Share
Download the
Global Threat
Intelligence Report
第7日目は、SOC アナリスト 小池 倫太郎の記事です。国際カンファレンス VB 2019 と AVAR 2019 で発表したときの模様についての紹介です。
---
SOC アナリストの小池です。主にリサーチ業務を担当しており、様々な攻撃について調査を行っています。また、nao_sec というチームでもリサーチ活動をしており、リサーチ結果を国内外のカンファレンスで発表しています。今回は最近私が登壇発表した 2つの国際カンファレンス(VB2019 と AVAR2019)について紹介します。
VB 2019
Virus Bulletin International Conference (VB) 2019 は 10月初旬にロンドンで開催されました。VB は Threat Intelligence に関するカンファレンスとしては世界トップクラスと言われており、採択率も低く、毎年非常にレベルの高い発表が行われています。
カンファレンスは 3日間で、3つのトラックで発表が行われ、非常に興味深いものが多かったです。多くの発表は動画や資料が公開されていますので、どのような発表があったのか興味のある方はぜひ Web サイト をご覧ください。
私は nao_sec メンバーである株式会社アクティブディフェンス研究所の忠鉢氏と「Finding drive-by rookies using an automated active observation platform」というタイトルで、新たな Drive-by Download 攻撃キャンペーンをどのように発見していくのかという発表を行いました。
Drive-by Download 攻撃はもはや流行りの攻撃ではなく下火になっていると思っている方は多いと思いますが、現在でも新たな攻撃キャンペーンやツールが登場し、SOC でも攻撃を検知しており、依然として注意すべき攻撃です。特に、未知の攻撃キャンペーンやツールは今までのロジックでは検知できない可能性があるため、早期にキャッチアップしていく必要があります。また、Drive-by Download 攻撃において、日本では独自の攻撃キャンペーンが観測されており、そうした Region-specific な攻撃への対応は日々日本で攻撃を観測することができる私たちが対応していく必要があると考えています。
そこで、私たちは Drive-by Download 攻撃を能動的に観測し、その観測データを解析することで、新たな攻撃キャンペーンやツール、あるいは使用されるマルウェアの情報を収集するシステムを開発し、運用しています。発表では、そのシステムの構成と、それを運用することでどのような結果が得られたのか、詳細に説明しました。発表資料は こちら で公開されていますので、ご興味のある方はご覧ください。
発表後、たくさんの人から好意的なフィードバックを受けました。同じような取り組みを行っている人に「効率的にやるにはどうしたらいいか」ということを相談されたり、普段情報交換をしている海外のリサーチャーたちと会って話ができる機会はとても貴重で、発表してよかったと思います。
私はロンドンに行くのが去年の BlackHat Europe 2018 以来でした。去年までは入国時に長々と列に並んで審査を受けなければいけなかったのですが、2019年 5月から日本人も eGate を使えるようになり、入国がめちゃくちゃ簡単になったのはとても嬉しかったです。日本人で良かった。
また、BlackHat の場合はロンドンでもかなりの僻地で行われるため、あまり観光などもできず、基本的にずっとカンファレンス会場に籠もるような感じでしたが、VB2019 は都市部で行われたため、ロンドンらしさを多少は感じることができたと思います。私の場合、食事があまり合わず、もう当分はロンドンに行かなくていいかな…という気持ちです。紅茶とスコーン、それからカレーライスは美味しかったです。
海外に行くときは気温も重要で、日本は 10月なのに真夏日とか言ってる一方、ロンドンは激寒でした。薄着な日本人たちは急いで上着を買いに行ったりしていました。旅先について事前にちゃんと調べておくべきですね…… 私はホテルの部屋の暖房が全く効かず、凍え死ぬかと思いました。
AVAR 2019
VB 2019 の 1ヶ月後、The 22nd International AVAR Association of Anti-Virus Asia Researchers) Cybersecurity Conference に参加し、登壇発表しました。AVAR 2019 は国際カンファレンスですが、今年はたまたま大阪で開催され、日本人としてはあまり国際カンファレンス感はありませんでした。参加者は 1/5 ほどが日本人で、国際カンファレンスとしては非常に多かったと思います(VB の場合、日本人参加者は 10人くらい)。AVAR 2019 はアンチウイルスソフトのベンダが中心となって開催しており、今年は ESET 社が主催でした。Threat Intelligence に関する発表が多く、VB と近い部分があります。VB で海外のリサーチャーと「AVAR でまた会おう」と何度も話したくらい共通の参加者が多く、VB と同じ発表をする講演者もいます。
私は VB と同じく Drive-by Download 攻撃関連ですが、内容は完全に異なっており、Fallout Exploit Kit という攻撃ツールについて発表を行いました。共著者は nao_sec メンバーである株式会社サイバーディフェンス研究所の中島氏です。
Fallout Exploit Kit は 2018年に私たちが発見した Exploit Kit です。発見当時、Nuclear Exploit Kit と似たような性質が多かったため、Fallout と名付けました。Fallout は3度の大きなアップデートによって洗練され、とても高度な攻撃ツールとなっています。現在でも活発に観測されており、SOC としては注意すべき脅威です。私たちは Fallout が登場した直後から現在に至るまで、その進化のほとんどを追跡し、解析してきました。 Fallout がどのように進化し、現在どのように洗練された攻撃を行っているのか、極めて詳細に発表しました。講演資料は こちら に公開していますので、興味のある方はご覧ください。
VB で会った人や去年の BlackHat USA 2018 で発表を聞きに来ていくれていた海外リサーチャーと再会したりして、様々な話ができました。日本にいながら、たくさんの海外リサーチャーと会って話をしたり、彼らの発表を聞けたため、非常に良い機会だったと思います。
AVAR 2019 は大阪開催だったため、街中で日本語が通じるし(発表は英語ですが)、ご飯もめちゃくちゃ美味しいし、移動も全然時間がかからず、精神的にも肉体的にも楽でした。パーティーの余興がかなり豪華で、太鼓叩く人が来たり、時代劇的なのをやっていたり、手品師が来たり、とても楽しかったです。Web サイトで写真が公開されており、なんとなく雰囲気は分かるかもしれません。
おわりに
今回は私が最近登壇発表した VB2019 と AVAR 2019 について紹介しました。どちらもレベルの高いカンファレンスで、登壇者としても聴講者としても非常に有益だったと思います。今後も引き続き様々なリサーチを行っていき、対外発表すべきものに関しては積極的に行っていこうと思っています。
現在決まっているものだと、来年1月17日の Japan Security Analyst Conference 2020、1月28日の CPX 360 2020(CPRCon 2020)で登壇発表予定です。Royal Road RTF Weaponizer というツールを使った攻撃(日本を標的としたものも含む)について発表しますので、よろしくお願いいたします。