Japan Security Analyst Conference 2018 は終了いたしました。
ご参加いただきまして、誠にありがとうございました。
Japan Security Analyst Conference 2018 開催のご案内
日々発生するサイバー攻撃は、刻々と変化しており、そのようなインシデントの分析・対応を行う技術者もそれに応じてスキルアップが求められています。一方で、このような技術や知見は国内において共有される場が多くない現状において、日本国内のセキュリティアナリストの底上げ行うためには、国内のセキュリティアナリスト同士が共有し、日本全体でサイバー攻撃に対抗する必要があると考えます。
JPCERT/CCでは、セキュリティインシデントを日々対応する現場のセキュリティアナリストが集い高度化するサイバー攻撃に対抗するための情報を共有することを目的にセキュリティインシデント分析・対応のための技術情報共有カンファレンス「Japan Security Analyst Conference」(JSAC)を開催します。
本カンファレンスに参加してご自身の知見・技術・情報を日本国内のセキュリティアナリストと共有してみませんか?
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
開催概要
名称 |
Japan Security Analyst Conference 2018 (JSAC2018)
|
日時 |
2018年1月25日(木)
9:50~17:00(9:20受付開始)
|
会場 |
御茶ノ水ソラシティカンファレンスセンター
〒101-0062 東京都千代田区神田駿河台4丁目6 御茶ノ水ソラシティ
https://solacity.jp/cc/access/
|
主催 |
一般社団法人JPCERTコーディネーションセンター
|
対象者 |
マルウエア分析者、フォレンジックアナリスト、SOC アナリスト、ネットワークセキュリティアナリスト、インシデントハンドラー、インテリジェンスアナリスト、セキュリティ研究者
|
参加費 |
無料
|
定員 |
450名
ご好評をいただき300席が満席となりましたので、席数を増やしました。
|
申込方法 |
お申し込みありがとうございました。
※満席のため参加受付を終了いたしました。 なお、事前のご登録無く当日の受付はお受けできません。ご了承ください。
|
お問合せ先 |
Japan Security Analyst Conference 2018 受付窓口
E-mail:jsac-regist@e-side.co.jp
|
Topへ
プログラム
9:20 |
受付開始
|
9:50 |
開会挨拶
JPCERT/CC 理事・最高技術責任者 真鍋 敬士
|
9:55 - 10:10 |
オープニングセッション~ 2017年のインシデントを振り返る~
JPCERT/CC 分析センター マネージャー 竹田 春樹
|
10:10 - 10:40 |
Himawariの異常な暗号 または私は如何にして心配するのを止めて暗号を解読するようになったか
SecureWorks Japan 株式会社 中津留 勇
|
講演概要・講師紹介
講演資料
|
10:40 - 11:10 |
削除済みVSSスナップショットの復元
株式会社インターネットイニシアティブ 小林 稔
|
講演概要・講師紹介
講演資料
|
11:10 - 11:50 |
USNジャーナル解析の追求
株式会社 サイバーディフェンス研究所 山崎 輝
|
講演概要・講師紹介
講演資料
|
11:50 - 13:00 |
お昼休憩
|
13:00 - 13:40 |
Drive-by Download Must Die
明治大学総合数理学部 小池 倫太郎 、トレンドマイクロ株式会社 中島 将太
|
講演概要・講師紹介
講演資料
|
13:40 - 14:10 |
RIGエクスプロイトキットの調査
NTTセキュリティ・ジャパン株式会社 幾世 知範
|
講演概要・講師紹介
講演資料
|
14:10 - 14:40 |
マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~
NTTセキュリティ・ジャパン株式会社 幾世 知範
|
講演概要・講師紹介
講演資料
|
14:40 - 15:00 |
休憩
|
15:00 - 15:30 |
IoTボットネットは何を狙っているのか?-攻撃先観測を元にした分析事例
株式会社 サイバーディフェンス研究所 西脇 春名
|
講演概要・講師紹介
|
15:30 - 16:00 |
囮システムを用いた攻撃者の振る舞い観測
NTTセキュリティ・ジャパン株式会社 小澤 文生
|
講演概要・講師紹介
講演資料
|
16:00 - 16:30 |
APTマルウェアに見る不易流行
マクニカネットワークス株式会社 柳下 元、竹内 寛
|
講演概要・講師紹介
講演資料
|
16:30 - 17:00 |
Tracking Down Emdivi in 2017
株式会社カスペルスキー 石丸 傑
|
講演概要・講師紹介
|
17:00 |
閉会挨拶
JPCERT/CC 分析センター長 椎木 孝斉
|
※プログラムは都合により変更になる場合があります。
Topへ
講師紹介・講演概要
10:10 - 10:50 |
SecureWorks Japan 株式会社 中津留 勇
セキュリティインシデント対応支援業務、マルウェア分析・対策研究業務を経て、2016年3月から現職。 現在は、マルウェアに関連した最新のサイバー攻撃の調査・研究を行うと共に、日本国内で発生したインシデント対応および関連するマルウェアの解析業務に従事している。セキュリティの啓蒙活動にも力を入れており、WASForum Hardening Project実行委員、Internet Week プログラム委員他、セキュリティ・キャンプ全国大会講師などを務める。
講演タイトル:Himawariの異常な暗号 または私は如何にして心配するのを止めて暗号を解読するようになったか
近年のマルウェアは当然のように通信や各種データを暗号化・符号化している。そんなマルウェアを解析していると、いくつかのマルウェア(特に標的型攻撃で使われるような限定的な範囲でしか使用されないマルウェア)において暗号処理の実装不備のようなものを目にすることがある。 本講演では、日本を標的とした攻撃において近年使用されている、Himawari と呼ばれるマルウェアの暗号処理の詳細解析を行い発見した、マルウェア作成者が暗号を理解しているのか理解していないのか分からない、そんな一面を紹介すると共に、その暗号処理を用いた各種データを復号しインシデント対応に役立てる方法を紹介する。
Topへ
|
10:50 - 11:20 |
株式会社インターネットイニシアティブ 小林 稔
国内セキュリティ系ベンチャー、国内大手SI子会社を経て、2014年5月にIIJ入社。デジタルフォレンジックを中心に技術調査のほか、インシデントレスポンスや社内の技術力向上に努める。2015年8月より社会保障審議会年金事業管理部会運営担当参与。Mauritius 2016 FIRST Technical Colloquium スピーカーおよびトレーニング講師。2017年セキュリティキャンプ全国大会講師。
講演タイトル:削除済みVSSスナップショットの復元
Volume Shadow Copy Service(VSS)とはWindowsに標準で搭載されているバックアップ機能である。VSSを使用するとストレージのボリューム単位でスナップショットを作成することができる。ユーザはスナップショットを参照することでスナップショット作成時のディスクのコンテンツにアクセスすることができるため、削除されたファイルや改ざんが行われる前のファイルにもアクセスすることが可能となる。
このような特性からスナップショットはディスクフォレンジックにおいて、攻撃者が作成したファイル(攻撃ツールや一時的なアーカイブファイルなど)を復元・解析するための重要なデータとなる。
しかし、近年では攻撃者やマルウェア作成者もその重要性を認識しており、侵入時や感染時にすべてのスナップショットを削除してしまう事例が発生している。通常、スナップショットは削除されるとアクセスする術がなくなってしまうが、関連データを復元または再構築することでスナップショット内のデータにアクセスできる可能性がある。もし、削除されたスナップショットにアクセスできれば、今まで利用できなかったデータを有用な情報源として活用することができる。
本講演では削除されたスナップショットデータへのアクセスの可能性を検討し、実装したツールの紹介と動作デモも行う。
Topへ
|
11:20 - 11:50 |
株式会社 サイバーディフェンス研究所 山崎 輝
通信会社でのCSIRT業務をきっかけにデジタルフォレンジックの調査、研究に取り組むようになり、2014年より現職。現在はインシデント被害PCのフォレンジック調査、ツール開発、トレーニング講師等を務めている。これまでに開発、公開しているツールとして、fte,NSRLJP, HFS Journal Parser EnScript, KaniVolaなどがある。
講演タイトル:USNジャーナル解析の追求
インシデントの発生原因や被害状況を明らかにすることを目的として、攻撃被害にあったエンドポイントのフォレンジック調査を実施するという選択肢があります。一方、PowerShellを活用したマルウェアの台頭や、マルウェアによってはイベントログ等のデータを消去する処理も組み込まれるようになってきており、ディスクに対するフォレンジック調査はこれまで以上に困難になってきているといえます。そのような状況において、フォレンジック調査担当者は、解析ツールの処理結果を盲信せず、必要な情報を見落としなく拾い上げることが求められます。
本講演では、Windows PCのディスクに残っているNTFSのUSNジャーナル(Change Journal)に焦点をあてて、調査に有益な情報をどのように集め、そして扱うべきか検討した結果を共有します。
USNジャーナルはファイルシステムの内部データとして存在し、ファイルシステムレベルで見た際のデータ保存方法に特徴があります。また、2017年になってからは一部のランサムウェアにおいて、Windows標準コマンドを用いてUSNジャーナルの削除処理を実行するような挙動が組み込まれています。そのため、USNジャーナルを調査、解析する際にはこれらの点を考慮して扱う必要があります。
USNジャーナルの構造自体はシンプルであり、いわゆるパーサと呼ばれるツールは無償、有償を含め多数存在します。しかし、単純なパーサの実行結果では結果が大量になり、調査に時間がかかる、もしくは重要な情報を見落とす要因となります。パーサ後の結果を読みやすくする試みとして、一部のツールや手法が出てきています。本講演でそれらの現状を紹介するとともに、実際のインシデント調査から得られたノウハウに基づく解析方法を紹介します。
Topへ
|
11:50 - 13:00 |
お昼休憩
|
13:00 - 13:40 |
明治大学 小池 倫太郎
Drive-by Download攻撃やExploit Kitに興味を持ち、チームnao_secを結成。セキュリティ・キャンプ 全国大会 2015
参加、2017 チューター。セキュリティ・キャンプアワード 2017 最優秀賞。CSS 2017 学生論文賞。MWS Cup
2015優勝、2016・2017準優勝。
トレンドマイクロ株式会社 中島 将太
学生時代からマルウェア解析に興味を持ち、研究を始める。nao_secでは主にマルウェアの調査を担当。2017年 立命館大学大学院情報理工学部研究科
博士課程前期課程情報理工学専攻修了。CSS 2016 学生論文賞。第2回 辻井重男セキュリティ論文賞 特別賞。
講演タイトル:Drive-by Download Must Die
Drive-by Download攻撃(以下、DbD)は減少してはいるものの、日々高度化しており決して無視できるものではない。我々は独自にDbDの観測基盤を構築し、様々な攻撃キャンペーンを観測してきた。それによって得られた攻撃キャンペーンの特徴やExploit Kitの挙動について調査し、DbDに関する最新の脅威動向を追っている。例えば、2016年9月以降様々な攻撃キャンペーンで利用されているRIG Exploit Kit(以下、RigEK)について、それがどのように攻撃を行っているのか解析したり、テイクダウン作戦に協力したり。そうした我々の活動について紹介しつつ、2017年におけるDbDの脅威動向について詳細に振り返る。
さらに我々は複数の攻撃キャンペーンでドロップするマルウェアの変化を調査した。複数の攻撃キャンペーンを監視し、Exploit Kitからマルウェアを定期的に取得することで、利用されるマルウェアのハッシュ値とファミリの変化を観測した。調査の結果、ドロップするマルウェアのハッシュ値が変化した場合も、C2サーバは長期間変化せずに利用されていることが判明した。またIOCを活用したマルウェアのファミリの特定をおこなった。Exploit Kitやマルウェアの情報を公開しているブログやFeedからマルウェアのハッシュ値や通信先のIPアドレスとドメイン名の情報を収集し、それらとマルウェアのIOCを比較することで、ファミリ名を特定する。動的解析で有効なIOCを入手できなかったマルウェアに対しては、impfuzzyを用いることでファミリ名を特定した。IOCを活用してマルウェアのファミリを特定することで、高度な解析技術を持っていないエンジニアや膨大な脅威情報を所持していない組織においてもマルウェアの分析が可能であることを示す。
Topへ
|
13:40 - 14:10 |
NTTセキュリティ・ジャパン株式会社 幾世 知範
2012年に日本電信電話株式会社に入社し、NTTセキュアプラットフォーム研究所にてマルウェア解析技術の研究開発に4年間従事した。その後はNTTセキュリティ・ジャパン株式会社(旧NTTコムセキュリティ株式会社)にて、SOCアナリストとしてセキュリティ機器等のログ分析業務に従事している。
講演タイトル:RIGエクスプロイトキットの調査
2016年9月頃から2017年にかけて、 RIG エクスプロイトキットを用いた攻撃が流行しました。RIG エクスプロイトキットはドライブ・バイ・ダウンロード攻撃を行うためのパッケージの 1 つであり、改ざんサイトや不正広告から誘導された端末をマルウェアに感染させます。
これまでに、NTTセキュリティ・ジャパンのSOCでは独自にRIGエクスプロイトキットの調査を実施し、調査結果を「RIGエクスプロイトキット解析レポート」と題したホワイトペーパーにまとめて公開しました。本講演では、攻撃サイトドメインリストの取得方法など、ホワイトペーパーに記載できなかった具体的な調査手法を共有します。
Topへ
|
14:10 - 14:40 |
NTTセキュリティ・ジャパン株式会社 幾世 知範
講演タイトル:マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~
2016年から2017年にかけて、日本ではバンキングマルウェア URSNIF が流行しました。URSNIFはオンラインバンキングをはじめとするオンライン取引サービスに関連する情報を窃取するだけでなく、キーボード入力やクリップボードの内容などを窃取する機能を備えたマルウェアです。
NTTセキュリティ・ジャパンのSOCでは、独自にURSNIFを解析し、調査のために感染後通信を復号・模擬するツールを開発しました。本講演では、解析の観点、ツールの実装方法、およびツールを用いた調査の結果を共有します。
Topへ
|
14:40 - 15:00 |
休憩
|
15:00 - 15:30 |
株式会社 サイバーディフェンス研究所 西脇 春名
2013年グリー株式会社入社。1年間のWebアプリケーション開発と2年半のスマートフォンゲーム品質保証業務を経たのち、2016年サイバーディフェンス研究所入社。現在は主にコンピュータフォレンジック業務に携わる。2017年4月より、一般財団法人日本サイバー犯罪対策センター(JC3)にてIoTマルウェアの観測活動を行っている。
講演タイトル:IoTボットネットは何を狙っているのか?-攻撃先観測を元にした分析事例
近年、IoT機器の普及と共に、脆弱なIoT機器を攻撃者に利用される脅威が顕在化している。昨年起こったIoTボットネットを利用したDyn社へのDDoS攻撃は記憶に新しい。その後も、様々な種類のIoTを狙ったボットネットが活動しており、今後もこれら脆弱なIoT機器を対象とした攻撃を始め、これらを悪用したDDoS攻撃が続くと予想される。これらのボットネットの感染拡大活動はさまざまな組織で観測されているが、これらのボットネットが何を狙いにし、どこを攻撃しているのかの観測・分析とその情報の共有が広くされている事例は少ない。そのため、IoTボットネットからのDDoS攻撃はどのような脅威なのか実情を詳らかにするための第一段階として、「BASHLITE(別名Gafgyt,Lizkebab,Qbot,Torlus,LizardStresser)」と呼ばれるIoTボット約25検体(2017年10月現在)のコマンド&コントロールサーバ(以下C&Cサーバ)から送られてくる攻撃命令を5ヵ月間にわたり観測した。
本講演では、攻撃先の傾向などを分析した結果の解説ののち、特徴的なふるまいをした検体の事例を実際に受信した攻撃命令を解説しながら紹介する。
Topへ
|
15:30 - 16:00 |
NTTセキュリティ・ジャパン株式会社 小澤 文生
2012年から2年間、ベンチャー企業にて脆弱性診断業務に従事した。2014年にNTTセキュリティ・ジャパン株式会社(旧NTTコムセキュリティ株式会社)に入社し、現在までSOCアナリストとしてセキュリティ機器のログ分析業務に従事している。その他に、マルウェアや脆弱性攻撃の解析、ホワイトペーパーの執筆などを行っている。
講演タイトル:囮システムを用いた攻撃者の振る舞い観測
一般に標的型攻撃によってRATに感染した場合、攻撃者は仕掛けたバックドア経由で外部から侵入を試み、感染端末や所属するネットワークの情報を窃取し、ターゲットとなる機密情報を所有しているホストへのアクセスを目指します。
当社では、マルウェアの感染挙動や感染端末に侵入した後の攻撃者の振る舞いを観測するため、独自の囮システムを構築しました。囮システムは可能な限りシンプルな構成にし、入手性の良いものを使用して手軽に構築できるものを目指しました。囮システムの感染端末には、仮想環境の検知を回避するため、物理サンドボックス(物理端末)を使用しています。観測環境は、マルウェアや攻撃者に気付かれないように感染通信をスイッチのミラーで出力し、別のネットワーク上で観測する構成にしています。
本講演では、構築した囮システムの詳細を説明し、当社ホワイトペーパー「北朝鮮関連サイトを踏み台とした水飲み場型攻撃」(https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/jp_20170815_北朝鮮関連サイトのサイバー攻撃レポート_v1)に掲載した標的型攻撃と当該攻撃の囮システムによる観測事例を、ホワイトペーパーで掲載しなかった内容も含めて紹介していきます。また、侵入の観測結果を反映させて囮システムに改良を加えましたので、改良点も併せて紹介します。
Topへ
|
16:00 - 16:30 |
マクニカネットワークス株式会社
柳下元
マクニカネットワークス株式会社所属。ソフトウェア開発・サポート業務を経た後、EDR製品を用いて顧客のインシデント対応支援を行う。現在は、脅威情報分析と侵害調査サービスに従事。
竹内 寛
マクニカネットワークス株式会社所属。サンドボックス製品の技術支援の中で、国内で発生したエクスプロイト攻撃やマルウェアの解析経験を積む。現在は、セキュリティサービスの企画と脅威情報分析を担当。
講演タイトル:APTマルウェアに見る不易流行
攻撃者グループが使うマルウェアは、ダウンローダー・ドロッパー・バックドア等様々な種類があります。使われるマルウェアは時を経て変化していきますが、変わらず残っている部分もあり、コードから攻撃者グループへ帰属できるケースもあります。
本発表では、2016年から2017年にかけて弊社で解析したAPTマルウェアを題材に、検出回避・アンチフォレンジック等の特徴的な処理と過去のマルウェアから共通して使われているコード部分に着目し、変化していない部分とその時の流行により変化が見られた部分を解説します。また、解析の際に使用したツールとそのTipsについて紹介します。
Threat Huntingの分野で"Pyramid of Pain"と呼ばれるコンセプトがありますが、その中では攻撃者グループが使用するマルウェアを"Tools"に位置付けて、それを変える事は攻撃者グループにとって"Challenging"であると提唱しています。コード分析を通して変化が見られない部分を見つけ、それをセキュリティ対策に活用する事は有効な手段となると考えられます。その一例がオープンソースのYARAですが、我々がコードのどういった部分に注目し、本講演で取り上げるマルウェアを検出するYARAを作成したのかについても触れたいと思います。
Topへ
|
16:30 - 17:00 |
株式会社カスペルスキー 石丸 傑
2008年、日本の研究員としてカスペルスキーに入社。マルウェア、スパム、フィッシングといったサイバー空間における脅威情報・検体の収集および分析を担当する。その後、Kaspersky Labのグローバル調査分析チーム(Global Research and Analysis Team)にマルウェアリサーチャーとして参画、グローバルでのAPTを含む最新の脅威動向の調査に従事。
講演タイトル:Tracking Down Emdivi in 2017
2015年8月、株式会社カスペルスキーでは、「Blue Termite」という国内を標的としたサイバースパイ活動について、その調査結果をブログにて公開しました。このブログではサイバースパイ活動に用いられる「Emdivi」というバックドアやその解析内容、攻撃者の手法について触れています。この攻撃者グループは2015年5月に日本年金機構に対して攻撃を行い、氏名や、住所等の個人情報を含む125万件を超える情報が漏洩した可能性が高いと報道されており、2年立った今現在でも語られるこの事件は国内の中でも最大規模のサイバー攻撃の一つと言えます。
我々の調査結果によると、この攻撃者グループは過去台湾と日本を攻撃していた痕跡を確認しており、更に2016年の1月には韓国に対しても攻撃を行っていたと思われます。その後、このグループの活動は観測できなくなりました。しかし、今年6月に、「Emdivi t20」の新しい検体がVirusTotalにアップロードされました。「t20」は攻撃者によってつけられたマルウェアのバージョンと考えられており、過去の攻撃においてその多くは、標的組織侵入後に使用していたとされています。また、検体の中には特殊環境下でしか動作しない検体も確認されており、この手法は他ではあまり見ない稀なものでした。
一方で、この2017年6月のEmdivi t20の検体をアップロードを行った投稿者IDの情報に目を向けてみると非常に興味深い情報が見えてきました。例えば同じ投稿者IDからは様々な「怪しい」ファイルがアップロードされていたのです。
本プレゼンテーションでは、過去のEmdivi事件を振り返るとともに、2017年6月に発見された新しいEmdivi t20の解析結果とその投稿者IDに関して調査結果を発表し、「Blue Termite」の現在の活動についての考察を紹介します。
Topへ
|
※プログラムは都合により変更になる場合があります。
Topへ