導入
セキュリティ対策というとネットワークやアプリケーションに目が向きがち
しかし実際の攻撃はもっとシンプルで、人や物理環境を突くケースも多い
特に「内部に入られる」前提を無視すると、防御は簡単に崩れる
この記事では勉強会の内容をもとに、物理ペネトレーションテストの実態を整理する
この記事では次のことをまとめます
- 物理ペネトレーションテストの全体像
- 実際の侵入プロセス
- 開発者が考えるべきセキュリティ設計
勉強会概要
イベント名
PenTestSecJP2
テーマ
Physical and Social Engineering Penetration Testing
内容まとめ
物理ペネトレーションテストとは
- 建物や人を含めたセキュリティテスト
- ITインフラ単体ではなく「環境全体」を対象にする
主な目的
- イニシャルアクセスの獲得
- 特定エリアへの侵入
- 内部ネットワークへの到達
攻撃事例
代表的なケース
- STUXNET
- USB経由でマルウェア感染
- DarkVishnya
- LightBasin
- Raspberry Piを内部ネットワークに設置
共通点
- 物理侵入または内部協力者の存在
- 技術よりも「侵入できるか」がボトルネック
侵入プロセス
物理ペネトレーションは段階的に進む
① OSINT
事前の情報収集フェーズ
収集対象
- 社員証のデザインや種類
- ネックストラップ
- 服装や文化
- フロア構造
- 拠点情報
ポイント
- 公開情報だけでは足りない
- 「社員らしさ」を再現する情報が重要
ソーシャルエンジニアリング
- 勉強会やカジュアル面談で情報収集
- 直接聞かず自然に引き出す
- 親切な人ほど情報が出やすい
具体例
- 面談で業務フローを聞き出す
- 雑談からセキュリティ運用を把握
② 現地偵察
現地でしか得られない情報を収集
- 監視カメラの位置
- 死角の有無
- 入退室導線
- 喫煙所などの動線
- 社員証の実物
重要ポイント
- OSINTの情報は不完全
- 現地で精度が一気に上がる
③ 従業員との接触
人を経由した突破
- 社員証のスキミング
- NFCカードの利用
- Felica
- Mifare
特徴
- 社員はカードのリスクを理解していない
- スキミング機器は比較的簡単に用意可能
④ 建物への侵入
実際の侵入フェーズ
主な手法
- スキミングしたカードの利用
- フラッパーゲートの共連れ
- カード発行フローの悪用
具体例
- ゲストを装う
- 別拠点の社員を装う
- 一時カード発行を狙う
⑤ イニシャルアクセス獲得
侵入後の最重要フェーズ
目的
- ネットワークへの接続
- 永続的な侵入経路の確保
手法
- EDR回避
- ペイロード設置
- デバイス持ち込み
具体例
- ディスプレイをハブとして利用
- 小型デバイスを設置(Dropbox的な機器)
- プリンタ配下のLANを利用
補足
- 有線LANは減少傾向
- Wi-Fi侵入できれば物理侵入は不要になる
実行上の課題
現場でのリアルな壁
文化的な壁
- 日本では他人との距離感がある
- 共連れが成立しづらい
倫理・法的な壁
- 不法侵入
- 人を騙す行為
運用的な壁
- トレーニングが難しい
- 機材コストが高い
- IT部門単体で完結しない
- 警備・総務との連携が必要
技術者視点の考察
本質的なリスク
多くのシステムはこの前提に依存している
- 内部ネットワークは安全
しかし現実は逆
- 物理侵入で内部に到達可能
- 人を突破されると防御は崩壊
設計への影響
開発者が考えるべきこと
- 内部不信前提の設計
- ゼロトラストの採用
- 物理侵入を含めた脅威モデリング
具体的な対策
- デバイス接続時の認証強化
- USB利用制御
- EDR前提の設計
- ネットワーク分離
- 不審デバイスの検知
よくある誤解
-
内部は安全
→ 物理侵入で崩れる -
社員は信頼できる
→ ソーシャルエンジニアリングで突破される -
セキュリティはIT部門の仕事
→ 実際は全社課題
学び
今回のポイント
- 物理侵入は現実的な攻撃手段
- OSINTと人間観察が成功の鍵
- 技術だけではセキュリティは成立しない
- 内部前提の設計は危険
- 組織横断での対策が必要
まとめ
物理ペネトレーションテストの本質はシンプル
- 人
- 物理
- 技術
この3つの弱点を突く攻撃
エンジニアとして重要なのは
内部に入られる前提で設計すること
ここを外すとどれだけ高度なシステムでも崩れる