物理的侵入テストの秘密

侵入テスト (略して「ペンテスト」) は、多くの組織のサイバーセキュリティ運用の中心です。この手法は人気が高まっていますが、不完全であることがよくあります。通常はデジタル手法が注目されますが、物理的な侵入テストも同様に重要であり、見落とされがちです。

物理的な侵入テストとは何ですか?

すべての侵入テストセキュリティの脆弱性を見つけることが目的ハッキングの試みをシミュレートします。物理的な侵入テストは、対面での攻撃に似ている点で従来のアプローチとは異なります。ネットワークにリモートでハッキングする代わりに、侵入テスターは会社の情報やシステムへの物理的なアクセスを試みます。

サイバーセキュリティは主にデジタル分野ですが、物理的なリスクが影響を及ぼすこともあります。犯罪者は郵便物で機密データを見つけて盗んだり、誰も見ていないときに開いたコンピュータのフラッシュドライブを介してマルウェアを配信したりする可能性があります。このような攻撃は見逃されやすいことが多いですが、 2023年には127,000人以上の犠牲者一人で。

物理的侵入テストの方法と戦略

従来のハッキング シミュレーションと同様に、物理的な侵入テストでは、一般的な脆弱性を明らかにするためにいくつかの戦略を採用できます。ここでは、最も一般的な 5 つの方法を紹介します。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは最も一般的なデータ侵害攻撃ベクトル侵入はフィッシングのようにデジタル形式をとることが多いが、物理的な手段に頼ることもある。侵入テスターは、従業員の信頼を得るために、保守担当者、IT スペシャリスト、または他の部門の従業員になりすますことがある。そして、疑いを持たれることなく建物や部屋に入ることができる。

テールゲーティングは、物理的なソーシャル エンジニアリング戦略の一般的な形式です。ここでは、攻撃者は許可されたアクセスを持つ人物の後をついて行き、その人物の許可なくどこかへ行きます。攻撃者は、書類やコーヒー カップなど、オフィスで予想されるようなものを両手に抱えている従業員にドアを開けてもらうように頼むことがあります。

ロックバイパス

場合によっては、侵入テスターが権限のある作業員をエリア内に追い込むことができないことがあります。たとえば、データ センターなどのセキュリティの高い部屋では、通常、誰が入室できるか、どのように入室するかについて、より厳しいポリシーが設けられています。このような場合、攻撃者はロックをバイパスして侵入する可能性があります。

最もよく知られている例は鍵開けですが、それが唯一の方法ではありません。よくある代替策の1つは、内部から出口のロックを解除するモーションセンサーを作動させることです。これらの多くは赤外線センサーを使用しています。温度変化を技術的に検出する厳密には動きではなく、犯罪者がドアの下に圧縮空気を吹き付けてドアを作動させ、出口の鍵を開けることができるのです。

RFID クローニング

無線周波数 ID (RFID) は、今日の物理セキュリティ システムでよく使用されるもう 1 つのテクノロジーです。多くのロックは各従業員に割り当てられた RFID タグに依存しているため、バッジを所持している従業員だけが特定のドアのロックを解除できます。このようなシステムは一般に従来のロックよりも安全ですが、侵入テスト担当者は RFID の複製によって回避できる場合があります。

RFID クローンは、近くの RFID 信号を分析して同じ周波数を模倣するデバイスです。この技術を使用すると、攻撃者は立ち入り禁止区域に簡単にアクセスでき、デジタル レジスタには、スキャンされたバッジの従業員がその区域に入った人物として表示されます。

ショルダーサーフィン

物理的な侵入テストの手法はどれもそれほど洗練されているわけではありません。最もシンプルでありながら効果的な手法の 1 つは、従業員の画面やデスクを見ることです。これは「ショルダー サーフィン」と呼ばれる攻撃です。

機密データにアクセスしたり入力したりするときに、周囲に誰がいるのか、他の人がどこを見ているのかを意識する人は少ない。その結果、誰かが暗証番号を入力したり、銀行の詳細を表示したりするのを見られるのは簡単だ。場合によっては、ターゲットがそこにいなくてもよいこともある。アメリカのユーザーの41%ユーザーはパスワードを書き留めているため、机の上の文書をスキャンするだけで、攻撃者に重要な情報が伝わってしまう可能性があります。

ゴミ漁り

同様に、犯罪者はゴミ箱を漁ることで驚くほどの量のデータを収集できます。ゴミ箱に捨てられた裁断されていない文書には、財務報告書、公共料金の請求書、個人的な通信など、機密情報が含まれている可能性があります。

ゴミ箱の中にそのようなデータを見つけた侵入テスト担当者は、それを使ってより説得力のあるスピアフィッシング攻撃を仕掛けたり、クレジットカード詐欺を実行したりする可能性があります。この脆弱性の解決方法は単純明快で、企業は古い文書をシュレッダーにかけるだけで済みますが、見落としやすいため、ゴミ箱漁りは一般的な物理的攻撃方法となっています。

物理的侵入テストの利点

これらすべての戦略において、物理的な侵入テストにはいくつかの利点があります。最も重要なのは、組織が見逃す可能性のある脆弱性を発見できることです。企業を攻撃するために誰かを雇うことは気が遠くなるようなことのように思えますが、侵入テストを行う人は将来の脅威に対する防御を強化する長期的には、改善すべき点を明らかにすることで、

あらゆるサイバー インシデント シミュレーションはこうした改善を可能にしますが、物理的なシミュレーションには従来のアプローチではカバーできないターゲットが含まれます。デジタル保護は重要ですが、対面での侵害を阻止することはできません。したがって、包括的な保護を実現したいのであれば、企業は物理的なセキュリティ チェックも行う必要があります。

物理的な侵入テストを実施する際の考慮事項

従来の侵入テストと同様に、物理的な侵入テストには慎重なアプローチが必要です。物理的な侵入テストを最大限に活用したい企業は、いくつかの要素を念頭に置く必要があります。

いつトップ侵入テストサービスの比較組織は、認定を受け、十分に評価されているセキュリティ会社を探す必要があります。未知のチームを雇うことは、企業がシステムに侵入するよう誘っていることを考えると、リスクを伴う可能性があります。

さまざまなプロバイダーの手法や過去の経験を確認することも重要です。理想的には、プロバイダーは可能な限り幅広い技術を使用し、特定の業界に精通して、関連性のある包括的な結果を提供できる必要があります。広範な顧客サポートと迅速な対応時間も、注目すべき重要な品質です。

最後に、組織は価格を考慮する必要があります。専門家のサービスは高額になる可能性がありますが、より徹底したテストには費用の価値があるかもしれません。脆弱性を見つけて修正するためにペンテスターを雇う方が、犯罪者がその弱点を悪用した後で侵入に対処するよりも安価です。

侵入テストは包括的でなければならない

侵入テストでは、防御を効果的に行うために、できるだけ多くの潜在的な弱点に対処する必要があります。したがって、サイバーセキュリティに自信を持ちたい企業は、脆弱性評価に物理的な侵入テストを含める必要があります。これらのリスクを探すことで、組織は、いつもの脅威だけでなく、あらゆる脅威から安全を確保できます。