前回に引き続き、第3回はWorkshopとLightning Talkについて紹介します。

Workshop

仕組みから学ぶクラウド不正アクセス調査入門

講演者：伊藤忠サイバー＆インテリジェンス株式会社 羽鶴 颯、山本 高弘、株式会社Flatt Security 齋藤 徳秀、株式会社ステラセキュリティ 宮下 大祐

羽鶴氏、山本氏、齋藤氏、宮下氏は、クラウドの仕組み、クラウドへの攻撃手法について説明した後、実際に起きたセキュリティインシデントをもとにログ調査のワークショップを実施しました。

はじめに、クラウドの攻撃手法や防御手法を理解する上で、クラウドのリソース操作や認証技術、その処理の流れについて説明しました。クラウド上のリソースは、APIを呼び出すことでGUIやCLI等のさまざまな手段でクラウドの操作が可能になります。また、IAM（IdP）による認証・認可の機能についてトークン付与や、AWSを例に操作許可のフローを説明しました。

次に、クラウドへの攻撃手法を多くの事例を交えながら解説しました。代表的なものとして、悪意あるクライアントを認証させるConsent Phishingや、デバイス認可付与を悪用して被害者にトークンを生成させるDevice Code Phishing、偽ライブラリの公開や正規のライブラリの改ざんによるSoftware Supply Chainの侵害について述べました。また、APIキーやトークン等のクレデンシャルを守ることがクラウドのセキュリティにおいて重要であり、クレデンシャルが漏えいした場合あらゆるリソースが危険に晒されることについて言及しました。

上記の説明を踏まえて、クラウド上で構築したECサイトにおけるインシデント対応についてハンズオンを実施しました。インシデント対応はAmazon GuardDutyやFalco、CloudTrail等のログを用いて行いました。また、調査する上で初期侵入から権限昇格や永続化、情報の持ち出し等多くの攻撃の調査方法について詳述しました。

最後に、各クラウドの仕様を把握しコンテナの証跡確保の重要性について説明しました。Fargate等のマネージドサービスを使用する場合や、オートスケーリング構成を採用している場合はログファイルにアクセスできるかや消去がされていないか注意する必要があります。

Infrastructure Tracking With Mihari

講演者：二関 学

二関氏は、さまざまなサービスと連携し、脅威インテリジェンスの収集と分析、複数の情報源からのデータを一貫して処理できるモニタリングツールMihariのワークショップを実施しました。

Mihariの仕組みとして、ShodanやCensys、VirusTotal等の複数のサービスと連携して検索のためのルールを作成し、データベースに保存することができます。また、自動で検索結果がデータベース内に出力されWebhook等で通知を受け取ることもできます。

ワークショップの中では、MoqHaoというAndroid malwareのランディングページを見つける際ルールとしてSSL証明書のシリアルナンバーやHTMLのハッシュ値、特定のタイトルやポートを持つサービス等を検索するymlファイルを紹介しました。また、スキャンツールであるNucleiと連携した脅威検出やネットワークスキャンの自動化について紹介しました。

今回のワークショップは、DockerとVisual Studio Codeを使って環境をセットアップすることができます。また、Mihariの詳細な説明や演習内容は下記のGitHubにて公開しています。
https://ninoseki.github.io/jsac_mihari_workshop/setup/

External Attack Surfaceの調査手法と実践

講演者：株式会社マクニカ 瀬治山 豊、政本 憲蔵、山﨑 剛弥、勅使河原 猛

瀬治山氏、政本氏、山﨑氏、勅使河原氏は、昨今ランサムウェア等のサイバー犯罪のきっかけとなっている外部に公開された資産（ネットワークアプライアンスやサーバー等）の把握と管理を行う取り組みであるEASM（External Attack Surface Management）についてワークショップを行いました。

まず、ASMの説明とEASMが必要となる背景として近年外部に公開している資産が起点となって発生しているインシデントの割合について説明しました。また、大企業においては特に公開している資産の把握とパッチ管理が重要であり、海外拠点をきっかけにインシデントが発生していることが多いことを述べました。

次に、資産を把握した後のリスク評価の観点や効率的なリスク調査手法、重大な脆弱性の有無等の判断方法についてハンズオンを交えながら説明しました。また、資産の把握、調査の中で資産管理者の明確化や管理者とのコミュケーションを取れるよう関係構築をしておくことや調査ミスを防ぐために自動化の仕組みを作ることの重要性について言及しました。

最後に、今回のワークショップを通して攻撃対象となる国内外の拠点や関係会社が持つ資産の把握とリスク対策を実施し、自組織のセキュリティ向上、ガバナンス強化等に活かして欲しいことを伝えました。

Lightning Talk

Where is “that” anti-debug? Introduction of AntiDebugSeeker

講演者：武田 貴寛
講演資料（英語）

武田氏は、マルウェアに含まれるアンチデバッグ機能を自動的に識別するツールであるAntiDebugSeekerについて講演しました。

まず、AntiDebugSeekerはマルウェアによってアンチデバッグに使用されている可能性のあるWindows API（以下、API）の抽出の他に、キーワードをトリガーとして使用することでAPI呼び出しのみでは識別できないアンチデバッグ機能を抽出するものになります。

次に、検知ワードの追加方法やキーワード検索の柔軟性、検出結果がハイライトでリスト表示される点や検出結果から特定の関数へジャンプ、関数の説明を確認できることをデモを交えながら検出方法やその拡張性、ツールの操作性について説明しました。

最後に、本ツールについてIDA版だけではなくGhidra版も作成中であることを伝えました。 なお、本ツールは下記URLにて公開しています。
https://github.com/LAC-Japan/IDA_Plugin_AntiDebugSeeker

Z9 Malicious PowerShell Script Analyzer

講演者：百塚 真弥、竹中 一誓
講演資料（英語）

百塚氏と竹中氏は、対象のPowerShellスクリプトがマルウェアである可能性を判断するツールz9について講演しました。

まずPowerShellマルウェアについて、ファイルレスで実行される点や複数の方法で難読化されている点から解析には多くの課題があることを説明しました。

次に、z9の機能として対象のPowerShellスクリプトをサンドボックスで実行し、そのWindowsのイベントログを収集します。そして、下記の要素に基づいてマルウェアの判定を行うことを解説しました。

• Invoke Expressionコマンド
• Blacklist
• ロジスティック回帰によるスコアリング
• 記号の割合
• ランダム化された文字列
• IoCとなるURL

最後に本ツールの検知結果を共有し、7割以上の検知ができている点やどのような要因で検知できているのかを明らかにしていました。なお、本ツールは下記URLにて公開しています。
https://z9.shino.club/ https://github.com/Sh1n0g1/z9

Bypass of anti-fraud filters with modern proxyware infrastructure: What we saw in data and how we setup the honeypot

講演者：ChenYu "GD" Dai

GD氏は、自宅用プロキシを使った犯罪行為について講演しました。講演内容については非公開であるため、省略させていただきます。

Active DirectoryにおけるLDAPの攻撃目線と防御目線の活用

講演者：鵜山 通夫
講演資料（日本語）

鵜山氏は、Active Directoryへの攻撃の一環として利用されるLDAPについて、クエリの内容や確認方法、脅威ハンティングでの活用方法について講演しました。

まず、標的型攻撃においてActive Directoryは偵察行為から侵害へとつながる重要な攻撃対象となっており、攻撃者がActive Directoryに対する攻撃の初期段階でLDAPを用いた偵察活動を行っていることに言及しました。

次に、Kerberoasting攻撃の際にサービスアカウント情報等を検索できるLDAPが利用されることから、偵察活動に利用される特徴的なLDAPクエリの例を提示し、防御側が注目すべき点について説明しました。

最後に、脅威ハンティングで注目するべきクエリやデコイの有効性について検討していくことを述べました。

スミッシングモニターリリース直前裏話

講演者：柘植 悠孝

柘植氏はSMSを使った詐欺に対して、一般ユーザー向けに作成した注意喚起や啓発目的のWebサイト「スミッシングモニター」について説明しました。

はじめに、国内のSMSフィルタリングとしてNW型のFWとクライアントアプリの2つがあることを紹介しました。前者はSMSをユーザーが確認できないため誤検知の影響は大きく、後者はユーザーが確認できるため誤検知の影響は小さくなります。

次に、スミッシングに使用されるマルウェアはAndroidマルウェアであるMoqHao（XLOADER）やKeepSpyが多く、昼間には宅配業者をかたるSMSを送り、夜間には通信キャリアや金融機関をかたるSMSを送る等のスミッシングの特徴や傾向について言及しました。

最後に、最近の事例としてクリスマス等のイベントに便乗するようなSMSや、文章の内容に重複がなくなってきている等巧妙な手口になっていることを説明しました。 なお、現在スミッシングモニターである「詐欺SMSモニター」がリリースされています。
https://smon.tobila.com
※サイバーセキュリティ月間（2024年2月1日～3月18日）の限定公開です。

公開リポジトリにおける自動Exploit判定－実装から得られた知見と課題－

講演者：赤木 雅弥
講演資料（日本語）

赤城氏は、AIを用いてGitHubからExploitコードを早期かつ正確に検出する手法について解説しました。

まず、手法を研究する背景にCVE-IDの発行件数、Exploitコードの件数はともに増加傾向にあること、GitHubが他の主要アーカイブと比べてExploitコードの公開が1カ月程度早いことを挙げました。

次に、具体的な手法としてGitHubに公開されたリポジトリを自動でクローンし、LightGBMを用いた判定手法を適応することでGitHubに公開されたリポジトリから自動でExploitコードであるかを判断することができることを説明しました。

最後に、上記の判定手法を使いことで90%以上の精度でExploitコードを検出できたこと、また今後の展望としてスクリプトファイルやバイナリファイルの動的解析の実装や今回誤判定したものについても再学習し、AI判定を継続的に強化していくことを述べました。

おわりに

JSAC2024では、2024年3月7日にAfter JSAC2024を開催し、ベストスピーカー賞および、Special Recognition Awardの表彰を行いました。ベストスピーカー賞は、参加者の皆さまからいただいたアンケートによって決定しました。Special Recognition Awardは、CFPレビューボードの話し合いによって決定しました。ベストスピーカー賞およびSpecial Recognition Awardに選ばれた発表は以下のとおりです。

ベストスピーカー賞
タイトル : 仕組みから学ぶクラウド不正アクセス調査入門
講演者 : 伊藤忠サイバー＆インテリジェンス株式会社 羽鶴 颯、山本 高弘、株式会社Flatt Security 齋藤 徳秀、株式会社ステラセキュリティ 宮下 大祐

Special Recognition Award
タイトル : 標的型攻撃者によるVSCodeの武器化
講演者 : 伊藤忠サイバー＆インテリジェンス株式会社 羽鶴 颯、笹田 修平

最後に、JSAC2024にご参加いただきました皆さま、本レポートをご覧いただきました皆さまにこの場を借りてお礼申し上げます。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　インシデントレスポンスグループ 中村 恭脩