松木です。1月18日に開催された Japan Security Analyst Conference 2019(以下、JSAC)というセキュリティカンファレンスに参加しました。 個人的に興味深かった発表などについて簡単にレポートします。
JSAC とは
JPCERT/CC が主催しているセキュリティカンファレンスで今年で 2 回目の開催でした。 開催の趣旨は、セキュリティインシデントに日々対応する現場のセキュリティアナリストが集い、高度化するサイバー攻撃に対抗するための情報共有です。 定員は 300 名でしたが、参加申込み開始後すぐに満員となり、参加したかったけれど申込みが間に合わなかった、という声も多かったようです。 JPCERT/CC が主催、会場が東京都内、参加費無料という非常に良い条件だったため、人が殺到するのも納得です。 さらにありがたいのは、ほとんどの発表者の講演資料が開催直前に JSAC のサイトで一般公開され、参加できなかった人にも同時に情報共有が行われたことです。 これは会の趣旨に沿ったとても良い運営で、有料のカンファレンスでは、なかなかできないことだと思います。
興味深かった発表
個人的に興味深かったのは次の 3 件の発表でした。
- セキュリティログ分析のフィールドはエンドポイントへ ~ Windows 深層における攻防戦記~
- NTT セキュリティ・ジャパン株式会社 林 匠悟氏
- APT10 による ANEL を利用した攻撃手法とその詳細解析
- SecureWorks Japan 株式会社 玉田 清貴氏
- 公開サーバを狙った仮想通貨の採掘を強要する攻撃について
- 株式会社ラック 西部 修明氏
まず、セキュリティログ分析のフィールドはエンドポイントへ ~ Windows 深層における攻防戦記~
ですが、最初に SOC(セキュリティオペレーションセンター) における標的型攻撃の検知状況の共有があり、エンドポイントログ監視の利点と課題点、エンドポイントログ分析の基礎についての解説がありました。
次にカスタムシグネチャ(カスタム IOC )の作成と運用についての話がありました。その中で個人的に興味深かったのは、作成したシグネチャを MITRE ATT&CK というフレームワークにマッピングして、攻撃の進行度を把握することで、検知時の影響度判断や対処がインシデント毎にブレないように運用しているということです。
MITRE ATT&CK には注目していたものの実際にどのように使えば役立つのかという具体的イメージは湧いていなかったため参考になりました。
その後、SOC で観測した APT10 などの標的型攻撃とそれに対するシグネチャ作成の事例では、検知回避テクニックが紹介され、攻撃者はすでにエンドポイントログを意識して攻撃手法を変えてきているということがわかりました。
次の APT10 による ANEL を利用した攻撃手法とその詳細解析
は、最近話題となっている ATP10 で使われるマルウェア検体 ANEL の詳細解析の話でした。
APT10 は 2017 年以降に発見・発表された比較的新しい脆弱性やツール (Koadic) を使って ANEL を感染させるという説明の後、ANEL の詳細な解析結果が共有されました。
ANEL の頻繁なバージョンアップによる変化(差分の分析方法)、DLL ファイルのアンパック、デバッグ検知、暗号化された通信の復号について非常に詳しく解説され、APT 検体の解析を行う際に大変参考になる情報でした。マルウェア解析者にとっては、今回の発表の中で一番有益な内容だと思います。
最後の 公開サーバを狙った仮想通貨の採掘を強要する攻撃について
は乗っ取られたサーバーで仮想通貨のマイニングが増加しているという事例の紹介でした。
私は仮想通貨には詳しくなかったのですが、攻撃者によるマイニングの方式や Monero の特徴などを理解することができました。
攻撃者の収入と乗っ取られたサーバーの被害は別の話ですが、攻撃者のウォレットの観察により脆弱性のインパクトを測ったり、調査開始のトリガーとするという発表者のアイデアは面白いと感じました。
被害を防ぐ対策ノウハウ等の共有があればさらに良かったと思います。
まとめ
JSAC はセキュリティアナリスト向けの実践的な情報共有が行われる素晴らしいカンファレンスでした。 特にマルウェア解析に関しては、セキュリティベンダーのブログやレポート等でしか知ることができなかった情報について、解析者に直接話を聞ける機会はこれまで国内にほとんどなかったと思いますので、マルウェア解析技術を高めたい人にとっては有益だと感じました。
注意していただきたいのは、あくまでセキュリティアナリスト向けのカンファレンスであり、共有される内容は攻撃やそれに用いられるツールの調査・分析のケーススタディにフォーカスしているという点です。 セキュリティアナリストでない人がセキュリティ対策のヒントを求めて参加しても情報をうまく活用するのは難しいかもしれません。 また、セキュリティアナリストという仕事はとても幅広く、共通知識・認識をもって情報共有や議論を行うのは容易ではないと改めて感じました。
今回、参加して気になったのは、セキュリティアナリストでない人も結構参加していたのでは?ということです。(スーツで戦うセキュリティアナリストが多かっただけかもしれません) 運営の方々に話を聞くともっとカジュアルに情報共有できるコミュニティとして盛り上げたいとのことでしたので、事前に発表されている概要や過去の発表資料などを見て、議論したいという方が参加するのが良いと思います。 また、日本からの発表投稿が少ないという話を聞きましたので、ぜひみなさんも投稿をしてください。 他のカンファレンスと違って新規性や話題性重視ではなく、インシデント対応に役立つ実践的な内容を求めているそうです。
-- Takahiro Matsuki, Ph.D., CISSP