こんにちは、井口です。

11/9・11/10に行われたCODE BLUEに参加してきました。
2日間で経験したことについてご紹介します。
以下は、僕が拝聴したスケジュールになります。

スケジュール

Day1

  1. サイバースペースにおける国家主権
  2. Step-Oriented Programming による任意コード実行の可能性
  3. 産業制御システムに対するStuxnet以来最大の脅威
  4. HTTP/2 クライアントのパッシブ・フィンガープリンティング
  5. 日本を狙うAPT攻撃の全体像 – APT攻撃インシデントSTIXデータベース
  6. 攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査

Day2

  1. “商用ホワイトボックス暗号方式” に対する “鍵回復攻撃”
  2. LG vs. Samsung スマートTV: あなたを追跡できるのはどちら?
  3. インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上
  4. 国産IT資産管理ソフトウェアの(イン)セキュリティ
  5. Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
  6. OSSによる自動車の自動運転化

各日に行われたセッションについて興味深かった内容について書いていきたいと思います。

産業制御システムに対するStuxnet以来最大の脅威

エリートクラブと呼ばれる産業系マルウェアの有名所の中でも、
INDUSTROYERと呼ばれるマルウェアの解析に関する講演でした。
INDUSTROYERには多数のモジュールが容易されていて、
対象にあわせたモジュールを選択できる、
どんなベンダーでも標的になる可能性があるという部分は
とても印象に残りました。
攻撃者の意図が、金銭的商業的目的ではなさそうだが、詳しい意図は不明というのも、かなり恐ろしく思いました。
また、配電施設などになると、被害も多岐にわたるというのと、今回が短時間の停電で済んだということもあり、解析をするだけではなかなか目的が分からないのだなと感じました。

攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査

侵入後の攻撃者の行動パターンについての講演でした。
侵入→調査→探索→感染→痕跡削除と攻撃者の行動フローや、
どういった攻撃手法を用いるのかわかりやく説明されていました。
検知されたくないため、ツールではなくコマンドや正規ツールもよく使う。
よく使うコマンドとそのコマンドを使用した狙い、
効果的なログの取得方法など普段聞くことができないような内容で
とても興味深く聞くことができました。
pingなど普段僕は疎通確認くらいにしか使っていなかったのですが、攻撃者は、侵入ネットワーク内のIp割り出しに使用しているなど、
普段使用しているようなものも、多く何気なく使用しているコマンドから
意外と多くのことが知れる、攻撃者が使用するとこうも意味合いが変わってくるのかということにに驚きました。
逆にそういった知識を持っていることで、ログ一つ見る際にも多くの事を推察できると思うので、何気なく使用しているコマンドも使い方をより理解していく必要があると感じました。

国産IT資産管理ソフトウェアの(イン)セキュリティ

管理系のソフトウェアの脆弱性についての事例を
セキュリティに詳しくなくとも分かりやすい内容にまとめてあり、
とても聴きやすい公演でした。
社名は控えていましたが、実際の管理ソフトの脆弱性、
ログインのId・passwordを同じ暗号化方式を使いまわしてdbに保存していたために、
dbのId・passwordを入れ替えるだけpasswordがわかってしまうなど
いくつか紹介がありました。
先に紹介したものなどは、割とよくあることらしく、聞いていてなんとなく開発の際に時間もないし暗号化方式使い分けるの面倒だし同じの使えばいいんじゃないかと言った開発の際にありそうな場面を思い浮かべながら聞いていました。
今回のケースがそういう状況が生んだ脆弱性かはわかりませんが、良くあることだと思うので、セキュリティの観点から考えると自分も気をつけないといけないと感じました。
また、攻撃者がそういったソフトにおいてどのような方法で
脆弱性を調査しているかにも触れており大変勉強になりました。

最後に

今回のCODEBULEを通して、
組み込み機器のHackingや、
“商用ホワイトボックス暗号方式” に対する “鍵回復攻撃”など
内容がかなり高度な講演が多く理解しきれない部分も多かったのですが、
全体を通して興味を引かれたのは感じたのは、
攻撃者の行動パターンや意図はこうだったんじゃないか、こういう目的でこういう行動をとっていたなどといっ話をしている時でした。
業務上、ログを解析する機会があり、自身でもこれはどういう意味なのだろうと考えたり、
調べたりといったことがあったのでとても身近に感じることができ興味深く聞くことができました。
今後、セキュリティを学んでいく上で、今回のcodeblueで学んだ内容に知らない部分が多くあったので、基礎を固めつつ、ログ解析の知識を深めゆくゆくはフォレンジックな系統の学習をしていけたらと思います。