本記事はSOCアナリストの澤部祐太、小池倫太郎が執筆したものです。
はじめに
SOCでは常に最新の脅威に対抗するため、標的型・ばらまき型問わず様々なリサーチ活動を行っています。リサーチ活動によって得られた情報や知見は、SOCでの検知ロジックに反映したり、お客様への注意喚起などで活用されています。また、自組織やお客様環境のみならず世界的にサイバー空間の安全を守るため、社外のリサーチャと情報交換を行っており、その一環としてブログ記事の執筆や国際カンファレンスでの登壇発表を行っています。
今回は2025年9月に開催されたVB2025における私たちの発表内容とカンファレンス全体の様子について紹介します。
VB2025
Virus Bulletinが主催するVB Conferenceは毎年9月に開催されており、30年以上の歴史を持つ世界的にも著名なカンファレンスです。主にマルウェア解析や脅威リサーチに関する講演が発表されており、セキュリティリサーチャーが各国から集って最新の攻撃手法や研究成果について知見を共有しています。
私たちは2023, 2024年に引き続いての登壇となりました。過年度の登壇の様子は以下の発表レポートをご参照ください。
発表内容
今回の講演ではECHidnaという新しいマルウェアについて取り上げました。
ECHidnaは標的型攻撃において観測されたRATであり、C2通信にECH (Encrypted Client Hello) を利用するという特徴があります。ECHはTLS拡張仕様の一つであり、通信先ホスト名 (SNI) を含むClientHelloメッセージ全体を暗号化することで通信先を秘匿する仕組みです。観測された検体ではECHを有効にしたCDN上にC2サーバを配置しており、通信時のホスト名がCDNサーバ宛になるため、正規通信との区別が困難になります。そのため、従来のセキュリティ製品ではトラフィックの検知やブロックが困難になるという課題があります。
講演ではECHの機能や、C2通信の検知方法についても取り上げました。発表資料や講演動画は
VB公式HPにおいて公開予定です。ぜひご参照ください。
カンファレンスの様子
カンファレンスの開催された JW Marriott Hotel Berlin は、歴史を感じさせる落ち着いた雰囲気が特徴でした。会場は3トラック制で運営されており、私は昨年に引き続き登壇したこともあってか今回は最も広いグリーントラックでの発表となりました。
懇親会ではマリオット系列らしく充実したディナーが提供されたほか、AIと手品を組み合わせたメンタリストによる参加型ショーも開催され会場は盛り上がっていました。
ベルリンの9月下旬は15度前後と過ごしやすい気候であり、カンファレンスの合間に散策するのにはもってこいの気候でした。市街地は歴史的な建造物が今も数多く残されており、ベルリンの壁跡やポツダム広場など歴史の重みを感じさせるスポットが町の随所にありました。市内にはチョコレートやハリボーといったドイツ発祥のお菓子メーカーの公式ショップが点在しており、お土産探しに立ち寄るのも楽しみの一つでした。
おわりに
今回はVirus Bulletinでの登壇発表について紹介しました。VB Conferenceは毎年レベルの高い発表が並んでおり、登壇だけでなく聴講でも充実した経験ができ、とても参加しがいがあるカンファレンスです。今後もこうしたリサーチ活動を積極的に発信し、サイバー空間の安全に寄与していきたいと思います。