阿波踊りとペネトレーションテストツール

よく話題になることがある話です。
侵入テスト用ツールがうまくできすぎているのではないか、という話です。
いろいろ言われていますが、次のようなスパイラルなのかもしれません。

• 侵入テストで安全性を確認すべきだ
• 侵入テストを手動でやってみたが、満足に脅威を説明するに至らない
  要は侵入できませんでした、という話
  これはこれでよかった気もするのですが、ここで話は終わりません
• 侵入テストを手動でやるのではなく、自動的にできるツールを使えばいいんじゃないか
  そうだ、いいこと考えた、です
• 新しく手に入れた自動侵入テストツールで侵入テストしたら、テスト対象の環境が安全でないことが確認できた
  よかった、のかな？
• その後テスト対象の環境の改善を実施したので、以前よりも安全になった
  ここは無条件でよかったといえる部分でしょうね
• （最初に戻る）

この流れ、企業の通常業務が担当の社員の目線で考えると、そんな流れになるのかな、という部分があると思います。
でも、目線をその企業のセキュリティ担当者だとか安全性を確認するサービスを提供している会社の技術担当者のそれに変更して考えてみるとどうでしょうか。
実にそれっぽいと感じられるように思います。

車があるから事故が起こるんだ、車なんてなくしてしまえ。
刃物があるから怪我をするんだ、刃物なんてなくしてしまえ。
Metasploitがあるから悪用されてしまうんだ、Metasploitなんてなくしてしまえ。
Cobalt Strikeがあるから悪用されてしまうんだ、Cobalt Strikeなんてなくしてしまえ。

ペネトレーションテストツールが悪いのでしょうか。
利用者の倫理観に頼っている感じは確かにあると思います。
よくよく考えても、なんだかモヤモヤした部分が残る感じがします。
でも、実際にペネトレーションテストツールは存在していますし、どんどん開発が継続されて拡張されていっています。
ペネトレーションテストツールは私が望まなくても進化していきます。
私が選べるのはそれを使うか使わないか、くらいなのかもしれません。

阿波踊りの歌詞にこうあります。
「踊る阿呆に見る阿呆 同じ阿呆なら踊らにゃそんそん」

あなたはうまく使えていますか？

参考記事（外部リンク）：Cobalt Strike, a penetration testing tool abused by criminals
blog.malwarebytes.com/researchers-corner/2021/06/cobalt-strike-a-penetration-testing-tool-popular-among-criminals/