Google(グーグル)は「Hacking Google(グーグルをハックする)」と題したドキュメンタリー動画シリーズをYouTubeで公開した。
そう、これはグーグルのセキュリティを破るための専門教育クラスではなく、グーグル社内のセキュリティチーム(Threat Analysis Group、Project Zero、Red Team)がどうやってサイバー攻撃から自社を守っているかを紹介するものだ。
チームの中には実際にグーグルをハックする、あるいはしようと試みるものもある。本物の攻撃者が使うであろうテクニックと同じものを使って。シリーズは6話構成で、いずれも視聴時間は20分弱となる。
警備員にクロロホルムを嗅がせてはいけない
実は実践的ハッキングの人間であるからなのだが、私のお気に入りエピソードは第3回の「Hacking Google -Red Team(グーグルをハックする-レッドチーム)」だ。17分間の動画は、このセキュリティチームが、内側からハックするためにグーグルに雇われた経緯の実態を描いている。同メンバーは、日々脆弱性スキャンを実行したり、ありきたりの侵入テストをやっているわけではない。レッドチームは本物の脅威アクターがするのと(ほぼ)同じことを演じるために存在している。仕事はかなり範囲が広く、グーグルの製品やサービスのセキュリティを、必要な方法の(ほぼ)すべてを使って破ろうとし、破ることだ。では、何が「ほぼ」なのか。
グーグルの警備員にクロロホルムを嗅がせてはいけない(スクリーンショット、Google)
どの組織でも、そのような活動の「範囲」を決めるものだが、グーグルも例外ではない。ここでの交戦規定は、何も壊さない、実際の顧客データに触らない、システムをダウンさせない、Alphabet(アルファベット、グーグルの親会社)のオフィスに「物理的攻撃」を仕かけない、そして警備員にクロロホルムを嗅がせることも論外だ。
ただし、グーグル・レッドチームのハッカーが、アルファベットが所有、管理しているサービスやデバイスをターゲットにしたり、他のグーグル社員にソーシャルエンジニアリング攻撃を仕かけることは、いじめ、賄賂、あるいは脅しが関わっていないかぎり問題ない。このことは、短いけれどもすばらしいドキュメンタリーで語られていた「2012 USB plasma globe attack」というお気に入りの事例をを思い出させる。
