【合同勉強会レポート】Pen Test HackFest 2019, CSS 2019, CODE BLUE 2019 参加報告・ATT&CK 調査報告

Posted by 茂木 on 2020-02-07
勉強会

はじめに

基礎技術研究部所属の茂木です。

今回は 1 月 9 日にFFRIと株式会社エヌ・エフ・ラボラトリーズで共同で開催した合同勉強会について報告します。

エヌ・エフ・ラボラトリーズとの合同勉強会は、昨年の 11 月の Rust 勉強会に続き 2 回目となります。

本勉強会は、Pen Test HackFest 2019、CSS 2019、CODE BLUE 2019 の参加報告会がメインです。今回はエヌ・エフ・ラボラトリーズの方々から、各カンファレンス・学会の参加報告を頂きました。また、FFRI から 1 名が、ATT&CK に関する調査報告を共有いたしました。

以下では発表の内容を簡単にご紹介いたします。

Pen Test HackFest 2019

最初にエヌ・エフ・ラボラトリーズの角さんより Pen Test HackFest 2019 の出張報告がありました。

Pen Test HackFest は、業界トップの専門家達が、攻撃手法の共有を行う場です。情報セキュリティのトレーニングを提供するため設立された SANS Institute が主催しており、知見の共有される Summit とともに、ウェブアプリケーションやネットワークのペネトレーション等の Training も開催されます。

Pen Test HackFest 2019 では、Summit が 2 日間あり、その後 Training が 6 日間開催されていました。

本報告では、C2 と Windows 関連の興味深い発表についていくつか紹介がなされ、最新の攻撃技術の動向と、それをエヌ・エフ・ラボラトリーズの事業へどう活かしていくか、という展望が語られました。

個人的には、攻撃を自動化し、防御できるかを検査する Breach and Attack Simulation Platform について興味深く感じました。アメリカでは複数の企業がすでにマーケットに存在しますが、まだ日本では一般的ではないと思います。今後の動向が気になるところです。

CSS 2019

次にエヌ・エフ・ラボラトリーズのお三方から コンピュータセキュリティシンポジウム(CSS)2019 について発表がありました。

CSS は、一般社団法人 情報処理学会 コンピュータセキュリティ研究会(CSEC)が主催する、情報セキュリティのシンポジウムです。CSS 2019 は、マルウェアに関する専門知識を備えた研究者及び実務者の育成を目指す マルウェア対策研究人材育成ワークショップ(MWS)2019、セキュリティ・プライバシーと高いユーザビリティを両立を目指すユーザブルセキュリティワークショップ(UWS)2019 など 4 つのワークショップと合同開催されています。

最初に保要さんより、MWS Cup 2019 の競技について発表がありました。

MWS Cup 2019 は、MWS 2019 で行われている、マルウェアの解析技術を競う競技会です。

競技会当日の課題は全部で 3 つあり、そのうちの 1 つをエヌ・エフ・ラボラトリーズのメンバーが担当していました。その課題についての解説がありました(この解説は、MWS ポストミーティングで話されたものと同一です)。

次に阿部さんより、CSS2019 最優秀論文賞を取った論文、「広域スキャンで収集した応答を用いた全ポート待受型Webハニーポット」の内容について発表がありました。

最後に皆川さんより MWS と UWS の全体的な動向について報告がありました。

MWS は、ほぼ全て機械学習の話だったとのことです。ここ 3~4 年セキュリティに機械学習を応用する研究が多いです。しかし、その中でも、今年は現場のデータで評価したり、既存研究を別の領域へ適用するなど、「現場寄り」の研究が増えてきているとのことでした。

実際、阿部さんにご紹介頂いた論文も、機械学習を上手く適用し、現場の課題を解決する内容でした。こうした課題解決型の研究は非常にインパクトがありますね。

また UWS では、従来まで利用者のユーザビリティに焦点があたっていたのが、近年は暗号の自動適用などの開発者のユーザビリティにも着目され始めているとのことでした。

CODE BLUE 2019

次に、エヌ・エフ・ラボラトリーズのお三方より CODE BLUE 2019 について報告がありました。

最初に保要さんより、CODE BLUE についての紹介がありました。

CODE BLUE は、2014 年から日本で開催されている、サイバーセキュリティの国際カンファレンスです。CODE BLUE 2019 は、2019 年の 10 月末に渋谷で行われました。
この CODE BLUE では専門家たちによる講演である Talks の他に、Workshop や CTF のような Contests があり、今年からは自作ツールを紹介する Bluebox も開かれました。

その中から、Contest の一つである Capture the Flag に保要さんが参加されたご様子をご紹介いただきました。

次に大沢さんより、サプライチェーン攻撃についてと、IoT 機器への脅威についての講演のご紹介がございました。

サプライチェーン攻撃については、抵抗は無駄-防御できないサプライチェーン攻撃をご紹介いただきました。こちらに関しては、CODE BLUE に参加したFFRIの末吉がまとめたブログ記事もございますので、是非御覧ください。

CODE BLUE 2019 参加報告

IoT 機器への脅威に関しては、IoTの脅威、そしてIoTに対する脅威に対抗する家電メーカーアプローチをご紹介いただきました。IoT 機器のセキュリティについては、サイバーセキュリティタスクフォースの緊急提言でも取り上げられるなど、早急な対応が必要な状況となっております。

最後に池尾さんより、CoinbaseとFirefoxの0-day について解説がありました。高度な攻撃に対処するため、アラートを高品質にすることと、攻撃に対応する訓練を行うことが重要であるとのことでした。

ATT&CK

最後に、FFRIから志賀が、ATT&CK 及び CALDERA について調査した結果を共有いたしました。ATT&CK は、アメリカの非営利団体である MITRE が作成している、攻撃者の戦略、技術及び共通の知識を体系化してまとめたものです。Adversarial Tactics、Techniques、Common Knowledge のそれぞれの頭文字を取って名付けられています。また CALDERA は、同じく MITRE が作成した、前述の ATT&CK フレームワークに沿って、自動的に攻撃をエミュレーションするためのツールです。

ATT&CK については、非常に役立つ体系である一方で、定義の粒度にばらつきがあり、分類に迷う場面もあるという所感がのべられました。例えば、T1105 Remote File Copy が非常に幅広い概念である一方 T1077 Windows Admin Shares は範囲が狭く、Remote File Copy に包含されるのではないかといったことです。

こうしたことに気をつけて、上手く使っていきたいですね。

おわりに

今回の勉強会では、研究のトレンドや、今求められている研究の視点について深い示唆が得られました。発表していただいた皆様、本当にありがとうございました。

FFRIではサイバーセキュリティに関する研究開発を希望するエンジニアを募集しています。採用に関してはこちらをご覧ください。