パトリック・オキーフ- Patrick O’Keeffe -
パトリック・オキーフはドイツの海軍士官であり、Operations in Confined and Shallow Waters Centre of Excellence for Operations(COE CSW -「限定浅海域における活動の中核的研究拠点」)にてNATO法律顧問を務めている。彼は宇宙力学及び衛星運用を専門とする航空宇宙技術者および航空兵でもあった。彼は学際的な環境から、破壊的技術がNATOの戦略的事業転換にもたらす影響に取り組んでいる。彼はまたAMC Solutionsの専務取締役として、航空宇宙、海事、サイバー戦略および政策に関してNGO、GO、IGOおよび企業の助言を行っている。
基調講演:サイバースペースにおける国家主権
サイバー空間において、脅威は絶えず生まれ続ける。情報通信技術(ICT)の急速な発展は、その意図に反して世界中にセキュリティポリシーの隔たりを生んでいる。また、情報技術のもたらす利益と、それらの脆弱性の保護に依存した現状はさまざまな分野、機関、国家レベルのプロジェクトにセキュリティ上の課題を突き付けている。
だが、今日に至るまでセキュリティに関する専門用語や戦略的考慮に関するグローバルな共通認識は作られていない。サイバーセキュリティ戦略の重要な目標はサイバー空間およびその外の世界において主権を守ることだ。陸や空、海、宇宙と違い、サイバー空間において国境は地理的または物理的な境界により定義することができない。そのため、包括的なサイバーセキュリティ戦略は多次元的かつ学際的なアプローチで主権の保護に向き合わなくてはならない。本講演では、クロスドメインな環境における国際的な課題について概観を説明する。
ジョージ・ホッツ- George Hotz -
ジョージ・ホッツは、初代iPhoneのジェイルブレイクの手法を開発したことで、17歳にして世に知られるようになった。その後も PlayStation 3やChromebookのジェイルブレイクに成功している。そして今度は開発に取り組む時が来た。それはAIという未開の地。まずは自動運転車の開発から着手している。彼がCEOにして創設者であるcomma.ai社は、ユーザーが自分の車に、自分でインストールすることのできる自動運転キットの開発とオープンソース化に取り組んでいる。
基調講演: OSSによる自動車の自動運転化
自動車をオープンソース化すること、そして自動運転車の実現に技術者以外を必要としないということについて解説しよう。
アブドゥル・アジズ・ハリリ, ジャシエル・スペルマン, ブライアン・ゴーレンク - Abdul-Aziz Hariri, Jasiel Spelman, Brian Gorenc -
アブドゥル・アジズ・ハリリ - Abdul-Aziz Hariri -
アブドゥル・アジズ・ハリリはZero Day Initiative (ZDI) programのセキュリティ調査員であり、世界最大のベンダー非依存のバグバウンティプログラムであるZero Day Initiative programにおいて数百の脆弱性分析における根本原因の分析を行っている。彼の専門領域は、根本原因分析、ファジングからエクスプロイト解析に及ぶ。ZDI加入前はフリーランスのセキュリティ研究者およびモルガンスタンレーの緊急時対応チームの一員として活動していた。フリーランスのセキュリティ研究者のころには、2012年にWiredマガジンの記事に、「フルタイムバグハンターの肖像」として掲載されている。2015年にはマイクロソフトのバグバウンティプログラムのための"Breaking Silent Mitigations - Gaining code execution on Isolated Heap and MemoryProtection hardened Internet Explorer"の調査チームの一員として参加していた。彼らの活動は、多くの科学、技術、工学、数学にかかわる組織が参加するマイクロソフトのバグバウンティプログラムにおいて、今まで最高の支払い額を達成した。
Twitter: @abdhariri
ジャシエル・スペルマン - Jasiel Spelman -
ジャシエル・スペルマンはZDIの脆弱性アナリストおよびエクスプロイト解析者である。主な職務は、現実的なケースに基づくエクスプロイトの検証によってZDIにおける優先順位付けをおこなうための根本原因分析である。ZDIに参加する前は、ZDIに投稿するエクスプロイトを作成するDigital Vaccineチームの一員であり、TippingPointのReputationDVサービスの開発を支援していた。元々はネットワーキングを中心に研究していたが、本番移行までの開発に研究の主眼をシフトしている。彼はテキサス大学オースチンの学士を取得している。 Twitter:@WanderingGlitch
ブライアン・ゴーレンク - Brian Gorenc -
ブライアン・ゴーレンクはトレンドマイクロの脆弱性分析部門のディレクターである。Gorencは世界最大のベンダー非依存のバグバウンティプログラムであるZero Day Initiative (ZDI) programを運営している。彼の専門領域は世界中からZDI調査者によって寄せられる数百のゼロデイ脆弱性に対する根本原因分析と解析に及んでいる。ZDIは世界中でよく使われているソフトウェアの脆弱性の発見と修復を行っており、またハッキング競技会 Pwn2Ownのオーガナイズも行っている。Twitter: @MaliciousInput
[VMware][Exploit Development][Vulnerability Research][Fuzzing]大義のために:趣味と実益のためのVMware RPCインターフェースの活用
仮想マシンは近年のコンピューティングにおいて重要な位置を占めている。単一の物理サーバー上に複数の顧客のインスタンスを配置させることや、研究者やセキュリティ専門家が有害なおそれのあるコードを隔離させ、分析や評価を行うこともある。仮想マシン上で稼働させることにより、ほかの環境には有害な影響を与えないであろうという仮説が作られているのである。しかしながら、これは確実ではなく仮想マシンのハイパーバイザーの脆弱性によりシステム全体のアクセス権を与えてしまうという可能性も存在する。かつては仮定上の話と考えられていたが、Pwn2Own 2017において2つの独立したデモによる実証によって確実に存在しうるシナリオであると考えられるようになった。
本セッションではVMwareにおけるホスト‐ゲスト間の通信の詳細について解説を行う。さらにプレゼンテーションではRPCインターフェイスの機能についても説明する。またこのセクションでは、ゲストOSからホストOSに対して自動的に送られるRPCリクエストの盗聴や記録に使用できるテクニックについても解説する。またここでは、ファジングを行うためにPythonおよびC++のRPCインターフェイスにクエリするためのツールの書き方を紹介する。
これらを通じて、パッチ適用済みの脆弱性を通じたVMwareのUse-After-Free脆弱性攻撃を検証する。
アントン・チェレパノフ, ロバート・リポヴスキー - Anton Cherepanov, Róbert Lipovský -
アントン・チェレパノフ- Anton Cherepanov -
アントン・チェレパノフはESETのシニアマルウェアリサーチャーであり、複雑な脅威の分析などを担当している。彼はウクライナにおけるサイバー攻撃を広く研究しており、その内容はVirus Bulletin、CARO Workshop、PHDays、ZeroNightsなど数多くのカンファレンスにおいて発表されている。彼はリバースエンジニアリングとマルウェア分析の自動化に特に興味を持っている。
ロバート・リポヴスキー - Róbert Lipovský -
ロバート・リポヴスキーは、10年間のマルウェア研究経験を有するESET Security Research Laboratoryのシニアマルウェアリサーチャーである。彼はマルウェアの調査と分析を担当しており、ブラチスラヴァのESET本部にてマルウェア研究のチームを率いている。彼はBlack Hat、Virus Bulletin、CAROといったセキュリティカンファレンスにて定期的に登壇する人物である。彼はコメンスキー大学および母校のスロバキア工科大学においてリバースエンジニアリングの課程を開設している。キーボードに触れていない間、彼はスポーツやギター、飛行機を飛ばすことを楽しんでいる。
[Industroyer][CrashOverride][Industrial Control Systems security][power grid
black-out][Ukraine][potential global impact]産業制御システムに対するStuxnet以来最大の脅威
Industroyerは電力系統に対する攻撃に特化した史上初のマルウェアである。このユニークで非常に危険なマルウェアフレームワークは、2016年12月にウクライナで停電を引き起こした。
BlackEnergy (a.k.a. SandWorm) などの重要インフラを攻撃対象にした他のマルウェアとIndustroyerの違いは、4種類の産業用通信プロトコルを使用して直接コントロールスイッチやブレーカーを操作する能力にある。
本講演では、Industroyerが悪名高いStuxnetワーム以来産業制御システムに対する最大の脅威であると考えられる理由の解説に加え、2016年の停電を近年のウクライナの重要インフラに対する他の多くのサイバー攻撃と比較して解説する。
Industroyerが攻撃するプロトコルやハードウェアはウクライナに限らず世界的に電力系統や交通網、そして水道やガスといった重要なインフラにおいて使われているため、このマルウェアは他国の重要なサービスへの攻撃にも転用することができる。この発見は、このような重要なシステムのセキュリティを担う者達に警鐘を鳴らすはずだ。
ディ・シェン - Di Shen -
ディ・シェン (@returnsme) は Keen Lab (@keen_lab) の上級セキュリティ研究員であり、2014年からAndroidカーネルのエクスプロイトと脆弱性の発見に注力している。ここ数年でAndroidカーネルやTrustZoneに存在する致命的な脆弱性を複数発見しており、それらの脆弱性に対するエクスプロイトの開発に成功している。
[0 days][Android kernel][Local privilege escalating][Exploit development]Androidカーネルに存在する特異なUse-after-freeバグのエクスプロイト手法
本講演では昨年発見したAndroidカーネルに存在する特異なUse-after-freeバグを2つ取り上げる。さらに、今回発見したバグへのエクスプロイトに利用した、100パーセント確実に成功させる信頼性を誇る新たな手法について紹介する。
1つ目のバグはCVE-2017-0403である。このバグではバージョン3.10よりも古いLinuxカーネルを搭載した昨年出荷されたほぼすべてのデバイスで管理者権限を得ることができる。これまでのところ1400万を超えるユーザーがこのエクスプロイトを用いてroot化に成功している。この脆弱性では、攻撃者はオブジェクト自身を指すポインタを用いて、固定のオフセット上の解放済みオブジェクトのみの上書きが可能である。このバグを用いてカーネルコード実行を成功させることはとても困難なことである。この問題を解決するために、解放済みオブジェクトをiovecで再度満たし、カーネル内のパイプサブシステムを悪用する新たな手法を提案する。この手法によりこの特異なメモリ破壊を任意のカーネルメモリ書き換えに転換することができる。
2つ目のバグはCVE-2016-6787である。このバグは競合状態に起因するUse-after-freeであり、重要なカーネルの構造体が破壊されるだけではなくスケジューラーがコンテキストを攻撃者のプロセスに切り替える際にカーネルの破壊を引き起こす可能性がある。よって、Use-after-free発生直後に攻撃者のプロセスを凍結して、カーネルの破壊を防ぐ新手法を導入し、エクスプロイトに信頼性を持たせる。
本講演では総括として、Androidカーネルに発見したUse-after-freeバグをエクスプロイトする新手法を提供する。エクスプロイト手法の概念はとても新鮮であり、バグの詳細は今までに議論されたものではない。
ハオチー・シャ,クイン・ヤン - Haoqi Shan, Qing Yang -
ハオチー・シャン
ハオチー・シャンは、360 TechnologyのUnicorn Teamに属している。Haoqi Shanは現在、Unicorn Teamの無線セキュリティシニアリサーチャーだ。彼はWi-Fi侵入、GSMシステム、組み込み式デバイスのハッキング、ハッキングツールの開発などに注力している。彼は、DEF CON、Cansecwest、Syscan360、HITBなどで、フェムトセルのハッキング、RFIDハッキング、LTEデバイスのハッキングに関する一連のプレゼンテーションを行った。
クイン・ヤン - Qing Yang -
クイン・ヤン。360 TechnologyのRadio Security Research Department と Unicorn Teamを設立。情報セキュリティで豊かな経験を持つ。Black Hat, DefCon, CanSecWest, HITB, Ruxcon, POC, Xcon, China ISC 他で講演経験を持つ。
[NFC][MITM][Hacking Tool]マン・イン・ザ・NFC
NFC(近距離無線通信)技術はセキュリティ、銀行、決済や、個人情報交換の分野でとても幅広く使われている。それに応じてNFCに対する攻撃手段も延々と出現している。もし私たちが誰かのEMV対応のQuickPass、VisaPay銀行カードを、その財布から"取る"ことなく"盗みたい"としたら? この問題を解決するために、私たちはハードウェアツールを作成しそれを"UniProxy"と名付けた。このツールには自ら改造した高周波カードリーダーが2つ、無線送信機が2つがあり、マスター・スレーブの関係にある。マスター側では、カードの種類にかかわらず、ほとんどすべてのISO 14443Aタイプのカード、銀行カード、IDカード、パスポート、アクセスカード、などカードが使用するセキュリティプロトコルに関係なく読み出す。一方でスレーブ側では読み出したデータを ISO 14443Aの規格を満たしながら、合法的なカードリーダーに再生し、"悪意ある"目標を達成する。このマスターとスレーブは無線送信機でやり取りをし、50〜200m離しても大丈夫だ。
坂井 弘亮 - Hiroaki Sakai -
富士通株式会社 ネットワークサービス事業本部 富士通セキュリティマイスター(ハイマスター領域),、セキュリティ&プログラミングキャンプ(現セキュリティ・キャンプ)講師、SECCON実行委員、SecHack365実施協議会委員、クリティカルソフトウェアワークショップ プログラム委員、個人でのイベント出展・セミナー登壇多数、アセンブラ短歌 六歌仙の一人、バイナリかるた発案者、フリーソフトウェア作成、個人ホームページによる情報発信(http://kozos.jp/),技術士(情報工学部門)。
安価なマイコンボードで動作する独自組込みOS「KOZOS」をホビープログラミングとして自作し、ブートローダー、シンプルなマルチタスク・カーネル,デバイスドライバ、簡易TCP/IPスタック、簡易Webサーバ、デバッガ対応、シミュレータ対応等を実装、フルスクラッチのソフトウェアによるWebサーバを動作させる。
さらにオープンソースソフトウェアとして公開し、各種イベントに出展・登壇(オープンソースカンファレンスなど)。
書籍・記事執筆多数、代表作は「12ステップで作る 組込みOS自作入門」「リンカ・ローダ実践開発テクニック」「大熱血!アセンブラ入門」「ハロー“Hello, World” OSと標準ライブラリのシゴトとしくみ」など。
[embedded system][remote debug][debugger][debug stub]Step-Oriented Programming による任意コード実行の可能性
組込み機器ではホストPCと接続してリモートでプログラムのデバッグを行うために、スタブと呼ばれる独立した制御プログラムを内蔵し、メイン・プログラムを制御することでデバッガによるデバッグを可能にしている。スタブはレジスタ値やメモリの読み書きなどの単純な制御のみを行うことで簡略化されており、解析などの複雑な処理はホストPC上でデバッガが行う。
ホストPC上のデバッガと組込み機器上のスタブとの通信はリモート・シリアル・プロトコル(RSP)と呼ばれるプロトコルにより、シリアル通信やTCP/IP通信により行われる。この通信が奪われた場合、スタブの任意の操作が可能となり、その場合の攻撃の可能性としては、プログラム・カウンタの値を変更しながらステップ実行を繰り返すことで機械語コードの断片を組み合わせて任意コードを実行する Step-Oriented Programming(SOP)が考えられる。これはDEPによるデータ領域の実行防止やフラッシュROM上の機械語コードしか実行できないなどの理由で、注入された機械語コードの実行が不可能であったとしても、既存の機械語コードから任意コードを組み立てての実行が可能である。
SOPによる攻撃の原理と実際に検証コードを組み立てて検証した結果について、デモを含めて説明する。
西村 宗晃 - Muneaki Nishimura -
[Vulnerability][IT Asset Management software]国産IT資産管理ソフトウェアの(イン)セキュリティ
2017年の春、あるIT資産管理ソフトウェアの脆弱性が海外からのサイバー攻撃に悪用されているとの報道がTVや全国紙などで取り上げられた。IT資産管理ソフトウェアとは、従業員による社内情報の持ち出し防止などを目的として、IT管理者が各従業員の端末に導入するものである。こうしたソフトウェア製品の中には、各社員の端末上でIT管理者による任意のプログラム実行や、端末の遠隔操作を可能とするものも多い。報道されたサイバー攻撃の事例では、攻撃者がIT管理者からの通信をなりすまし、端末上で不正なプログラムを実行していたとされる。攻撃に悪用されたソフトウェア以外にも、国内には著名なIT資産管理ソフトウェアが複数存在する。中には、数千社への導入実績に裏打ちされた安全性を謳い文句にするものもある。ーー他のIT資産管理ソフトウェアは果たして本当に安全なのだろうか?ーーこうした疑問から、シェアの高い国産のIT資産管理ソフトウェア4種に対する脆弱性検査を実施した。この結果、従業員の端末を誰でも遠隔操作できる脆弱性やIT管理者のサーバから任意の情報を持ち出せる脆弱性、サイバー攻撃に悪用されたものと同種の脆弱性をはじめとする複数の脆弱性が見つかった。本発表では、見つかった脆弱性の技術詳細に加え、IT資産管理ソフトウェアの脆弱性を探す際に共通する攻撃手法を述べる。
オレンジ・サイ - Orange Tsai -
Cheng-Da Tsaiは、Orange Tsaiとしても知られていて、台湾の DEVCORE and CHROOT のメンバーである。Black Hat USA、DEFCON、HITCON、HITB、WooYun、AVTokyoなどのカンファレンスで講演。多数のCapture The Flag(CTF)に参加し、DEF CON 22/25 においては HITCONのチームメンバーとして2位受賞した。
現在は脆弱性の研究と、Webアプリケーションのセキュリティに力を入れている。Orangeは脆弱性を見つけてBug Bounty Programに参加することを楽しみとしている。彼は遠隔コード実行(RCE)に熱中していて、Facebook、Uber、Apple、GitHub、Yahoo、Imgurなどの複数のベンダーのRCEを発見した。
[Web Security][SSRF][Protocol Smuggling]SSRFの新時代 - 有名プログラミング言語内のURLパーサーを攻撃!
わたし達は、SSRF(サーバーサイドリクエストフォージェリ)プロテクションを回避することでまったく新しい攻撃の局面をもたらす新しい攻撃手法を提示する。これは、Python、PHP、Perl、Ruby、Java、JavaScript、Wget、cURLなど、広く一般的に使用されているプログラミング言語のビルトインライブラリ内のゼロデイを多く見つけるために自作のファジングツールと組み合わせた、とても幅広く適用できる攻撃アプローチだ。この問題の根本的原因は、URLパーサーとURLリクエスターの矛盾にある。
ビルトインライブラリに存在する非常に根本的な問題であるため、WordPress(Webの27%)、vBulletin、MyBB、GitHubなどの洗練されたWebアプリケーションも影響を受ける場合があり、この攻撃手法でこれらからゼロデイ脆弱性が見つかっている。また、この一般的な手法は、さまざまなコードのコンテキストに適応し、プロトコルのスマグリングやSSRF回避へとつなげることができる。私たちはGitHubエンタープライズに対して、SSRFプロテクションを回避してRCE(遠隔コード実行)を行うためにURLパーサーがどのように攻撃されるかを解説するため、複数シナリオのデモを行う予定だ。
この技術の基本を理解することで、この技術を通して前述の有名なプログラミング言語やWebアプリケーションにて20を越す脆弱性が見つかっていると知っても聴衆の皆さまは驚かなくなるだろう。
オリー・シガール - Ory Segal -
オリー・シガールは、Akamai社の脅威研究の上級研究員を務めている。ウェブアプリケーションおよび情報セキュリティに関して15年を超える経験を有しており、世界的に有名な専門家である。現在はAkamai社に在籍しており、脅威研究の上級研究員として、ウェブセキュリティとビッグデータの研究者たちのチームを指導する立場である。Akamai社に籍を置く以前は、市場を牽引するアプリケーションセキュリティソリューションであるIBM Security AppScanのセキュリティプロダクトアーキテクトおよびプロダクトマネージャーとして、IBM社で活躍していた。IBM社在籍時は、OTTA(IBMにおける最も技術的な賞)を受賞しており、アプリケーションセキュリティの分野で膨大な数の特許を出願してきた。オリーは現在Web Application Security Consortium(WASC)の幹部を務めており、かつてはOWASPイスラエルの委員を務めていた。
[HTTP/2][Client Fingerprinting][Web Application Security] HTTP/2 クライアントのパッシブ・フィンガープリンティング
HTTP/2はHTTPプロトコルの2番目のメジャーバージョンである。HTTP/2では、平文の通信とは異なり、TCPコネクションやストリームからフレームに至るまで、完全にバイナリ化されたプロトコルを導入することにより、「有線で」伝達されていたHTTPの方式を変えた。HTTP/1.x系からHTTP/2へのこのような根本的な変更は、クライアントサイドとサーバーサイドの実装においてHTTP/2の新しい機能をサポートするために、完全に新しいコードを組み込まなければならないことを意味している。プロトコルの実装における微妙な差違は、ウェブクライアントの受動的な特定に用いることができる可能性を含んでいる。
我々の研究は、1000万以上のHTTP/2接続の情報から抽出した、何百もの実装の4万を超えるユニークなユーザーエージェントのフィンガープリントに基いている。
本講演では、以下のことについて取り上げる予定である。
・HTTP/2の概要
-プロトコルの基礎的な要素の紹介
-フィンガープリントの構成のために選択された異なるコンポーネントの解説(選択されなかったものの議論も行う)
-提示されたフィンガープリントの潜在的な活用手法
-利用統計 - AkamaiのプラットフォームにおけるHTTP/2の利用方法の傾向
・一般的なHTTP/2の実装例と研究の過程で得られたクライアントのフィンガープリント
・一般的なウェブセキュリティツール(Burp Suite、sqlmapなど)におけるHTTP/2のサポート(またはHTTP/2への未対応)
・Akamaiのプラットフォームにより観測されたHTTP/2を用いた攻撃の解説
サミット・アンワル - Samit Anwer -
サミット・アンワルは、Web/モバイルアプのセキュリティ研究者である。彼はIIIT-Delhi(インドラプラスタ情報技術大学デリー校)のモバイル&ユビキタス・コンピューティングの修士課程終了直後から3年間セキュリティ・コミュニティにて活動している。彼はNull Bangalore chapterの活動メンバーであり、AppSec USA 2017、c0c0n X 2017、null chapter meetにてさまざまなトピックについて講演している。彼は人気のWebやモバイルアプリの脆弱性研究に積極的に関わっており、Google Cloud Print APIや、IE 11/MS EdgeのXSSフィルター回避、Microsoft Windows 10でのコード実行、MS Edge/IE 11のバッファ・オーバーフローに関する複数のセキュリティ問題を発見、報告している。
彼の技術的関心は、Web/モバイルアプリのセキュリティや性能問題を緩和させるべく静的プログラム分析テクニックを使うことや、Web/モバイルアプリへの攻撃、そして最先端の認証や承認メカニズムを研究することにある。アプリを攻撃していないときは、アウトドア・スポーツやグルメ、旅行に忙しくしている彼を見かけることだろう。
彼の公開された研究は以下の通り:
1. Chiromancer: A Tool for Boosting Android Application Performance [MobileSOFT Conference 2014, Hyderabad, India]
2. Detecting Performance Antipatterns before migrating to the Cloud [IEEE CloudCom 2013, Bristol, U.K.]
3. Performance Antipatterns: Detection and Evaluation of their Effects in the Cloud [IEEE Services 2014, Anchorage, Alaska]
LinkedIn: https://www.linkedin.com/in/samit-anwer-ba47a85b | Twitter: @samitanwer1 | FB: samit.anwer
[Static code analysis][Dalvik][GC root][Android][Memory Leak][Data-flow analysis][Live Variable Analysis]Androsia:一歩先のメモリ内Androidアプリケーションデータの保護
Androidは、プログラムにてその先「使われない」機密オブジェクトからメモリを開放する明確なAPIを提供していない。"java.security.*"ライブラリならば、機密データを保持したり(例:KeyStore.PasswordProtection)機密コンテンツを削除するAPI(例:destroy())のクラスを提供している。しかし、それらのAPIを使う責任は開発者に任されている。開発者はコードのかなり遅い段階でそれらのAPIを呼ぶこともあるし、呼ぶこと自体忘れてしまっていることもある。
本講演では、わたし達はすべてのプログラム文において、アプリケーションがどのセキュリティ上重要なオブジェクトを将来使わなくなるかを見つけ出すための新しいアプローチを提案する。わたし達の「データフロー分析」の結果を使うことで、セキュリティ上重要なオブジェクトが最後に使われた直後にそれらを削除でき、その結果セキュリティ上重要な情報をダンプしようとする攻撃者を阻むことができる。この方法で、アプリは徹底的な防御を提供できる。
わたし達は、存在するすべてのスコープ(instance field、static field、local)内でオブジェクトを追跡する機能を、自作のAndrosiaというツールに組み込んでいる。Androsiaは静的コード分析を使って、サマリベースのプロシージャー間データフロー分析を行い、セキュリティ上の機密オブジェクトが最後に使われたプログラムのポイントを特定する。それからAndrosiaはアプリのバイトコード変換を行い、オブジェクトに初期値を再設定することで機密データを削除する。
アン・サンファン - Sanghwan Ahn -
私はLINE株式会社のAhnと申します。LINEのServiceのSecurity AssessmentとSecurity Moduleの開発などの業務をしています。私はプログラムを分析してセキュリティ脆弱性を探すのが好きです。 そして、セキュリティを向上させることができる技術に高い関心を持っています。最近はホワイトボックス暗号に関する研究をしています。
[White box cryptography][cryptanalysis][side channel attack][software protection]"商用ホワイトボックス暗号方式" に対する "鍵回復攻撃"
ホワイトボックス暗号は、攻撃者が実行環境を完璧に制御でき、ソフトウェアに実装された暗号アルゴリズムも操作可能な場合であっても、暗号アルゴリズムおよび暗号キーを保護することを目指している。これは暗号アルゴリズムの数学的な変形と難読化手法を結合しているため、実際にはデータ/コードレベルでの難読化ではなくアルゴリズム難読化である。
ホワイトボックス実装では暗号アルゴリズムは数学的に変換されるため、暗号アルゴリズムの実行中にも暗号鍵は平文で演算されない。このようなセキュリティを使用することで、攻撃者による暗号キーの探索、修正、抽出がとても困難になる。現在まですべてのアカデミックなホワイトボックス実装はtable-decomposition、power analysis attack、fault injection attackを含めた多彩な攻撃により脆弱性が発見されたが、商用のホワイトボックス実装について攻撃が成功したレポートはない。多様な攻撃に対して脆弱性が存在するかどうかを確認するためにいくつかの商用ホワイトボックス実装に対するセキュリティアセスメントを行ったが、商用のホワイトボックス実装では攻撃が通じなかった。しかし私はサイドチャネル攻撃を改善して商用ホワイトボックスの暗号実装で保護された暗号キーを復元することに成功した。私が知っている限りでは、これは商用ホワイトボックス実装で保護された暗号キーを復元するのに成功した最初のレポートである。この発表では商用のホワイトボックス実装で保護された暗号キーを復元する方法を共有し、サービスにホワイトボックス暗号をより安全に適用するセキュリティガイドを提示したいと考えている。
イ・サンミン - Sangmin Lee -
高麗大学のCIST(情報セキュリティ技術センター)SANE(Security Analysis and Nation Evaluation)ラボの修士号を取得
関心領域:システムの脆弱性に関する攻撃へのセキュリティ、デジタルフォレンジック、セキュリティ評価、ソフトウェアテストなど
参加プロジェクト:「車載無線システムの外部インターフェイスのセキュリティテスト」、「IoT機器脆弱性解析に関するサイバーファーストトラック」、「WebOSスマートTV国際セキュリティCC(コモンクライテリア)認証取得」など
2015年 KITRI(韓国情報技術研究所)主催の情報セキュリティリーダー育成プログラムBoB(Best of the Best)に参加、BoBで、ルーター、IPカメラ、スマートホーム、SCADAなどの組み込み機器の脆弱性を分析するプロジェクトを実施
POC(Power of Community)2015において、「韓国でサイバー攻撃による壊滅的破壊が発生するとどうなるか」というテーマでプロジェクトの結果を発表
[Smart TV][Digital Forensic Investigation][webOS Forensics]LG vs. Samsung スマートTV: あなたを追跡できるのはどちら?
近年、スマートアプライアンス、スマートグリッド、スマートカーなどさまざまなIoTデバイスが開発されている。IoTデバイスはユーザー情報を収集し、よりパーソナライズされたサービスや利便性を提供している。それに伴って、IoTデバイスのフォレンジックの必要性が増加している。
スマートTVは、私たちの家庭において、最も一般的で普及しているIoTデバイスのひとつである。元々、犯罪調査を目的としたデータの収集は、(PCや携帯電話等の)コンピューター・フォレンジックを通じて行われてきた。近年ではスマートTVもユーザーの行動を調査するのに有益な情報を多く有しており、スマートTVに残されたデータも犯罪の証拠として採用されている。実際、『フォーブス』によると、2015年にGlobal Media社は児童性犯罪者を起訴する証拠としてサムスン電子のスマートTVの動画検索記録を使用した。
スマートTVのフォレンジックに関する最初の実験的研究は、2014年、サムスン電子のスマートTV(モデル:UN46ES8000)について行われた。この研究は韓国のKIISC(韓国情報保護学会)で行われ、ウェブブラウザーの脆弱性を通じてストレージにあるデータを取得し、ユーザーの行動を追跡可能な様々なデータを明らかにした。その後、2015年には別バージョンのサムスン電子製スマートTVのフォレンジック分析についての研究が同じ分析手順で行われた。しかし、スマートTVは製造元によって異なるOSやアプリケーションを使用しており、提供する機能が基本的に異なるため、メーカーごとにフォレンジック研究が必要である。LG webOS 2.0 スマートTVに関する2つのフォレンジック研究が行われたが、いずれもフォレンジックデータを取得することは難しいという結論だった。そのため、私たちはLG webOS 3.0 スマートTVの研究を実施し、スマートTVで収集することができる重要な情報を明らかにした。
本講演では、サムスン電子のスマートTVのフォレンジック研究結果とLG社のスマートTVとの比較研究結果についても発表する。
丹田 賢 - Satoshi Tanda -
キャタピラージャパンおよびFFRIにおいて約6年間、システム運用からセキュリティソフトウェア研究開発、マルウェア解析まで幅広く携わる。その後、カナダのバンクーバーに移住し、Wurldtech(ワールドテック)、ソフォスで脆弱性およびマルウェアのリバースエンジニアリング業務を経て、アメリカのクラウドストライクに入社。ソフトウェアエンジニアとして再びセキュリティ技術・製品の研究開発に従事する。仕事外ではハイキング、スノーボーディング、二匹の猫、それに妻との時間を愛する。
Recon 2016、BlueHat v16、Nullcon 2017スピーカー。
[PowerShell][AMSI][Anti-malware][EDR][CLR]NET Framework]インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上
近年のサイバー犯罪においてPowerShellが頻繁に悪用されていることに対し、MicrosoftはAnti-Malware Scan Interface (AMSI)と呼ばれる機能をWindows 10に追加した。AMSIは、Microsoftやその他のベンダーが、PowerShell等のスクリプトエンジンの動作をより詳細に監視することを可能にするAPIであり、Windows 10のリリース以降、複数の研究者によりその有効性と制限が研究、報告されてきた。
このような流れのなか、AMSIがWindows 10でのみ有効であることなどを理由に、多くのセキュリティ・ソフトウェアベンダーがいまだAMSIの利用を見合わせている。その一方で、攻撃者は素早くAMSIの制限を理解し、回避手法を攻撃に組み込むなどの動きを見せており、PowerShellを用いた攻撃の検出と防御はますます困難になっているのが現状である。
このような高度な攻撃の脅威を防ぐために、本講演では、.NETプログラムのネイティブコードをフック(改竄)する技法を用いて、どのようにPowerShellの実行に対する可視性を高めるかを説明する。この技法の現実的な適用シナリオとして、本講演では、AMSIの機能を拡張し、かつ既知の制限を排除する方法を、.NET FrameworkおよびPowerShellエンジンの内部動作の解析結果を交えながら紹介し、その有効性を実演する。
朝長 秀誠, 六田 佳祐 - Shusei Tomonaga, Keisuke Muda -
朝長 秀誠 - Shusei Tomonaga -
一般社団法人JPCERTコーディネーションセンター 分析センター所属
外資系ITベンダーでのセキュリティ監視・分析業務を経て、2012年12月から現職。現在は、マルウェア分析・フォレンジック調査に従事。主に、標的型攻撃に関するインシデント分析を行っている。FIRST Conference 2017、CODE BLUE 2015で講演。
六田 佳祐 - Keisuke Muda -
株式会社インターネットイニシアティブ セキュリティオペレーションセンター アナリスト
IIJ SOCのメンバとして、顧客環境に設置された機器のログを解析する傍ら、ソフトウェアの脆弱性を調査・検証している。過去にはSIを経験しており、その経験を基にSOCサービス及びサービス基盤の拡充にも従事している。
[Malware][Forensics][APT]攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査-
標的型攻撃で侵入されたネットワークでは、侵入後に他のホストやサーバーに感染が広がる事例が多い。インシデント調査では、この侵入拡大フェーズの調査が重要である。侵入拡大フェーズの調査手法として、感染ホストのログ調査や、ディスクイメージのフォレンジック調査などが挙げられる。しかし、調査に有効なログが感染ホスト上に残らず、攻撃者の行動を十分に追跡できないことも多い。そのため、攻撃者がネットワーク内でどのように感染拡大を行うか把握できないことが多い。
そこで、攻撃者の行動を把握するために、実際の攻撃に使用された攻撃者のサーバー(C2サーバー)やマルウェアを調査した。C2サーバー内のログやマルウェアが行った通信をデコードすることで、ネットワーク侵入後の攻撃者の行動を把握することが可能となった。その結果、侵入拡大の手口にはよく見られる共通のパターンが存在することを確認した。また、異なるマルウェアや攻撃キャンペーンの場合でも、使用されるツールは多くの場合において同様であることがわかった。
同様のツールが多く使用されることから、それらツールの利用を追跡することが横断的侵害を把握する上で有効な手法のひとつとなる。攻撃の主な対象となるWindowsでは、一定の監査機能がインストール時点から動作している。しかし、攻撃者が典型的に使用するツールを分析・検証したところ、Windowsの初期設定では多くのツール実行を記録するには不十分であり、有用な情報を記録するには追加の設定が必要であることが確認された。
本講演では、初めに調査結果から分かった横断的侵害(Lateral Movement)でよく見られる攻撃パターンと利用されることが多いツールについて説明する。そして、このようなツールが利用されたインシデントを調査または検知する方法について解説する。
吉村 孝広, 吉村 賢哉 - Takahiro Yoshimura, Ken-ya Yoshimura -
吉村 孝広 - Takahiro Yoshimura -
株式会社モノリスワークスCTO。2012年に経済産業省主催のCTF、「CTFチャレンジジャパン2012」へ有志とともにチームEnemy10として参戦し、関東予選優勝・決勝3位入賞。2013年にはチームSutegoma2の一員としてDEF CON 21 CTFへ参戦し、6位入賞。2017年7月、Androidアプリ自動診断ツール(Trueseeing)をDEF CON 25 Demo Labsで発表した。趣味はバイナリやデバイスの解析。GSDが好き。
吉村 賢哉 - Ken-ya Yoshimura -
ウェブサイト制作から組み込み開発に至るまでさまざまなコンテンツ開発を経て現在に至る。
これまでに培ってきた幅広い知見や技術を背景に国内外の企業へ技術供与を積極的に行なっており、直近では大手IoT関連のサービス立ち上げに協力するなどしている。2017年7月、Androidアプリ自動診断ツール(Trueseeing)をDEF CON 25 Demo Labsで発表した。趣味はrecon、自転車/バイク/車。目新しい技術を用いたプロダクトが好き。GSDも好き。
[appsec][android][hacking][static analysis][dalvik][reverse engineering]Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
Trueseeingとは筆者たちが開発した、Androidアプリケーションを対象とした脆弱性自動診断ツールである。
TrueseeingにはDalvikバイトコードに対して逆コンパイラを介在させずに直接データフロー解析を行う特徴がある。この特徴によりTrueseeingは基本的な難読化ツールの影響を受けず、DEF CON 23でLinkedIn社により発表されたQARKやMobSFを含む既存の脆弱性自動診断ツールとは一線を画するものとしている。またTrueseeingは脆弱性を発見するだけでなく、一部の脆弱性に対しては直接バイナリパッチを当てて改修できる。現在Trueseeingが検出できる脆弱性はOWASP Mobile Top 10(2015)のほとんどをカバーする。2017年7月のDEF CON 25 Demo Labsにおいて発表し、難読化されたAndroidアプリケーションに対する解析力のデモンストレーションを大々的に行なった。コードは https://github.com/monolithworks/trueseeing で公開している(GPL-3)。
ジャック・タン, ムーニー・リー - Jack Tang, Moony Li -
ジャック・タン - Jack Tang -
@jacktang310
10+年のセキュリティ業界における経験
2015年MSRCトップ36
2016年MSRCトップ16
Microsoft Mitigation Bypass Bounty報奨金獲得
Black Hat 2016 Europe、Black Hat 2016 Asia、CODE BLUE 2016、PacSec 2016登壇
Android/Mac/Windowsのカーネル及び仮想化技術の脆弱性に注力
ムーニー・リー - Moony Li -
8年間のセキュリティ技術開発経験
ゲートウェイのゼロデイ検知アプリケーションDD (Deep Discovery) のコアエンジンSandcastle研究開発リーダー
現在はモバイル/Mac/Windowsカーネルの脆弱性とエクスプロイトに注力
[ARM64 hardware trace][code coverage][symbolic execution]ARM(64)を動かす楽しみと実践
近年、モバイルプラットフォーム向けのデバイスドライバーの脆弱性が次々に発見されている。AndroidまたはCodeAuroraのセキュリティアドバイザリーを開けば、あふれるデバイスドライバーの脆弱性情報の海に溺れることは簡単だ。現在、AndroidデバイスドライバーとLinuxカーネルの両方に脆弱性を見つけることのできるファジングツールは数多くあるが、スマートさ (より少ないファジングデータでより多くのコードをカバーする性能) と 速さ (高速に命令をトレースする性能) の両方を兼ね備える物はごく一部だ。本講演では、ARM64ハードウェアトレース技術とハイブリッド実行技術 (Angrによるシンボリック実行とトレースの併用) によりスマートさと速度の両方を実現した実用的なファジングツールを紹介する。
クリスティ・クイン - Christy Quinn -
クリスティ・クインはアクセンチュア・セキュリティ社のスレット・インテリジェンスであるiDefenseのセキュリティ専門家である。クリスティはiDefense Threat Hunting,OSINT and Reconnaissance(THOR)チームに在籍しており、技術的な情報収集と併せて脅威となる要因の挙動解析に特化している。彼の研究は、組織化されたサイバー犯罪や国家支援のサイバー諜報活動および東南アジアのセキュリティ問題に焦点を当てている。クリスティは、キングス・カレッジ・ロンドンにてインテリジェンスと国際セキュリティに関するMAを取得しており、ロンドン・スクール・オブ・エコノミクスにて世界史のBAを取得している。
[dark web][darknet][cryptocurrency][fraud][cyber crime][financial]アルファベイ・マーケット - サイバー犯罪主導者を振り返る
アルファベイ・マーケットは、2017年7月4日に管理者であるAlpha02がFBIにより押収され逮捕されるまで、世界中のサイバー犯罪や漏洩した個人情報の売買に関連する事案において最も大きく活発な市場であった。Torによって形成された市場が麻薬売買や銃火器や盗品の売買では最も有名だった一方で、アルファベイのフォーラムは英語圏のサイバー犯罪コミュニティの中心的な立場でもあった。このコミュニティは、日本の経済サービス区域を含む世界中の政府やビジネスを標的とする基盤としてアルファベイを使っていた。アルファベイは犯罪市場を先導する立場であった期間に、戦術におけるインテリジェンス、各種の専門的な分野を標的とするサイバー犯罪者集団の手法や活動、そしてセキュアで匿名な市場を通じて売られている窃取された情報といった膨大な量の情報をもたらした。市場は現在オフラインであるが、これらの集団はいまだに活動を継続しており、同様の攻撃技術を用いている。
本講演では、地下市場の経済において支配的な立ち位置を獲得し市場を支えたアルファベイの歴史や特有の性質に触れつつ、iDefenseでアルファベイを研究した結果を明らかにする。我々の調査結果は、大規模な暗号通貨操作を取り入れた独自の先端金融モデルによる証拠に基づいている。アルファベイの深層はロシアのサイバー犯罪コミュニティと深く結びついており、サイバー犯罪者たちが利益を得る機会を一度見つけると専門グループを構成するための足場として利用されている。本講演では、アルファベイにて押収されたものを追うことで犯罪者市場の将来像についても考察し、どういった特性が次の市場で頂点に上り詰めるために求められるかということについて取り上げる。
久保 啓司 , 添田 洋司 - Keishi Kubo , Hiroshi Soeda -
久保 啓司 - Keishi Kubo -
一般社団法人JPCERTコーディネーションセンター インシデントレスポンスグループマネージャ。大手インターネットサービスプロバイダーでセキュリティサービスの運用、サービス開発などを経て、2007年よりJPCERT/CCにてインシデントレスポンス業務に従事。ここ数年は国内の標的型攻撃への対応・対策を中心に活動している。現場主義。
添田 洋司 - Hiroshi Soeda -
一般社団法人JPCERTコーディネーションセンター インシデントレスポンスグループ 情報セキュリティアナリスト。2009年よりJPCERT/CC インシデントレスポンスグループにおいて、国内外からの日本が関わるインシデント報告の受付、対応支援、発生状況の把握、手口の分析、ツールの開発などに従事。
[APT][STIX 2.0][Visualization][APT17][Winnti][Emdivi][Tick][APT10]日本を狙うAPT攻撃の全体像 - APT攻撃インシデントSTIXデータベース –
JPCERT/CCは 日本国内で確認したAPT攻撃に関して、被害組織への対応協力、攻撃に使用されたC2サーバーの調査などを行い、APT攻撃キャンペーンについてさまざまな対応を行っている。
これらの日本国内で確認しているAPT攻撃の全体像を把握するため、対応したAPT攻撃インシデントの情報をSTIX形式で表現し、データベース化するシステムの開発を進めている。なお、本システムはオープンソースソフトウェアとしてGitHubで公開予定である。
本システムでは、攻撃キャンペーン、攻撃グループ、マルウェア、侵入手口、組織内拡大手口などの攻撃手法や攻撃対象組織の属性で分析し、タイムラインとして可視化することを実現している。
今回の講演では、本システムを使用して、日本を標的とするAPT攻撃キャンペーンの全体像をタイムラインで表現し、攻撃手口を網羅的に解説することによって、その系譜を紹介する。その上で、攻撃キャンペーンごとに攻撃対象組織の属性を分類し、攻撃者の目的を考察する。
また、本システムの技術ポイントを解説し、さまざまなインシデントをSTIX2.0形式で記述した経験から得たノウハウなどを紹介する。
ステファーノ・メーレ - Stefano Mele -
ステファーノ・メーレはカルネルッティ法律事務所の顧問弁護士であり、個人情報やサイバーセキュリティおよび機密情報に関する法的な部署に所属して、過去7年間にわたり技術分野を担当している。フォッジャ大学で博士を修めており、ミラノ大学法学専攻法的情報学科と共同で研究を行っている。モイレ・コンサルティング・グループの創設者にしてパートナーである。イタリア大西洋委員会の「サイバーセキュリティ委員会」の理事会メンバーであり、議長を務めている。彼は米国商工会議所(AMCHAM)イタリア支部の「サイバーセキュリティ・ワーキンググループ」でも議長を務めており、ロンバルディア地域の「サイバーセキュリティ円卓会議」や、アッソロンバルダの「サイバーセキュリティに関する諮問会議」のメンバーも務めている。イタリアのニッコロ・マキャヴェッリ戦略研究所の「情報交戦と新興技術」観測所の理事を務めており、非営利団体CyberPARCOの共同設立者と理事長を兼任している。ステファーノはさまざまな大学をはじめ、イタリア防衛省軍事研究所や NATOで講義を受け持っており、「Cyber Strategy&Policy Brief」を代表作としたサイバーセキュリティやサイバーインテリジェンスおよびサイバーテロリズムやサイバー交戦に関する学術誌や論文の著者である。2014年には、サイバー空間のセキュリティに関して大きな影響力を持つ指導者としてNATOのリストに彼の名前が掲載されている。同年にはビジネス誌フォーブスにて、注目すべき世界を代表する20のサイバーポリシー専門家の1人としてステファーノの名前が掲載されている。
[Cybersecurity][Public-Private Partnership][National Security][Strategy][Critical Infrastructures][Cooperation][国家のセキュリティとサイバーセキュリティをめぐる官民連携:その強みと課題
昨今の社会を形成するあらゆる分野におけるインターネットと技術の普及の高水準化は、我々の社会、サービスの提供と管理、そして情報の入手に関するあらゆる側面において、質と量の両面で多大な変化をもたらした。前述の要素と国民やさまざまな事柄の間の関係性に関しても同様であり、極めて限られた時間の中で変化がもたらされた。この視点から、官民連携では主に2つの要素によって、サイバーセキュリティへの機能的な要求が増加しているように見える。1つは重要な社会基盤が個人によって所有され管理されているということ、もう1つはそういったシステムでのICT技術の利用が幅広く普及していることであり、それらの相互接続の度合いは極めて高い。本研究では、主要な欧米の国家が講じているサイバーセキュリティでの官民連携に対する戦略的な手法を解析している。その強みと弱みを取り上げ、効果的で効率的な連携を設計し構築するために重要な要求事項についても言及する。
大塚 馨 - Kaoru Otsuka -
中学二年生からプログラミングを始める。某チャットアプリケーションをjailbroken iPhoneを使ってのプロトコル解析や解析したデータを用いたAPIを作成した。その後、ジェイルブレイクに興味を持つ。セキュリティ・キャンプ 2017卒業生
[U20][iOS][Kernel][Jailbreak][Sandbox]Take a Jailbreak -Stunning Guards for iOS Jailbreak-
本講演では、最近公開された脆弱性を用いたiOSカーネルをジェイルブレイクするためのいくつかの攻撃手法の考え方について議論する。直近ではIan Beerによって以下の注目すべき脆弱性が発見されている。
CVE-2016-7637: iOS/MacOSのカーネル machポート名「uref」ハンドリングの破壊により他のプロセスの特権ポート名の置換が引き起こされ得る脆弱性
CVE-2016-7644: set_dp_control_portにおけるロックの不備によるXNUカーネルのUse-after-freeの脆弱性
CVE-2016-7661: MacOS/iOSのpowerdにおける任意のポート置換の脆弱性
しかし、これらの脆弱性を注意深く組み合わせても、昨今のiOSのバージョンに実装された対策を容易には突破できない。昨今のiOSでは、カーネル・パッチ防御機構やサンドボックス機構をはじめとして、AMFI(Apple Mobile File Integrity)や MAC(Mandatory Access Control)ポリシーや KASLR(Kernel ASLR)のような、カーネルレベルでの防御機構が実装されている。本講演ではこれらの防御機構に関しても簡潔に解説する。
橋本 早記 , 武田 真之 - Saki Hashimoto , Masayuki Takeda -
橋本 早記 - Saki Hashimoto -
慶應義塾大学法学部法律学科所属。2015年サイバー甲子園参加、CTF for GIRLSのワークショップの問題作成や運営に関わった。2016年行政書士試験合格。エンジニアアルバイトやインターンも経験し、プログラミングと法曹業界に興味を持っている。
武田 真之 - Masayuki Takeda -
慶應義塾大学理工学部情報工学科所属。セキュリティ・キャンプ2014ネットワーク・セキュリティクラス卒。同年CTFチームscryptosを結成。SIGINTと匿名化技術に興味を持っている。
[U20][Law][Vulnerability][Unauthorized Access][Reverse Engineering]事例から考える脆弱性と法
脆弱性情報を取り扱う上で常に法的リスク等を考慮する必要があるが、判例も少なくその基準は曖昧であることが多い。そこで、単に学説や判例の結論を紹介するだけではなく法解釈・法適用の論理的構成を具体的事例を用いて検討する。
まず、脆弱性情報の公表の自由がどのような場合に認められるか。表現の自由や知る権利、公序良俗違反等の点で問題となる。また、営業妨害や名誉棄損・信用棄損の点での民事上・刑事上の責任についても考える。脆弱性情報を知る重要性と悪用時の損害の重大性からその法的性質を慎重に検討する。
さらに、脆弱性情報を管理する制度も運用しているIPAは独立行政法人である為、情報公開法が適用されるかどうか問題となる。報告・管理されている脆弱性情報が一定の非開示情報に当たるか検討する。
加えて、脆弱性を発見する過程においての不正アクセス禁止法違反にあたる行為の基準、リバースエンジニアリングを禁止する契約の有効性、そして脆弱性の検証研究目的での免責の可否を検討する。
クリスティ・クイン - Christy Quinn -
アクセンチュア・セキュリティ社のスレット・インテリジェンスであるiDefenseのセキュリティ専門家
アルファベイ・マーケット - サイバー犯罪主導者を振り返る
AlphaBayマーケットは、2017年7月に管理者であるAlpha02が逮捕されるまで世界最大のサイバー犯罪市場であった。麻薬売買や銃火器や盗品の売買では最も有名で、英語圏のサイバー犯罪コミュニティは日本を含む世界中の政府やビジネスを標的とする基盤としてAlphaBayを使っていた。本講演では、地下市場を支えたアルファベイの歴史や特有の性質に触れつつ、大規模な暗号通貨操作、AlphaBayの深層がロシアのサイバー犯罪コミュニティと深く結びついている点に触れつつ、押収物の追跡から犯罪者市場の将来像についても考察する。
ティム・ボバック - Tim Bobak -
2012年にイギリスからモスクワに移住。旧ソ連と東欧に関わるスレットインテリジェンスのリーディング・ソースであるGroup-IBに入社する以前は、ロシアのビジネスにおける詐欺や金融犯罪の調査に従事。現在は、Group-IBのフォレンジックラボおよびアナリストチームと協力し、世界中のロシア語圏の脅威情報の共有活動に従事。
ロシア語圏のサイバー犯罪事情
ロシア関連のサイバー攻撃については頻繁に議論がなされている。しかしこれは主にあまり発生しない国家や政府が関係するインシデントに焦点が当てられている。
本講演では、情報セキュリティコミュニティにとってより重要と考えられる、全世界のビジネスやセキュリティチームに対して日々攻撃を仕掛ける、サイバー犯罪に従事するロシア語圏の大規模で積極的なエコシステムに焦点を当てる。
谷口 剛 - Tsuyoshi Taniguchi -
谷口剛、Ph.D 。富士通システムインテグレーテッドラボラトリーズ株式会社現職研究員。サイバー脅威知能(CTI)における指標の機械学習に基づいてサイバー防衛研究に携わる。
サイバー脅威インテリジェンスに基づく検知指標学習とその応用
サイバー攻撃の高度化に伴いサイバー脅威インテリジェンス (CTI) を共有して予め対策を検討する重要性が増してきている一方、CTI に含まれる検知指標としての IP アドレスやドメインは攻撃者が短いサイクルで使い捨てる (変更したり,消滅させたりする)。防御側の対策としては、CTI の共有スピードを向上させることにより攻撃者のコストを上げる方向に進んでおり、日々大量の CTI を受信している。結果として、CTI の方も短いサイクルで使い捨てられるような状況となっている.本報告では,日々蓄積されていく CTI を基にした検知指標学習方法を構築し、検知指標が攻撃者によってどのように使われているかを学習する検知指標学習エンジンを実装したので,得られた学習結果について報告する。また、検知指標を学習した結果を組み合わせて再構築し、別のデータソースと組み合わせて中長期的な先回り防御に応用する可能性について検討した内容を報告する。
マイク・ダンブロジア, アンドリュー・ブレクサ - Mike D'Ambrogia , Andrew Breksa -
マイク・ダンブロジア - Mike D'Ambrogia -
eCXプロジェクトリーダ。eCX開発者。(※eCX=脅威情報共有プラットフォーム)
アンドリュー・ブレクサ- Andrew Breksa -
APWGのeCrime eXchangeプラットフォームのリード開発者。
信頼できるメンバーのコミュニティ間で国境を超えて行う脅威情報の共有
12年以上に渡って、APWGは組織や個々のインターネットユーザーを守るために世の中に脅威情報を共有してきた。元々はフィッシングに専念する組織として設立されたAPWGだが、世の中にさまざまな脅威の形態が増えるに伴ってAPWGもまた形を変えてきた。今日では厳選されたメンバーのコミュニティが、サイバー犯罪や詐欺行為と戦うためにフィッシングに限らず攻撃者のIPアドレスやランサムウェアの情報などさまざまな情報を共有している。このセッションでは、こうした情報共有の歴史、変遷、そして自動化の必要性について説明する。