2014年2月20日

日本発の情報セキュリティ国際会議「CODE BLUE」

ニュース

2014年2月17日~18日、情報セキュリティ国際カンファレンス「CODE BLUE」が東京で開催されました。国内外から400人を超えるセキュリティ専門家らが集まり、2日間を通して講演者による発表と意見交換が行われました。

codeblue

日本で開催される国際的なセキュリティカンファレンスと言えば、海外発祥のBlack HatやRSAカンファレンスなどが有名ですが、CODE BLUEは「日本発のセキュリティカンファレンス」として今回立ち上げられました。コンセプトは「世界トップクラスのセキュリティ専門家による、日本発の情報セキュリティ国際会議」(主催者および発起人:篠田佳奈氏)です。国内外の著名なセキュリティ専門家たちが講演を行いました。提出された論文の査読は、国内でも著名な専門家によって厳しく行われました。カスペルスキーは、エメラルドスポンサーとして協賛することで、この新たな試みをサポートしました。


Jeff Moss カンファレンスの顔ともいえる基調講演では、1日目のスピーカーとしてBlackHat/DefConの創始者であるジェフ・モス氏、2日目は『The IDA Pro Book』の著者であるクリス・イーグルス氏が招待され、それぞれサイバーセキュリティ、技術者のあり方、Capture The Flag(CTF)への参加意義やその有益性等について熱く語りました。

数々の興味深い講演がなされましたが、その中でも特に内容の素晴らしかったものをピックアップして紹介します。

ハードディスクからのデータ復旧の新しいアプローチ

しもがいと だい氏は、災害の影響などでハードディスクが物理的に破損した場合のデータ復旧に対するアプローチを紹介しました。ハードディスクの構造やパーツの詳細から、データを復旧する際にハードディスクのどこまでのパーツが交換可能なのか、データが読めなくなってしまう理由は何か、などを事細かに説明しました。しもがいと氏は、データの復旧を行う上でハードディスク上の物理的な塵(ダスト)がデータを読めなくする原因となることに着目し、これを除去することによって94%以上のデータ復旧率を確保できることを発見しました。本来ならば、ファームウェア(ハードウェアを制御するためのソフトウェア)が破損していると、ハードディスクからデータを復旧させることはまず不可能です。しもがいと氏は、ファームウェアが破損したハードディスクからデータを抽出するという、革新的なアプローチを発表しました。

Shimogaito

まずはファームウェアがどこにあるのか、そしてファームウェア上にどういったモジュールがあるのかを特定し、ハードディスクを起動させるために最低限必要なモジュールを洗い出します。その上でホットスワップ(コンピューターの電源を入れたままでパーツを取り替えること)する、というのがその方法です。しもがいと氏は最後に、ファームウェア部分をソフトウェアから上書きし破壊することでハードディスクが起動しなくなってしまうというデモンストレーションによる、この箇所への脅威の可能性を示し、その対策としてファームウェアを別の領域にバックアップすることを提案し講演を締めくくりました。

サイバー犯罪の調査では、失われたデータの復旧が重要な鍵となります。同氏の発表は、その面での可能性を感じさせる興味深いものでした。

IDA Proのぜい弱性とベンダーの対応

千田 雅明氏の講演は、マルウェア解析者にとってなくてはならないツール「IDA Pro」をテーマに展開されました。IDA Proは、ぜい弱性の調査やマルウェアの解析に利用されています。万が一このツールに存在するぜい弱性が攻撃された場合には、マルウェア解析者がマルウェア感染の危険にさらされることになります。その開発元であるHex-rays社は、こうした事態を未然に防ぐべく、バグ発見懸賞プログラムを実施しており、このプログラムで賞金が支払われたのが11回あります。そのうち5回が、千田氏が発見したバグに対するものでした。

千田氏は、IDA Pro に実際に存在していたインテジャーオーバーフローのぜい弱性、クラスバッファーオーバーフローのぜい弱性、プリローディングのぜい弱性からIDC Script自動実行のぜい弱性等、同氏が発見した複数のぜい弱性を紹介し、最後にこれらのぜい弱性を使用した「IDA Pro」用のエクスプロイトのデモンストレーションを行いました。IDBファイルを読み込んだだけで電卓が起動してしまう、マウスカーソルが置かれていた箇所のヒントを表示するIDA Proの機能を使用して特定文字列を読ませることで電卓が起動する等、非常にエキサイティングな実演でした。

なお、千田氏によれば、ぜい弱性の報告を受けたHex-rays社は、営業時間内であれば即対応しただけでなく、修正パッチの配信も速やかに行ったとのことで、同氏はその対応の良さに賞賛を贈っていました。

ファイル構造に基づいたマルウェア検知手法

大坪 雄平氏は、悪意ある文書を検知する新しいアプローチについて発表しました。o-checkerとは、標的型攻撃メールに添付されるファイルをスキャンして悪質な文書を見つけ出すというツールです。添付ファイルを送りつけて開かせようとする標的型メール攻撃の対策は、添付ファイルに含まれる悪性コードを検知する方法が一般的です。大坪氏は目の付け所を変えてファイル形式に着目し、正常なファイルには存在しないはずのデータの有無などを手がかりとしてマルウェアかどうかを判定する方法を構築しました。まずは標的型攻撃メールの量や添付ファイルの分析から始まり、続いて添付ファイルのファイル形式に着目。標的型攻撃メールの添付ファイルで悪用されることが多いWORDやEXCEL、PDF、一太郎等のファイル形式を詳しく分析したところ、読み込まれないオブジェクトの有無、オブジェクトサイズ等が本来の形式から外れている、という特性を見つけました。この解析結果を基に作り上げられたのが、o-checkerです。大坪氏によれば、収集した標的型攻撃メールの添付ファイルをo-checkerでスキャンしたところ、98.9%以上の検体を検知でき、一検体あたりのスキャンにかかる時間は、たった0.3秒でした。標的型攻撃に使用されるマルウェアの検知に有効性を発揮する可能性を秘めています。

Citadel Decryptor

中津留 勇氏は、オンラインバンキングにおいてユーザーのアカウントを窃取するトロイの木馬Citadelについての分析・研究結果と、Citadelの設定ファイル等を復号化するためのツールCitadel Decryptorの紹介を行いました。Citadelの解説からはじまり、Citadelを作成するツールであるCitadel Builderや感染端末と通信を行うウェブパネルの紹介、Citadelの設定ファイルの構造を解析した結果の解説へと続きました。中津留氏は、Citadelのデータ群の暗号化の仕組みを一つ一つ解析し、その知見を用いてCitadelのデータを復号化するツールであるCitadel Decryptorを独自に開発しました。発表は、Citadel Decryptorを使用してCitadelのデータの復号化を行うデモンストレーションで締めくくられました。Citadelは、いまだに数多くの亜種が作り出され、被害も出ています。数多くの検体を解析しなければならないマルウェア解析者にとって、Citadel Decryptorは有用なツールとなることでしょう。

今回のように技術色の強い講演のみで構成されたカンファレンスは、日本では非常に珍しいものです。技術に特化した質の高い講演のみで構成されていたように感じました。ここに、「グローバルに活躍できる世界トップクラスの情報セキュリティ人材が輩出されていくこと」(CODE BLUE実行委員会 委員長 佐々木良一氏)を掲げたCODE BLUE実行委員会の意思を感じ取ることができたように思います。また、参加者のほとんどが仕事もしくは趣味として情報セキュリティに深く携わっており、新たな技術者との出会いや技術者同士の高度な情報交換・意見交換等、コミュニティを育む場として魅力的なカンファレンスでした。

shinoda

主催者および発起人:篠田佳奈氏

CODE BLUEに参加できたことを一技術者として嬉しく思うと共に、次回の開催に期待したいと思います。