[Hakin9 Magazine(H9)]:ダニエルさん、こんにちは。インタビューに応じていただき、ありがとうございます。最近どうですか?読者の皆さんに、ダニエルさんについて教えていただけますか?
こんにちは!お招きいただきありがとうございます。私は人生の大半をIT分野で過ごしてきました。ここ10年ほどは、ほとんどセキュリティの仕事一筋です。執筆、教育、そしてセキュリティの新入生を助けることに忙しく、本当に楽しんでいますよ。
[H9] 先日、最新刊「Advanced Security Testing with Kali Linux」を出版されましたね。この本についてもう少し詳しく教えてください。
もちろんです、ご質問ありがとうございます。"Advanced Security Testing with Kali Linux" (Amazonで購入可能)は、Kali Linuxに焦点を当てた私の7冊目(合計)の本です。要するに、私のKali Linuxシリーズの最後となる本なのです。この本は、私の「Basic Kali」の本が終わったところから始まり、読者をより高度なトピックに深く導いてくれます。
MITRE ATT@CK Frameworkの使用、ウェブアプリケーション・ペンテスト、高度なパスワードクラッキング、コマンド&コントロール(C2)フレームワークの使用、攻撃型フォレンジック、そしてIoTデバイスを使ったペンテストについて少し触れています。もう一つの良い点は、この本が700ページ以上あるので、読み終わったら、モニタースタンドとして使ったり、ドアを開けたままにしておくことができることです(笑)。
[H9] なぜ、この本を書こうと思ったのですか?
この本は、実は以前から計画されていたものです。Kaliの基礎編と中級編を書いたとき、すぐに上級編でフォローする計画だったのです。しかし、結局、NetHunterとRaspberry Piのセキュリティの本という2種類の本を書き、Kaliの基礎編を更新してから上級編を書きました。そうなんですよね、ほんの少しの時間のズレなんですよね(笑)。でも、この本を最後に書いたのは、実は良かったんです。この本では、読者から長年にわたって寄せられた多くのトピックを取り上げています。
[H9] この本を書くにあたって、一番苦労したことはなんですか?
一番苦労したのは、私たちの分野は変化が激しいということです。この本は昨年ほぼ完成したのですが、その後、複数のツールに大きな変更があり、いくつかの章を書き直すことになりました。結果的には良かったのですが、当初予定していなかった新しい資料をたくさん追加することになりました。だから、全体としては、時間をかけた甲斐があったというものです。
[H9] この本のためのリサーチはどのようなものだったのでしょうか?
この本は、この分野の初心者や、OSCP(Offensive Security Certified Professional)のような業界のセキュリティ試験を受ける人のために、本当に役立つものにしたかったのです。そこで、先輩ペンテスターやレッドチームのメンバーと、彼らが現場で実際に使っているツールやテクニックについて、多くの時間をかけて話し合いました。試験で扱われる内容もよく調べました。また、合格者がどのようなツールやテクニックを使っているかも調査しました。最後に、私自身の経験から得たことをたくさん盛り込みました。
[H9] この本が他のKaliガイドと違う点は何ですか?
Kali Linuxの本の多くは、同じ内容を何度も取り上げています。私のAdvancedの本では、他の本では扱っていないような、活発に使われているツールやテクニックをたくさん盛り込もうとしました。例えば、MITRE ATT@CKフレームワークの使用に関するセクションがあります。フレームワークそのものだけでなく、Atomic Red Teamsや「Invoke-Atomic」のような、フレームワークのアウトラインを使ってセキュリティをテストするための攻撃的なツールもカバーしています。また、この本はリファレンスガイドとして使ってもらいたかったので、セキュリティの専門家が常に複数のソースから調べているような情報をたくさん盛り込みました。そのため、サイズが大きくなってしまいました(笑)。
[H9] 作家として、文章を書くことはサイバーセキュリティにおいて見落とされているスキルだと思いますか?
ああ、とてもそう思います。最近、非常に優秀な友人と話したのですが、雇用主が面接の一環として使用した模擬ペンテストで、十分な情報が記述できていなかったそうです。技術的なスキルも必要ですが、クライアントとのコミュニケーションやインターフェイスの能力も必要なのです。包括的な「アフター・エンゲージメント」レポートを書けることも、この職業の一部なのです。
[H9] Kali Linuxでペンテストを行う場合、普段は見落とされているようなツールはありますか?
すぐに思い浮かぶのは、コマンド&コントロール(C2)フレームワークです。Kaliは基本的に昔からC2のスタンバイとして「Metasploit」に頼ってきました。Metasploitは素晴らしいプラットフォームですが、現在では多くの異なるC2オプションが利用できます。”The C2 Matrix "というウェブサイトでは、スプレッドシートタイプのインターフェースで、それらの機能を含む多くのC2がリストアップされています。
Metasploitは非常に堅牢で機能豊富なプラットフォームですが、Kaliの開発者は、C2の追加を求める声に耳を傾けてきました。昨年、「Empire」とそのグラフィカル・インターフェースである「StarKiller」が追加され、すでに2つが含まれています。今年のKaliの最新版には、"PoshC2 "が含まれています。
新しいPoshC2を使ってWindows 10システムからクレジットを引き出す例
予定通りであれば、今後のリリースで、Kaliの基本インストールにさらにいくつかの機能が追加される予定です。新しい本では、Empire、SharpSploit、SilentTrinity、そしてCobalt Strikeのプロフェッショナル版の概要など、複数のC2の使用について取り上げています。
[H9] セキュリティテストで最も難しいことは何ですか?
一番難しいのは、この分野の進化のスピードが速いことですね。平均して、今「最先端」であるツールやテクニックが、数年後には時代遅れになっていることが多々あります。攻撃者は常に学習し、適応し、攻撃戦略やツールを変化させています。防御者は常にその変化に対応しなければなりません。
機密や知的財産を盗むため、選挙に影響を与えるため、あるいは産業統制を妨害するために国家が国家を攻撃するというサイバーエスピオネージは、大きな問題です。また、最近の出来事を見てみると、サイバー攻撃と通常攻撃を併用する「ハイブリッド戦争」が増えていることが分かります。このような事態はますます増加し、強固なサイバー防衛能力を持たない多くの国々は、国防組織を迅速に構築することに苦慮しています。
[H9] これまでの経験から、上級と中級を分けるものは何だと思いますか?また、上級者であると判断するためのスキルは何ですか?
通常、セキュリティの中級者というと、標準的なツールや戦術を知っていて、実際にクライアントとのセキュリティテストで使えるような人を想像します。上級のセキュリティプロフェッショナルは、次のステップに進み、仕事に必要なツールを実際に作成する人たちだと思います。これは、トップクラスのレッドチームによく見られることです。彼らのツールの多くは、改造またはカスタムメイドされています。また、企業のブルーチームと密接に連携し、彼らがどのように脆弱性を悪用したのか、その問題に対処し修正する方法を教えることができるのです。
[H9] 今後、ペンテストにおいてどのような変化があるとお考えでしょうか?
ひとつは、セキュリティにおける機械学習や人工知能の活用が進んでいることです。私は、政府のセキュリティ特別会議に出席し、現代の攻撃戦略について話を聞くことができました。人工知能とディープフェイクで今開発され、利用可能な作品は、多くの人が考えているよりもずっと進んでいます。将来のある時点で、AIシステムは、AIシステムによって保護されているシステムを攻撃するようになるでしょう。その攻撃は非常に高速で、人間の介入はほとんど不可能になるでしょう。これはエキサイティングなことであると同時に、懸念すべきことでもあります。本当に非常に興味深い時代です
[H9] セキュリティテストの際によくある間違いは何でしょうか?
私が目にする最も一般的な間違いは、無関心であることです。私は、何度も何度も、企業がセキュリティテストチームを使ってセキュリティ評価を行っているのを目にしてきました。そのチームは、システムを悪用して、問題を修正するように報告書を提出しますが、その後、何も行われません。何も変更されないか、ほとんど変更されないのです。特に、社内のテストチームである場合は、その傾向が顕著です。時には、対象となる部門は、他の部門が自分たちを悪者にしたのだと考えることもある。そして、次に予定されているテストでは、同じエクスプロイトが使用され、一部は成功しますが、これはターゲットが真剣に対処せず、問題を修正しなかったためです。
私が考える最大の問題は、十分な訓練を受けたサイバーセキュリティの専門家が非常に必要であることです。拙著「Advanced Security Testing with Kali Linux」で、多くの読者や学生が「次のステップ」を踏み出し、この分野の次のセキュリティ専門家やリーダーになることを後押しできればと願っています。
出典:The intricacies of security testing with Kali Linux – interview with Daniel W. Dieterle