JSAC 2019:インシデント追跡に当たる実務者への、知の共有の場として

サイバーセキュリティの高度な技術情報共有カンファレンス「JSAC2019」のレポート。

先月2019年1月18日、今年もセキュリティ実務者向けの技術カンファレンス、Japan  Security Analyst Conference 2019(JSAC2019)が御茶ノ水ソラシティカンファレンスセンターにて開催されました。今年は8件の発表と約300名の参加者で実施されました。JPCERT/CC主催のJSACは、セキュリティインシデントを日々対応する現場のセキュリティ実務者が集い、高度化するサイバー攻撃に対抗するための情報を共有することを目的とした、セキュリティインシデント分析・対応のための技術情報共有カンファレンスとして開催されています。

オープニング – 昨年との違い

今年のJSAC2019は、JPCERT/CCの代表理事である菊池浩明氏の挨拶でスタートしました。オープニングトークは同インシデントレスポンスグループ部門長の椎木孝斉氏による講演で、最近の攻撃傾向を標的型およびバラマキ型の2つの視点から紹介し、2018年に起きた攻撃キャンペーン等について振り返る内容でした。昨年初めに起きた、Webサイト上に設置された仮想通貨マイナーについてのケースや、2018年1月頃から発生し今でも継続しているスマートフォンを主にターゲットとしたsagawa.apkの攻撃など、一般の方々を巻き込んだ脅威が広範囲に継続して発生している状況があることから、これらにどう対処していくのかが今後のセキュリティ実務者に求められている印象を受けました。

今年はフォレンジック技術関連の発表がなく、海外(韓国)からの発表者による平昌五輪でのインシデント対応の紹介発表、また仮想通貨が関連する攻撃の調査発表などが加わり、去年とは半分程度様変わりした内容となっていました。そんな中、個人的に興味深かった講演をいくつか、聴講者として参加した筆者の意見も織り交ぜてご紹介します。

24×365、DbDを追い続けます…

昨年に引き続き、nao_secこと日本電気株式会社 小池倫太郎氏と株式会社サイバーディフェンス研究所 中島将太氏による、ドライブバイダウンロード(Drive by Download:DbD)とエクスプロイトキットについての講演(演題:週末なにしてますか? 忙しいですか? DbDを解析してもらっていいですか?)が行われました。講演中、小池氏から発せられた「24時間、365日追っかけてます」という言葉が印象深く、その言葉のとおり日々調査および追跡を行っていることが手に取るように分かる詳細な報告でした。

彼らの調査結果によると、2018年、エクスプロイトキットにはさまざまな変化がありました。2017年に最も多く悪用されていたRIGがあまり使われなくなり、それに代わってUnderminerやFalloutといった新たなエクスプロイトキットが出現しています。彼らの調査結果によれば、Underminerでは内部の処理を公開鍵で暗号化し通信内容を秘匿する機能が追加されているため、通信内容が簡単には解読できないとのことです。続いて、CVE-2018-4878、CVE-2018-8174、CVE-2018-8373、CVE-2018-15982といった2018年に新たに発表された脆弱性を突く攻撃コードを積極的に取り入れていることについても紹介していました。

また、それぞれのエクスプロイトキットが配信するマルウェア(バンキング型トロイの木馬、ランサムウェア、マイナー、インフォスティーラー等)の調査結果についても紹介がありました。最近日本でも被害報告の多いランサムウェアであるGandCrabを調査した際には、こういった攻撃を追跡する研究者としての宿命なのか、「nao_sec」という文字列とロシア語のメッセージが埋め込まれていたのを発見したそうです。彼らが攻撃者にとって「やっかい」な追跡者として認識されている様子がうかがえます。

このほかにも、GandCrabのC2やKPOT Stealerの管理パネルやそのソースコードが漏洩していることなどについて、断片的に触れられていました。筆者も、発表された情報を元に流出しているAZORultと思われる管理パネルを確認してみました。

AZORult の管理パネル

AZORult の管理パネル

中身の解析を進めると、講演のスライドにもあるとおり、あるphpファイル内にはコメントとしてロシア語があり、ロシア語話者による関与が疑われます。

講演中に取り上げられていたエクスプロイトキットFalloutの調査は、彼らの情報発信がきっかけで国内外の研究者たちがエクスプロイトキットやそれに関連するマルウェアの調査に参加し、更なる調査を行うことができたケースであり、情報共有を活発に行うことの重要性を改めて再認識させるケースだったと言えます。

仮想通貨の追跡

午後には、実被害の発生している「マルウェアが使われていない」攻撃キャンペーンの調査はどう可能か、という動機から行われた、弊社調査員の大沼千亜希によるセクストーションスパム調査の事例発表(演題:仮想通貨を要求するセクストーションスパム)がありました。

実際に脅迫を受け、支払いを行ってしまった人がいるという被害状況は、Bitcoin(ビットコイン)アドレスの追跡によって判明していました。課題は、世界中で被害の出ているセクストーションスパムによる攻撃キャンペーンを日本からどう追跡するか、という点でした。そこで、支払手段に使われるBitcoinアドレスが攻撃者のものであることに着目し、攻撃者を追跡するための痕跡として逆に利用するー 要はそれをこの攻撃の不変な値として扱い、情報共有を行い脅威ハンティング等に応用することで事前にスパム攻撃を防ぐことができるのではないか、という提案があり、この時代の新しい攻撃に対する「アイデア」だったと思います。

続く株式会社LAC 西部修明氏の話も仮想通貨関連で、公開サーバーを攻撃する犯罪者の目的が仮想通貨Monero(モネロ)を採掘させ収益プロセスを構築することとなっていることが取り上げられました(演題:公開サーバを狙った仮想通貨の採掘を強要する攻撃について)。CPUリソースによる仮想通貨のマイニングが収益を上げると判明したことで、サーバーへのRemote Code Execution(RCE)攻撃が成功すれば即収益プロセスへと組み込まれていくという事例が紹介されました。

講演では、攻撃で乗っ取れるサーバーを使って単にMoneroを採掘すればよいわけでなく、攻撃の段取りも収益に影響しているのではないかという指摘がありました。たとえば、PoCが公開されると数日で攻撃に悪用されるのは、初動が遅いと他の攻撃者に先を越され収益を挙げにくくなり稼げないことを意味するのではないかということが、ウォレットアドレスを追跡することで垣間見えたとのことでした。

別の「アイデア」として、攻撃者のウォレットを観察することで見えてくるものを、調査へ活用できないか模索する話がありました。考えられる可能性として、マイニングで収益増加の傾向がある場合、利用されやすいRCEが発生していると推定する、そこを起点に攻撃の調査を開始する、などのアイデアが紹介されました。これに対して、最近の攻撃ではプロキシを用いてウォレットアドレスを隠蔽することによって追跡を逃れる傾向にあります。これらを踏まえて今後どう追跡するかには、新たなアイデアが求められるのかもしれません。

講演では通貨レートについての言及があり、自身の興味からMonero(XMR)の相場を少し確認してみました。2017年からその価格は増加傾向にあり、最も高騰した2018年1月9日のレートで円換算した場合、1 Moneroあたり61,139円となります。講演内容にある被害額 4,000 Monero であれば、なんと8,559万円の被害額になっていた可能性があったことが分かります(参考:Coin Gecko https://www.coingecko.com/en/coins/monero ※英語)。これを踏まえると、仮想通貨Moneroは、その匿名性といった要素に加え相場の高さもあって、収益が見込めるものとして攻撃者によって選択されているのではないかとも見て取れます。

韓国からの参加者

今回のJSACでは海外からも発表者が来日し、国際的な彩りを加えていました。韓国のセキュリティベンダーであるAhnLab の CHA Minseok(Jacky)氏 とLEE Myeong-Su氏らは、平昌オリンピックで発生したOlympic Destroyerのインシデント対応およびフォレンジック調査をもとに攻撃者の手口を公開し、今後迎える2020東京オリンピックでセキュリティインシデントが発生した際に参考となる講演(演題:A lesson that should be learned from the cyber-attack in Korea ※英語)を行いました。このようなセキュリティ実務者の登壇が海外の演者によって行われるのも、JSACという場が今後国際的にどう評価されていくのかという点で興味深いところと思いました。

JSAC2019に参加してみて

今年は、さまざまな視点からのアイデアを元にして攻撃を調査するきっかけをつかむ、という意味で個人的に気づきがありました。今回の発表では、仮想通貨のアドレスやログ内にあるキーとなるポイントなどを、攻撃を調査する際の起点としてのアイデアとして用い、それをもとに攻撃に対処していくケースがいくつも見られました。有用なアイデアであれば、情報共有されたものを持ち帰り、実務者各自の組織での対策のあり方を検討することも可能です。

セキュリティインシデントに対応する実務者としては、喫緊の課題として実被害が起きてしまった場合にどう対処するかを考えなくてはならず、調査をして痕跡を明るみに出すための技能やアイデアがあると助かる場合が多くあります。詳細な調査の結果を現場で役立てられることに加え、「こうしたら自分で調査がうまくいく」という気づきやテクニックを、高度な知見を持ったリサーチャーの発表から学べるととても魅力的な気がします。昨年を振り返ると、調査ツールとしてフォレンジックツールの紹介があり、ツール/テクニックという、実務者にとってすぐに使える有用な技術の共有が行われました。そういった、実務者の知見の塊である「ツール」という共有の方法も、振り返るともっとあって良いのかとも思いました。

昨年とはまた異なる参加者もおり、参加している実務者と言っても視点はさまざまだと思います。そのような意味で、各参加者の裾野を広げるために多様な視点の講演が採択されたのだと感じました。そういった実務者のコミュニティとして、JSACという場ができつつあるのであれば、今後も実務で使える技術や知識という知の共有を行える場としてあり続けるのではないでしょうか。来年3回目となるJSACでも、セキュリティ実務者にとって新しく有用な技術情報の共有がなされることを期待したいと思います。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?