はじめに
SOCでは常に最新の脅威に対抗するため、標的型・ばらまき型問わず様々なリサーチ活動を行っています。リサーチ活動によって得られた情報や知見は、SOCでの検知ロジックに反映するなど、お客様への注意喚起などで活用されています。また、自組織やお客様環境のみならず世界的にサイバー空間の安全を守るため、社外のリサーチャーと情報交換を行っており、その一環としてブログ記事の執筆や国際カンファレンスでの登壇発表を行っています。
今回は2026年2月に開催されたCARO Workshop 2026について、私たちの発表内容と、カンファレンスの様子について紹介します。
CARO Workshop 2026
CARO Workshop は、マルウェア解析や脅威リサーチを中心とした国際的なセキュリティコミュニティである CARO(Computer Anti-Virus Research Organization)によるカンファレンスです。CARO は 1990年に発足した歴史あるコミュニティであり、CARO Workshopも 2007年頃から継続して開催されています。カンファレンス名にWorkshopが含まれていますが、実際には一般的なカンファレンスと同様で、20分あるいは40分程度の登壇発表が行われます。
2026年は “Cybercrime Without Borders: Tracking the Global Underground” をテーマに、オーストリアのインスブルックで開催されました。弊社は今回が初めての登壇発表でした。具体的な講演概要は公式サイトで公開されていますのでご参照ください。
発表内容
今回の発表では、WaterPlumについて、WebSocket ベースのC2サーバや管理パネルから継続的に漏えいしていたデータをもとに、その運用実態を明らかにしたリサーチを紹介しました。
WaterPlumは北朝鮮に関連する攻撃グループであると言われており、世界中の仮想通貨関連のITエンジニアを標的としています。WaterPlumによる攻撃については、過去にブログを公開していますので、詳細はそちらをご参照ください。
- Contagious Interviewが使用する新たなマルウェアOtterCookieについて
- WaterPlumが使用するマルウェアOtterCookieの機能追加
- WaterPlumが使用するマルウェアOtterCandyについて
今回の講演では、これらのキャンペーンをケーススタディとして取り上げながら、WebSocketを使ったマルウェアやツールに関する継続観測によって、国家支援アクターの運用上の特徴や行動変化を追跡する手法について紹介しました。
カンファレンスの様子
CARO Workshop 2026は、オーストリアのインスブルック中心部にあるManagement Center Innsbruckで開催されました。会場はインスブルック空港から車で約10分とアクセスが良く、運営から紹介されたホテルの真横でした。
講演はおおむね 100名程の規模のホールで行われ、国家支援型の攻撃グループに関する内容からサイバー犯罪やサイバーフレームワークなど幅広いテーマが扱われており、質疑応答も活発でした。CARO Workshopでは Chatham House Rule が厳格に適用され、メディア参加の禁止、写真・動画撮影やメモの禁止、さらにアナリストの参加には NDA 締結が必要であることも明記されていました。こうした運営方針からも、安心して率直な議論ができる場づくりが重視されていることが伝わってきました。
開催地のインスブルックは、ウィンタースポーツが盛んで、過去には冬季オリンピックが開催された都市です。カンファレンスは2月末に行われましたが、日中の気温が15度程まで上がり、寒さで困ることはなく、また日本のように花粉で苦しむこともなく、非常に過ごしやすい時期でした。
おわりに
今回はCARO Workshop 2026での登壇発表の概要と現地でのカンファレンスの様子を紹介しました。CARO はマルウェア解析や脅威リサーチを中心としたカンファレンスであり、実務に近い視点も含めた議論に触れられたことは、とても良い経験になりました。今後もこうしたリサーチ活動を積極的に発信し、サイバー空間の安全に寄与していきたいと思っています。