台湾発のサイバーセキュリティ国際会議:HITCON Pacific 2017

サイバーセキュリティの裾野が拡大する中、HITCON Pacific 2017は、多様な研究者や専門家が集まり活発に意見交換する貴重な場となっています。

情報セキュリティの問題は、もはやフィクションの世界ではなく、私たちの日常生活の暮らしの中や、日々の生活に欠かせない重要な部分などの世界中のありふれた現実問題となってきています。そういった中、2017年12月7日〜8日の2日間にわたり、「HITCON Pacific 」というサイバーセキュリティに関する国際会議が台湾の台北国際コンベンションセンター(TICC)で開催されました。今回はその内容についてご紹介します。

HITCONって?

HITCON(ヒットコン)は「Hack In Taiwan CONference」の略で、サイバーセキュリティに関する議題を集めた、毎年台湾で開かれる国際会議です。台湾におけるハッカーコミュニティのメンバーらが立ち上げたもので、近年の HITCON Pacific は世界各国からサイバーセキュリティの研究者や専門家が集まり、講演発表を通して、サイバー攻撃の防御などの最新のトピックを話し合う国際的な場となっています。

また、同時に開催される HITCON CTF(Capture The Flag)の実施などもあり、全体を通じて参加者同士がセキュリティ分野でのコミュニティ活動を広げていく場としても拡大を見せています。ちなみにHITCON CTFは、1位の賞金が1万ドルであるなど毎年盛り上がりを見せており、日本からはTokyo Westernsのチームも参加していました。

イベント規模

今年のHITCON Pacificは、講演者74名、講演者と参加者を含めると全体で600名を超える規模で行われました。全体の約2割は、台湾以外からの参加者とのことです。なお、同じく台湾にて夏に行われるHITCON CMT(Community)は、およそ倍の規模です。

参加者は多岐にわたり、セキュリティベンダーおよびセキュリティサービス関連、コンサルティング、ファイナンス、航空宇宙、通信、工業、政府関係者、eコマース企業、技術研究者など複数の業界からの参加者と合わせ、少なくない学生の参加者もあります。

講演内容について

今回のHITCONの講演の中から、いくつか気になったトピックをかいつまんでご紹介します。

Recent Cases of Cyber Terror from North Korea

講演者:MYOUNGWON LEE氏(KNPA Cyber Bureau、Superintendent)

MYOUNGWON LEE氏からは、北朝鮮が行っているとされるサイバーテロ活動についての調査報告がありました。昨今は軍備増強ではなく外貨獲得のためにBitcoinのマイニング、窃盗、価格操作などを行うなど、より経済活動へシフトしていると見られること、韓国に対してテスト的にサイバー攻撃活動を行っていること、世界中におよそ6,000人(?)ものサイバー活動員がすでに存在するだろう、といった話が紹介されました。

Open Source as Fuel of Recent APT

講演者:石川 芳浩氏(LAC、CISSP)

日本からの講演者も、今回は4組登壇していました。石川氏の講演では、最近の標的型攻撃で使われたマルウェアにオープンソースソフトウェアが改変されて使われているケースを、Tiny SHell、Metasploit、BeFF、PowerShell Empireなどと比較し、その攻撃痕跡から追跡して調査した内容が紹介されました。

 

Respond Before Incident – Building Proactive Cyber Defense Capabilities

講演者:Chen-yu Dai(GD)氏(Team T5 Research、CTO)、Sung-ting Tsai(TT)氏(Team T5 Research、Leader)

台湾のセキュリティ企業、TeamT5のCTOであるGD(Chen-yu Dai)氏は、ここ最近対応したインシデントレスポンス事例を紹介しました。インシデントレスポンスでのリソース配分に関して、従来、防御や検出(Prevention、Detection)に割り当てていたものを捜索や即応(Hunting and Response)へとシフトすることや、可視性の構築と状況認識(Visibility Building and Situation Awareness)が大事であることについて述べたほか、Threat Intelligenceをベースに Threat Hunting – インシデントが起こる際の予兆を察知し追跡する手法 – を実践していくべきだと論じました。

 

Analyzing Bankbot, a Mobile Banking Botnet

講演者:Fernando Diaz氏(Hispasec/Koodous、Malware Analyst)

Fernando Diaz氏は、主にロシアとウクライナで出回っている「BankBot」と呼ばれるAndroid OS向けのバンキング型トロイの木馬とそのサーバー側の構造について講演しました。正規の銀行サイトでの入力を盗み取るのに加え、偽のライセンスをわざと表示させる手法や、直接ユーザーのブックマークを操作しURLを追加させるなどのテクニックが増えていることが紹介されました。同氏はまた、BankBotがヨーロッパにも活動を移しはじめている点や、設定ファイルにアジアの銀行のURLを含めてきている様子等を挙げ、活動拠点を広げそうであることを指摘しました。

我々の目を引いたのは、BankBot開発者のページを紹介するスライド中で、開発者がツールの性能を示すために各社のアンチウイルスソフトで検査した結果が載っていたところです。最初のテスト結果ではカスペルスキー製品だけが検知していたようですが、マルウェアを改良した結果、すべての製品によるスキャンで未検知となった、と主張するページのようでした。

The Bald Knight Rises

講演者:石丸 傑(グローバル調査分析チーム セキュリティ リサーチャー、Kaspersky Lab)

弊社からも、グローバル調査分析チームのセキュリティ リサーチャーである石丸が、XXMMマルウェアを用いた日本と韓国を狙う標的型攻撃について講演し、その解析の困難さと、攻撃者が用いた回避テクニックについて紹介しました。司会者の話しぶりからは、この講演に対する期待の大きさがうかがえました。聴衆にスライドについて質問を投げかけるなどしながら講演は進み、講演後は壇上で質問を受けていました。

 

パネルディスカッション

本国際会議では、招待講演者を交えてのディスカッションも行われました。CTFなどのイベントへ参加するようなハイスキルな人材、「Cyber Security Talent 」の求人と、企業やセキュリティ対応を行う組織で必要とされるハイスキルな人材とのマッチングに関して意見交換がなされ、各国でさまざまな取り組みや課題があること、総じて高いスキルを持ったセキュリティ人材はなかなかおらず集まらないこと、学生の頃からの育成機会をいかにして作るかという課題が改めてあること、等の認識が共有されました。また、主要紙でも一面などにセキュリティインシデントの記事が載るなどセキュリティに関する意識が向上し、一般の人々の関心も上がってきているという話題もありました。

台湾Night

HITCONへ参加して味わえるのは、サイバーセキュリティの知見や議論だけではありません。台湾の台北市は、美味しい食事で有名な街でもあります。参加した後の夜など、台湾滞在の際には色々と食べ歩いてみるのも、台湾の風土を味わって帰るにはもってこいです。特に夜であれば、あちこちで開かれている有名な夜市で台湾かき氷やタピオカドリンク、屋台の食事やエビ釣り(!)なども楽しめますし、お店巡りだけでもとても楽しいものです。セキュリティイベントで集中して頭が疲れた後は、お腹を満たして帰りましょう。

終わりに

今年のHITCONは「Cyber Force Awakens」という副題で開催され、セキュリティの力を身につける機会となるべく開催されました。サイバーセキュリティの裾野は、近年ますます拡大しています。IoTデバイスなどの技術の分野の広がりや、国や企業で抱えるサイバーセキュリティにまつわる問題を扱う分野、また国や企業を超えた国際間での協議や協力を行う分野での広がりが見られる等、さまざまな経歴の研究者や専門家が集まって情報交換をする機会は重要なものとなっています。そうした機会となるべく、HITCON Pacificは設置されています。またHITCON CTFは、世界有数のCTFとして参加者を集めています。日本からも近く、サイバーセキュリティの最先端で何が起きているかを知ることができるHITCONは、自らの「Cyber Force」を高めようとするセキュリティの分野に携わる人なら、参加しておくべきイベントではないでしょうか。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?