「レッドチーム演習」では、サイバー攻撃の観測・分析活動を行っている専門家が攻撃者となり、攻撃者の一連の行動を示したサイバーキルチェーンの各ステップに沿って標的型攻撃を行う。各組織向けにカスタマイズした攻撃ツールを駆使し、社会生活に影響を及ぼす重要インフラや機密情報を扱う組織内インフラなどに対して実行するという。
より現実に近い状況でサイバー攻撃を体験することで、サイバーセキュリティ態勢が適切に構築・運用されているかを把握し、具体的な問題点を洗い出すことができるとしている。 主なサイバー攻撃演習の手順は次のとおり。
- リモートコンピューティングデバイスを識別するデバイスフィンガープリンティングを利用して各端末の利用環境情報を入手
- 入手した利用環境から判明した脆弱性を狙ったマルウェアを作成
- マルウェアを添付した標的型メールを送信
- 添付ファイルにより端末に疑似マルウェアを感染
- マルウェア感染した端末を橋頭堡にして他の端末やサーバーへ感染拡大
- 疑似RAT(遠隔から端末を操作するツール)によるC&Cサーバー (Command and Control Server)との通信確保
- 取得した機密情報をC&Cサーバーへ送信
- ログの消去等
一連のサイバー攻撃を企業の環境において実施することで、組織内CSIRT(Computer Security Incident Response Team)やSOC(Security Operation Center)におけるインシデントレスポンス体制、運用ポリシー、導入製品の評価、ログ保全状況(システム設計・設定)の確認など、さまざまな観点でセキュリティアセスメントを行う。
また、事前に企業の環境に合わせた脅威シナリオの検討や実現可能性の評価を行い、現実的かつ具体的なサイバー攻撃を実行することで、より効果の高い評価ならびにフィードバックを実現する。
