GReATがRedditで質問にお答えしました—Part. 2

Kasperskyのグローバル調査分析チーム(GReAT)が最近行ったReddit AMAより、お気に入りのQ&Aを抜粋しました。

自社がRedditでAMA(Ask Me Anything:投げかけられた質問にリアルタイムで答えるセッション)を開催するときは、あらゆる可能性を想定して備えていなければなりません。4年前に当社のグローバル調査分析チーム(GReAT)が初めてAMAを開催したとき、そしてユージン・カスペルスキーがAMAのホストを務めたとき、上手くいくのだろうかと少々不安を覚えたものです。でも、私たちはしっかり準備ができていました。荒らされるのも覚悟していましたが、どちらのAMAもおおむね問題なくいきました。

当たり前のことですが、グローバルなチームで働きながら皆で一つのことに取り組むのは、なかなか難しいところがあります。COVID-19が来る前からそうでした。それでも私たちは、あの連中を—さらにメンバーを追加して—また集結させたいと思ったのです。

私たちは先日、GReATによるAMAの第2回を開催しました。メンバーはCostin Raiu、Vitaly Kamluk、Brian Bartholomew、Noushin Shabab、Aseel Kayal、Ivan Kwiatkowski、Maria Namestnikova、Dmitry Bestuzhev、Ariel Jungheit、Dan Demeter、Igor Kuznetsov、Kurt Baumgartner。予定時間は2時間でしたが、皆すっかり楽しんでしまって、結局予定の3倍くらいに及びました。この記事では私個人のお気に入りのQ&Aを紹介します。

アンチドローンはどうなってる?

私たちのアンチドローンテクノロジーに関する最近のニュースがRedditユーザーの目にとまったのを見て、嬉しくなりました(リンク先は英語)。質問も答えも、なかなか良かったです。

Q. 最近、Kasperskyの「ドローンディテクター」に関する話がありました。ドローンは本当に組織に対する脅威なんでしょうか、それとも主にロシア人の趣味?(スレッドはこちら

Maria:うちの近所の人がドローンを持っています。ロシア人です。なので、もしかするとロシア人の趣味なのかもしれませんね。分かりませんが。でもドローンは、多くの場合、持ち主が取りたい写真を撮るための空飛ぶカメラで、それは誰かの家の中やオフィス内の、例えばコンピューター画面の写真だったりします。なので、心配すべきところはあると思います。

Brian:ドローンは多くの組織にとって間違いなく脅威です。例えば米国の監獄では、禁制品の密輸を防止するためにアンチドローンテクノロジーを利用しています。これ以外にも、スポーツのイベントや大勢が集まるイベントのような公共の場で、保護と監視の目的でこのテクノロジーが使われています。ドローンを使った企業スパイ行為を懸念する企業もあります。

YARAを学ぶには

Kaspersky Dailyの読者なら、当社の調査チームや世界中の脅威ハンターたちにとって、YARAは欠かすことのできないツールであるのをご存じだと思います。YARAを職業で使うことに人々が興味を持ち始めていて嬉しいです。

Q. Yaraを学びたいと思っていますが、学習を始めるに当たって要件はありますか?アセンブリやCやリバースエンジニアリングについての知識は必要ですか?ネットワークセキュリティについての知識はあります。スレッドはこちら

Costin:Yaraの構文や文字列はC言語に似ているので、Cは良い出発点だと思います。リバースエンジニアリングの全般的な知識があると役に立ちます。一度もリバースエンジニアリングをしたことがないのにYaraルールを書いている人を、大勢知っていますけどね!マルウェアがどういう見た目をしているのか、マルウェアはどう機能するのか、それからファイル形式に関することなどの全体的な感覚があるとよいだろうと思います。3月にYaraに関する短いウェビナーを実施したので、まだご覧になっていなかったらこちらからどうぞ。https://securelist.com/hunting-apts-with-yara/96386/

追伸:当社のPRと営業から、このトレーニングをお勧めするようにとのことだったので。実際、役に立つとの感想もいただいています。https://xtraining.kaspersky.com/

Vitaly:Costinの回答に補足の意味と、彼への感謝と称賛をこめて、この短いプレゼンをご紹介します、見てみてください。Yaraを使ってゼロデイを捕まえようとするCostinについて、全部Yaraで記述しています。

 

実際のところ、こういったスキルは必須ではありませんが、知識が多いほど、知っているツールが多いほど、パーフェクトなYaraルールを作成できますよ!

YARAルール:ブラックスワンを予測する

この分野で仕事を始めるには

サイバーセキュリティの分野に足を踏み入れるにはどうしたらよいか、という質問をいくつも目にして、すっかり興奮してしまいました。特にこの質問は際立っていて、来る未来に対してポジティブな気持ちにさせてくれました。

Q. マルウェアアナリストとしてリモートで仕事を得ることについて、考えを聞かせてもらえませんか?そんな職務は実在するんでしょうか?

私は17歳です。この分野の有名な本を読みました。今は、手に入るマルウェアをリバースエンジニアリングしています(gootkitremcosnetwalker…)。それから、『Advanced Binary DeObfuscation Material』を読んでいます。スレッドはこちら

Ivan:17歳でそういったサンプルをリバースエンジニアリングしているのなら、仕事を見つけるのは難しくない気がしますね。今やっていることを継続してください、すぐに複数の企業から引き合いが来るようになりますよ!

Maria:Ivanに全面的に賛成です。ちょうど今日、インターンを採用したのですが、その人は18歳で、サンプルのリバースエンジニアリングを担当していて、あなたと同じようにサイバーセキュリティにとても興味を持っています。キャリアパスをすぐにスタートする道はありますし、リモートワークの道もありますよ。頑張って!

ハッカー映画

ハッカー映画に関する質問は、来ると思っていました。リサーチャーたちの趣味も分かりますね。

Q. お気に入りのハッカー映画は何ですか?スレッドはこちら

Igor:1995年の『Hackers』(邦題『サイバーネット』)

Ariel:『トロン』の世界のファンです。

Vitaly:『ミスター・ロボット』は?もちろん誰でも知っていますね。前に、自分が今まで知らなかった映画を見て驚いたことがあります。Defcon Movie Nightで『23』(邦題『ナンバー23』)が上映されたのですが、これがすごく良かったです!これです→ https://ja.wikipedia.org/wiki/%E3%83%8A%E3%83%B3%E3%83%90%E3%83%BC23

Brian:『マトリックス』シリーズ

Kurt:『マトリックス』++

Noushin:アニメの『攻殻機動隊』、『電脳都市OEDO808』

Maria:『Code Mercury』。ブルース・ウィリス最高(邦題『マーキュリー・ライジング』)

21世紀の目で見る、映画『サイバーネット』

標的としてのアンチウイルス

アンチウイルスソフトウェアが攻撃者にとって魅力的な標的となり得るか、という興味深い質問もありました。

Q. アンチウイルスプログラムは魅力的なエクスプロイト対象だ、という議論があります。広範囲でインストールされていて、巨大で複雑なクローズドソースのコードをベースにしていて、アタックサーフェスが大きく、一般的に高い権限で実行しているから、という意味で。皆さんの意見はどうですか?

それから、こういった性質の攻撃に遭遇して撃退しなければならないようなことはよくあるのでしょうか、それともめったにないことですか?スレッドはこちら

Ariel:アンチウイルスソフトウェアをターゲットにするのは、大胆な行動です。一般的な攻撃者がとる行動ではありません。アンチウイルスソフトウェアは、高い権限で実行する脅威を検知して攻撃を阻止できるように、高い権限で実行します。もっと広く使われていて、もっと攻撃しやすいソフトウェアはあります。例えばワープロソフトがそうです。アンチウイルス製品に対して利用可能な近年のエクスプロイトを見てみてください—実に数が少なく、だからアンチウイルスを使わない方がいいという話にはなりません。

Kurt:めったにないです。実際に悪用されているものを見てみてください—アンチマルウェアではないですね。ただ何年か前、Caretoがうちの製品に対してその手の機能を持っていました。Blackhatのプレゼンターなら、Chromeよりもアンチウイルスを悪用した方が聴衆に称賛されるでしょうけどね。

以上、AMAから個人的なお気に入りのやりとりをご紹介しました。皆さんのお気に入りのやり取りがあったら、Twitterで教えていただけると嬉しいです。楽しんでいただけたのなら、またこのメンバーで、またはKasperskyから別のメンバーが、再びAMAを行うかもしれません。4年後ということはないと思いますが。ではそのときまで!

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?