スパイスカレーと技術トレーニング

こう暑いと、ついつい食卓にカレーが登場しがちな我が家です。
カレーといえば、唐辛子、クミン、ターメリック等の色々なスパイスを合わせて使うスパイスカレーも近頃すっかり定着したようです。

いきなりカレーの話になったのは、先日、東京で株式会社サイバージムジャパンのトレーニングに参加する機会をいただき、前泊した際に品川駅構内のインド料理店で食事をして、ふと、様々なセキュリティ関連のトレーニングで使ったツールや技術は、スパイスカレーの一つ一つのスパイスのようではないかと思ったからなのですが・・・。

今回参加したのは、Cyber-Threats and Defense Essentialsというトレーニング。オンライン学習１日と、アリーナでの集合トレーニング１日の２日間のコースです。オンライン学習はサイバー攻撃の動向や調査に使うツールの解説など、新しいことを学習するというよりは、実務に必要な基礎知識とツールの使い方のおさらいに近い印象がありました。他のトレーニング、たとえばNICTの実践的サイバー防御演習（CYDER）の事前学習も、似た傾向があります。事前学習のときには、さらりと流してしまいがちですが、この教材が効果を発揮するのは、むしろ後からのオンデマンド視聴で、難しいと感じた課題の部分を見直すと、ちょうどよい振り返りになりました。

そして、迎えたアリーナでのトレーニング当日、前泊したホテルから歩くこと１０分少々、両脇に各国の大使館や老舗ホテルの並ぶ坂道を抜けて、瀟洒なマンションの1階にある会場へ。そして、ドアを開けると、目の前に４連の大型ディスプレイが並び、机にずらりディスプレイとキーボードが並んだ、あの光景が・・・・（この時点でややバグり気味）。既に大半の参加者が着席していて、しかも全員が「猛者」っぽく見えて、何となく挙動不審になってしまいました。

トレーニング前半はまず、Windows Sysinternals、Wireshark、SIEMを使った個人演習が中心で、講師による解説の後、サンプルファイルを各種ツールで解析し、課題として指定された情報（IPアドレス、サーバのヴァージョン情報等）の特定などを繰り返します。これに関しては、ＳＩＥＭのハンズオンセミナーや、コミュニティでのハンズオンの経験があれば、あまり混乱はなさそうです。また、各課題には解答時間が設定されていますが、使い慣れないツールでも資料を参照できるので、時間が足りないという印象はありませんでした。ただし、実際のインシデントではもっと複雑な情報を探すことが大半なため、午前中の演習が上手くいったからこそ、むしろ逆に気を引き締めないといけないようにも思います。

そして、午後はいよいよAPT（高度標的型攻撃）演習です。この演習は、過去に参加したCYDERやベンダーのハンズオンとは明らかな違いがありました。これまでのトレーニングがどちらかといえば「攻撃が成立してしまった」段階の証拠を解析していくのに対し、APT演習はリアルタイムで攻撃が進行します。そのため、「今、解析しているデータは本当に有効なのか？」ということから考えなければなりません。

受講者はそれぞれ、事前に希望を申告して、SOC（監視担当）、フォレンジック担当に分かれ、書記担当、それぞれのチームのリーダー、全体をまとめるリーダーを決めて臨みますが、講師が呼びかけるも、誰からも「リーダーやります」の一言が出てきません。そこで何故か「ウケてなんぼ」の関西人キャラが覚醒。ついつい、リーダー（フォレンジックチーム兼任）に手を挙げてしまいました。なお、リーダーや書記担当は、全体を見渡して状況を把握する経験をしたい方には、この演習にこだわらず、お勧めします。ただし、特定の技術やツールの使い方をブラッシュアップしたいのであれば、SOCまたはフォレンジック担当の方が良いかもしれません。それほど、程よい「濃さ」を感じる内容でした。

詳しいシナリオについては、これから受講されるかたのためにも公開いたしませんが、リーダーとして自分が試みたことをいくつか紹介したいと思います。

１．攻撃シナリオの推測
　事前にシステム構成図とプロファイルが渡されているので、短時間で考えられる範囲ですが、脆弱性がありそうな場所と、それを悪用された場合の攻撃シナリオを推測しました。

２．攻撃シナリオの共有と修正
　レッドチームによる攻撃の開始と前後して、最初に考えた侵入経路等をホワイトボードに書き、その後は、情報が増えるに従って修正しました。また、重要な情報が追加された場合は、全員に呼びかけて共有したり、あるいは解析中のメンバーの画面を大画面に投影したり、メンバーの間を歩き回りながら画面を見ながら共有するタイミングをはかったりしました。

３．手書きのクロノロジー（時系列記録）
　書記担当がスプレッドシートに時系列で記録を残しますが、情報量が増えると入力待ちや技術用語の書き取り漏れがおこりやすくなります。そこで、入力をお願いするのと並行してホワイトボードにクロノロジー（時系列記録）を手書きしました。

振り返ってみると、個人的にはもう少しフォレンジックチームでの役割を果たしたかった気もしますが、実際には、自分で立てた戦略で自分の首を絞めてしまい、自席の端末を触る余裕は皆無！　また、攻撃を阻止するための具体的な方法を自分の手で実行できるわけではないので、もどかしさもありました。自分のアプローチが一般的なものかどうかも、分からないままだったので、最後にランサムウェアの画面が表示されたときは、正直、悔しかった！！！「（被害を）食い止めてやる！」という根底にある思いにも気づきました。

今回のトレーニング全体を振り返ってみると、マルウェアの実行プロセスの特定や、ログの解析等に強ければ確かに個々の課題は短時間で解決できるように思いました。しかし、対象としているシステムが業務の中でどのような位置づけにあって、どのぐらい重要なものなのかが個人の中ではっきりしないままでは、想定する攻撃シナリオがぼやけてしまい、調べるポイントがわからなくなる怖さも少し感じました。加えて、実際のインシデント対応では多々ある「調査せずに復旧」。「システムを見限る」選択ができない状況で、どこまで攻撃が続くのだろうか、という不安も覚えました。

そして、そう思えたのは、冒頭のスパイスカレーの話ではないですが、トレーニングのプログラム全体をスパイスカレーにたとえるなら、個々の技術は色々なスパイスのようなものであり、最適なボリュームとタイミングで投入し、対応状況を共有（味見）して調整してこそ、はじめてスムーズに進むと体感したからです。そして、それは、参加者としても、ファシリテータとしても繰り返してきた、組織としての意思決定とBCP体制を重視した机上演習の経験があったからこそ気づいたことかもしれません。

あまり役立たなかったリーダーとして、ここで伝えるならば
「その技術、その調査を、今やったら業務にどう影響するのか？」、「復旧と調査、どちらが今求められるのか」というのを、頭の隅に置いて、インシデントの現場に出ましょうということです。組織がたどりつきたい先は、マルウェアの特定ではなく、事業への影響の最小化です。技術トレーニングを受けた後だからこそ、それだけは忘れないでいたいと思いました。

※詳しいトレーニング内容を知りたい方、受講してみたい方へ、参考として

株式会社サイバージムジャパン　WEBサイト
https://cybergymjapan.com/

トレーニングの詳細はこちらから
https://cybergymjapan.com/services/training/cyber-threats-and-defense-essentials/

実践的サイバー防御演習CYDER紹介ページ
https://cyder.nict.go.jp/