステム内部から徐々に攻撃範囲を広げられます。
今回は短期間に工程が進みましたが、実際は数ヶ月単位と長い時間をかけて少しずつ情報収集されるようです。

サイバー攻撃の実例

最後にサイバー攻撃の実例として、サイバー攻撃に対して検知、防御を実際に体験しました。
受講者はWebシステムのセキュリティ担当者として、作業端末を使用して実際にサイバー攻撃を受けながら調査を実施しました。

攻撃の流れとしては、以下の通りです。

• 初期侵害としてクロスサイトスクリプティングにより、Webページの書き換えが行われる。
• Webブラウザの脆弱性を利用され、Webページから悪意のあるソフトウェアがインストールされる。
• 作業端末から特権昇格と侵入を繰り返して展開、徐々に攻撃範囲が広げられる。
• 最終的にシステム全体がランサムウェアによって乗っ取られる。

攻撃予兆となるアクセスや攻撃のログの確認として、SIEMを使用してシステム全体のログ調査を行いました。

SIEMとは、Security Information and Event Managementの略で、ネットワーク機器のログを一元管理し、ログの確認や解析が行うことが可能なソフトウェアです。
本セミナー内では、実際にファイアウォールに記録されたログを確認し、クロスサイトスクリプティングによってWebページの書き換えが行われたことを確認しました。
SIEMを触る機会はあまりなかったので、見方のレクチャーやログの確認、解説が体験できました。

続いて、Webページの異変から作業端末の異変(PowerShellの起動やプロセスの実行)が確認されたため、作業端末の調査を行いました。
不自然なプロセスや処理で、権限昇格や内部偵察をされていることは確認できたものの、対策まで行うことができず、ハンズオンは防御失敗で終わりました。

所感

結果として攻撃を防ぎきることはできませんでしたが、サイバー攻撃を実際に体験できるいい体験でした。
端末を攻撃される被害者としての体験と、攻撃に対しての対応を考えるセキュリティ担当としての体験を同時に行える、密度の高いセミナーでした。

直接目に見えないままシステムが侵略されるため、不安が広がる中で調査をすることはかなりのプレッシャーだと感じました。
そのため、一人で解決しようという考えを捨ててチームとしてサイバー攻撃に対応していくことで、プレッシャーを軽減していくことが重要でした。
また、攻撃をいざ受けてしまった場合、今回以上に落ち着いて対応するために、教訓として以下のような観点でチームとして動くことを意識したいです。

• セキュリティリーダー(講師)への情報を正確に伝えること
• いつどのような事象が発生したかを記録し、どのように対応したかを表すタイムチャートを作成して、状況を共有するなどチームとして対応を進めること

これらはサイバー攻撃に限らず障害対応などでも活用できるため、改めてチームワークを大事にすることの重要性を意識づけられました。

まとめ

以上、サイバーセキュリティ研修のレポートでした。
不慣れながらもサイバー攻撃を体験できたことは貴重な経験でした。
サイバー攻撃に直接対応することは今までありませんでしたが、いざというときに動けるように普段から備えることが重要だと感じました。

最後に一般社団法人サイバーセキュリティ連盟について紹介させていただきます。

一般社団法人サイバーセキュリティ連盟について

• 一般社団法人サイバーセキュリティ連盟
  経営者を中心としたサイバーセキュリティ意識の改革を行うためのアクションとして「サイバーセキュリティ対策の重要性を啓発する」ことを目的に様々な活動を行っています。

活動の詳細については以下にリンクを記載しますので、ご興味のある方はご覧ください。
一般社団法人サイバーセキュリティ連盟

ご挨拶

改めて、サイバーセキュリティ連盟の方々を始め、本セミナーを企画運営してくださったすべての方にこの場を借りて御礼申し上げます。ありがとうございました！！