本記事はSOCアナリストの澤部祐太、小池倫太郎が執筆したものです。
はじめに
SOCでは常に最新の脅威に対抗するため、標的型・ばらまき型問わず様々なリサーチ活動を行っています。リサーチ活動によって得られた情報や知見は、SOCでの検知ロジックに反映したり、お客様への注意喚起などで活用されています。また、自組織やお客様環境のみならず世界的にサイバー空間の安全を守るため、社外のリサーチャと情報交換を行っており、その一環としてブログ記事の執筆や国際カンファレンスでの登壇発表を行っています。
今回は2025年6月に開催されたFIRST Annual Conferenceにおける私たちの発表内容とカンファレンス全体の様子について紹介します。
FIRST Annual Conference
今回私たちが登壇したFIRST Annual Conference (FIRSTCON)は、主にCSIRTやIRを対象に開催されているカンファレンスです。毎年6月に開催されており、今年は100か国以上から延べ1,000人超が参加しました。主催団体のFIRSTは、世界中のCSIRT/PSIRTが協力してインシデント対応力を高めることを目指す組織であり、カンファレンスだけでなく運営組織の総会 (AGM) もプログラムに組み込まれています。そのため、会員組織のメンバが多数参加しており、発表内容を多くの聴衆に届けられる点が特徴です。
発表内容
今回の発表では、攻撃者が使用するコードサイニング証明書のエコシステムに関するリサーチを取り上げました。
近年は電子署名が付与されたマルウェアを利用した攻撃キャンペーンが増加しています。攻撃者はマルウェアに対して不正に発行されたコードサイニング証明書を用いて署名を行いますが、これらの証明書の多くは認証局 (CA) の審査をかいくぐって取得されています。私たちはこのような署名をアンダーグラウンドな市場で販売する業者の特徴的な挙動を発見し、それを手掛かりに将来悪用される恐れのある証明書を予測する手法を提案しました。この手法を活用したハンティングで収集された証明書には、著名なCAが発行したものも多く含まれており、CAによる審査プロセスが不十分である可能性が高いことが明らかにしました。さらに、攻撃者は実在する組織になりすまして審査をバイパスして不正に証明書を取得している実態を示しました。このような不正署名にCSIRTが対策する方法として、CAへの報告、組織内での不正署名付きファイルの実行制御、署名情報を活用した継続的なハンティングなどが挙げられます。
発表資料が公式HPにて公開されている他、講演動画もYouTubeにて公開されています。ぜひそちらもご参照ください。
カンファレンスの様子
今年のFIRSTCONはコペンハーゲンのBella Centerで開催されました。講演は3トラック構成(各150席規模)で行われ、別会場の大ホールでは講演の中継やリピート放送が実施されるなど、発表環境はとても充実していました。昨年(2024年)が博多開催だった影響もあってか、日本からの参加者も数多く見受けられました。トピックはマルウェア解析や脅威リサーチの技術寄りの内容だけでなく、チーム運営やユーザ教育、インシデント対応の実例紹介と多岐にわたっていました。私たちが普段参加している産業系カンファレンスではなかなか聞けない内容も多く、非常に新鮮に聞くことができました。
FIRSTCONはネットワーキングイベントにも力が入れられており、毎日プログラム終了後にウェルカムレセプションやライトニングトーク、パーティが開かれました。また、有志主催によるアウトドアアクティビティも盛んで、フットサルやトレッキングなどが開催され、組織や国を超えた交流の場となっています。中でも、トレッキングは雨が降りしきる中を20km以上歩くハードコースで、世界中のエンジニアの高いバイタリティを肌で実感しました。
開催地のコペンハーゲンは高緯度に位置しており、夏は22時ごろまで太陽が出ており白夜に近い環境です。到着直後は体内時計の調整にやや手こずったものの、気温は終日15度前後と涼しく、日本の蒸し暑い梅雨を避けられたおかげでとても快適に過ごせました。また、カンファレンス開催期間はちょうど夏至祭(ミッドサマー)と重なっており、海岸の水辺で焚き火を囲む伝統儀式に立ち会えたのも忘れ難い体験になりました。
おわりに
今回はFIRST Annual Conferenceでの登壇発表について紹介しました。FIRSTCONはCSIRTを対象とするカンファレンスで、これまで参加してきたブルーチーム向けの産業系カンファレンスとは性質が異なる点が多く、とてもよい経験になりました。今後もリサーチ活動を積極的に発信し、サイバー空間の安全に寄与していきたいと思います。