Published February 17, 2025 | Japanese
はじめに
SOCでは常に最新の脅威に対抗するため、標的型・ばらまき型問わず様々なリサーチ活動を行っています。リサーチ活動によって得られた情報や知見は、SOCでの検知ロジックに反映したり、お客様への注意喚起などで活用されています。また、自組織やお客様環境のみならず世界的にサイバー空間の安全を守るため、社外のリサーチャーと情報交換を行っており、その一環としてブログ記事の執筆や国際カンファレンスでの登壇発表を行っています。
毎年恒例となっていますが、今年もJSAC2025にて登壇発表を行いましたので、本投稿では私たちの発表内容と、カンファレンスの様子について紹介します。過去の登壇発表については、以下をご覧ください。
2018年: RIGエクスプロイトキットの調査, マルウェアURSNIFによる漏えい情報を特定せよ~感染後暗号通信の解読~, 囮システムを用いた攻撃者の振る舞い観測
2019年: セキュリティログ分析のフィールドはエンドポイントへ~Windows深層における攻防戦記~
2020年: 攻撃キャンペーン「Operation Bitter Biscuit」を実行した標的型攻撃グループに関する脅威情報, An Overhead View of the Royal Road
2021年: When you gaze into the Bottle,...
2022年: An Order of Magnitude Update, Crazy Journey: Evolution of Smoky Camouflage
2023年: The Rule for Wild Mal-Gopher Families, Detection engineering with Sigma: Defend against APT targeting Japan
2024年: XFiles: 悪性MSIX/APPXの大規模分析
JSAC2025
JSACはセキュリティ業務に従事する実務者同士での情報共有を目的としたカンファレンスです。私たちSOCのように、日々セキュリティインシデントに直面するアナリストやリサーチャーを中心に、マルウェア解析や攻撃キャンペーン情報などの共有が行われます。
昨年度から海外からの登壇者・参加者が多く、今年は半分以上の講演が海外のアナリストやリサーチャーによるものでした。具体的な講演概要や資料は公式サイトで公開されていますのでご参照ください。
発表内容
今回はNTTセキュリティ・ジャパンの小池とNTT Security SwedenのAmataが共同でリサーチしていたDarkPlumという攻撃グループについて講演を行いました。
DarkPlumは一般的にAPT43やKimsukyと呼ばれている北朝鮮に帰属する攻撃グループと重複があり、基本的には韓国やアメリカの外交や軍事関連の情報を窃取するために攻撃を行っています。従来は極稀に日本でも攻撃が観測されていましたが、2024年3月頃から活発に日本へ攻撃を行っています。講演では、2024年3月以降に日本で観測された具体的な攻撃事例を3つ紹介しました。
また、そうした攻撃事例のインジケータをもとに、DarkPlumの攻撃者インフラについて詳細な調査を行いました。講演では、彼らの拠点がどこに存在しているのか、その可能性について紹介しました。DarkPlumの攻撃者インフラを解明することで、実際に攻撃が観測されるよりも前にその兆候を把握することができ、より効果的な防御策を講じることができるようになると私たちは考えています。
私たちの講演後、非常に多くの方々が質問や意見交換のために声を掛けてくださり、たくさんの肯定的なリアクションをいただけました。
カンファレンスの様子
JSAC2025は赤坂インターシティコンファレンスで開催されました。2018年の初回以降、JSACはずっと御茶ノ水ソラシティカンファレンスセンターで開催されていました。メイン会場の規模はそれほど大きな差はありませんでしたが、ワークショップ用の部屋は机やコンセントなど、設備が充実していたようです。
今年は特に海外からの登壇者が多く、初日は9講演中8講演がそうでした。JSACはJapan Security Analyst ConferenceからJoint Security Analyst Conferenceへと変わりましたが、その影響なのか、国内のみならず海外での注目度が高いことが垣間見えました。
おわりに
今回はJSAC2025での登壇発表について紹介しました。今年もJSACは興味深い発表ばかりで、充実したカンファレンスだったように思います。また、多くのアナリストやリサーチャーと情報交換を行うこともでき、ネットワーキングという意味でも素晴らしいカンファレンスでした。今後もリサーチ活動を積極的に発信し、サイバー空間の安全に寄与していきたいと思います。