説明
これは、クライアントに侵入テスト レポートを送信する最も安全な方法です。クライアントだけが自分の秘密キーを使用してレポートを復号化して読むことができるためです。クライアントの公開キーを使用してレポートを暗号化すると、電子メールを傍受したり侵害したりした場合でも、他のユーザーがレポートにアクセスできなくなります。他の方法は、暗号化が弱いかまったく暗号化されていないか、信頼性や準拠性が低い可能性のあるサードパーティ サービスにレポートが公開されるため、それほど安全ではありません。

シンクホールとは、セキュリティ チームが悪意のある、または望ましくないネットワーク トラフィックをブラック ホールやハニーポットなどの制御された宛先にリダイレクトするために使用する手法です。これにより、攻撃を防止または軽減したり、マルウェアの動作を分析したり、感染したホストを隔離したりすることができます。SOC が侵入テスト担当者の IP アドレスでシンクホールを使用した場合、それはテスト担当者のアクティビティを検出し、クライアントのネットワークに到達するのをブロックしたことを意味します。これは、計画プロセスで侵入テストの取り組みについてすべてのチームに通知されなかったことを示し、そうすることでこの状況を回避できた可能性があります。

参照: https://phoenixnap.com/blog/what-is-social-engineering-types-of-threats

侵入テスターは、メタデータ サービス攻撃を実行しようとしている可能性が最も高いです。これは、クラウド プロバイダーのメタデータ サービスの脆弱性を悪用する攻撃です。メタデータ サービスは、クラウド インスタンスに関する情報 (IP アドレス、ホスト名、認証情報、ユーザー データ、ロール権限など) を提供するサービスです。メタデータ サービスには、AWS、Azure、GCP の場合は 169.254.169.254 などの特別な IP アドレスを使用して、クラウド インスタンス内からアクセスできます。侵入テスターが実行するコマンドは curl コマンドで、サーバーとの間でデータを転送するために使用されます。curl コマンドは、/latest/meta-data/iam/security-credentials/ や /latest/user-data/ などの異なるパスを使用して、メタデータ サービス IP アドレスからデータを要求しています。これらのパスにより、IAM ロール認証情報やユーザー データ スクリプトなど、クラウド インスタンスに関する機密情報が明らかになる可能性があります。侵入テスターは、この情報を使用して、権限を昇格したり、他のリソースにアクセスしたり、クラウド環境で他のアクションを実行したりする可能性があります。その他のオプションは、侵入テスターが実行しようとしている攻撃ではない可能性があります。