本記事はSOCアナリストの岩田翔平、吉川照規、小池倫太郎が執筆したものです。
はじめに
SOCでは常に最新の脅威に対抗するため、標的型・ばらまき型問わず様々なリサーチ活動を行っています。リサーチ活動によって得られた情報や知見は、SOCでの検知ロジックに反映したり、お客様への注意喚起などで活用されています。また、自組織やお客様環境のみならず世界的にサイバー空間の安全を守るため、社外のリサーチャーと情報交換を行っており、その一環としてブログ記事の執筆や国際カンファレンスでの登壇発表を行っています。
今年もJSACにて登壇発表を行いましたので、私たちの発表内容やカンファレンスの様子について紹介します。
過去の登壇発表については、以下をご覧ください。
2018年: RIGエクスプロイトキットの調査, マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~, 囮システムを用いた攻撃者の振る舞い観測
2019年: セキュリティログ分析のフィールドはエンドポイントへ ~Windows深層における攻防戦記~
2020年: 攻撃キャンペーン「Operation Bitter Biscuit」を実行した標的型攻撃グループに関する脅威情報, An Overhead View of the Royal Road
2021年: When you gaze into the Bottle,...
2022年: An Order of Magnitude Update, Crazy Journey: Evolution of Smoky Camouflage
2023年: The Rule for Wild Mal-Gopher Families, Detection engineering with Sigma: Defend against APT targeting Japan
2024年: XFiles: 悪性MSIX/APPXの大規模分析
2025年: Behind the scenes of recent DarkPlum operations
JSAC2026
JSACはセキュリティ業務に従事する実務者同士での情報共有を目的としたカンファレンスです。私たちSOCのように、日々セキュリティインシデントに直面するアナリストやリサーチャーを中心に、マルウェア解析や攻撃キャンペーン情報などの共有が行われます。
今年は、メインとなる「カンファレンスDay」の前日に「トレーニングDay」というものがあり、セキュリティ分析に関する高度な知識を無料で学べる場がありました。トレーニングの概要や講演概要については公式サイトをご参照ください。
発表内容
今回は岩田と吉川より、SOC内で観測したインシデントの分析事例と、それを実行した攻撃グループであるDragonCloverについて講演を行いました。
講演資料はこちらです。
分析事例では、 Windows Server Update Services(以下、WSUS)の脆弱性CVE-2025-59287を悪用した攻撃事例について取り上げました。この攻撃では、正規のフォレンジック/DFIRツールであるVelociraptorや、Cloudflare Workersを悪用することを特徴としていました。発表内では、当インシデントの感染経路の特定が困難であったこと、その状況からどのように攻撃起点の特定にまで至ったのかについて紹介しました。
2章以降はDragonCloverのWSUS Exploit Campaignや帰属の検討結果について紹介しました。DragonCloverは、Storm-2603やGOLD SALEMと呼ばれる脅威アクターと関連があり、中国との関係が疑われるグループです。当グループはこれまでに、SharePoint、WSUS、 CentreStackの複数のリモートコード実行を成功させており、その実力は確かなものであることが窺えます。発表では、DragonCloverがこれまでに使用したTTPsについてもまとめていますので、ご参考になれば幸いです。
カンファレンスの様子
JSAC2026は、前年度に引き続き赤坂インターシティコンファレンスで開催されました。定員は400名で先着順ですが1日経たずに受付終了となるほど盛況でした。例年より受付終了が早い印象で注目度の高さが窺えます。
1日目はAPTを中心に、2日目はインシデント対応やフィッシングなどの様々なテーマで講演が行われました。また海外からの登壇者が半数近くを占め、日本人の登壇者でも英語で講演を行う人もいるため、グローバルなイベントであることが実感できました。
2日目の午後には、JSACのレビューボードによるパネルディスカッションが実施され、弊社の小池が登壇しました。パネルディスカッションの内容はオフレコとなっているためここでは紹介できませんが、様々なテーマについて活発な議論が行われました。
おわりに
本稿ではJSAC2026での登壇発表について紹介しました。例年に続く興味深い発表の数々と、今年から始まったトレーニングの存在も相まって、多くのアナリストやリサーチャーにとって、より有益なカンファレンスとなったことを感じました。今後もリサーチ活動を積極的に発信し、サイバー空間の安全に寄与していきたいと思います。
