第2回のJSAC2025 2日目のMain Trackの紹介に引き続き、第3回はJSAC2025で行われたWorkshopとLightning Talkについて紹介します。

Workshop

Handling Threat Intelligence: Techniques of Consuming and Creating Threat Intelligence

講演者：東京海上ホールディングス 石川 朝久、大徳 達也、富山 寛之
講演資料（日本語）

石川氏、大徳氏、富山氏は、脅威インテリジェンスの基礎から実践的な活用方法まで体系的に解説し、脅威インテリジェンスを実践的に活用したワークショップを実施しました。

はじめに、脅威インテリジェンスの基礎的な概念について説明しました。 脅威は「意図×能力×機会」という3要素で特徴づけられ、インテリジェンスはデータ形式とプロセスという2つの観点から捉えることができると解説しました。 また、効果的な脅威インテリジェンスには、正確性（Accurate）、利用者目線（Audience Focused）、実行可能性（Actionable）、適切なタイミング（Adequate Timing）という4つの要件が重要であると説明しました。

次に、実践的なアプローチとして、Tactical IntelligenceとOperational Intelligenceについて詳述しました。 Tactical Intelligenceでは、SOC担当者向けのインテリジェンスとして、IoCを活用した予防・検知・対応について解説しました。 具体的には、OSINTやSIGINTによる情報収集から始まり、収集したIoCの評価・分析・充実化を経て、YARAルールやSIGMAルールの適用・配布まで、体系的な手法を示しました。 また、IoCの有効性と制約について次のように言及しました。 IoCはシグニチャ化されていない業界固有の脅威を予防・発見できる一方で、その鮮度は数時間から数日程度と短く、時間経過とともに有効性が薄れていくことから、IoCの情報量と鮮度を考慮したスクリプトによる自動化の重要性や、コンテキストを正しく理解した上での活用が必要であるとのことです。

Operational Intelligenceでは、セキュリティアーキテクト・管理者・SOC担当者向けのインテリジェンスとして、攻撃者のプロファイルや攻撃手法を包括的に理解し、組織のセキュリティ改善に活用する手法について解説しました。 MITRE ATT&CKフレームワークを活用したTTPsの分析や、MITRE D3FENDフレームワークによる防御手法の体系化などを説明しました。 これらの攻撃手法に関する脅威インテリジェンスを活用して、「予防できるものは予防し、予防できないものは検知し、検知できないものはハントする」という考え方に基づいたDefensive Architectureの構築方法について述べました。 また、脅威分析プロセスとして、OSINTやSIGINTによる情報収集から始まり、収集した情報を分析して脅威シナリオを作成し、それをPurple TeamingやThreat Huntingに応用するという体系的なアプローチを説明しました。 Threat Huntingについては、既存のセキュリティ対策を回避する脅威を能動的に発見する手法として、仮説構築（Hypothesis）、調査対象（Object）、調査手法（Procedure）、判断基準（Evaluation）という4つの観点から検証可能な仮説を構築することの重要性について言及しました。 さらに、検知の堅牢性を向上させるSummit The Pyramid（STP理論）を紹介し、正確性（高い検知精度と再現率）と耐性（時間経過に対する攻撃者の回避能力への耐性）の両面から検知ルールを評価・改善する方法論を説明しました。

最後に、脅威インテリジェンスの共有の重要性について説明しました。 特に、組織単独でのインテリジェンス収集には限界があることから、インテリジェンスコミュニティーを通じた情報共有が重要とのことです。 また、TLPを用いた適切な情報共有や、Confidence LevelとEstimative Languageを活用したインテリジェンスの確度の表現について言及しました。

Malware config extraction at scale – building malware analysis pipelines

講演者：CERT Polska Michał Praszmo
講演資料（英語）

Praszmo氏は、CERT Polskaでの長年のマルウェア分析プロジェクトを通じて開発された、マルウェアの設定情報の自動抽出のツールについて、ワークショップを実施しました。

はじめに、マルウェア分析用のリポジトリーであるMWDBについて解説しました。 MWDBは自動分析を想定して設計された拡張性の高いシステムで、マルウェア、設定、その他のデータを保存するためのコアオブジェクトタイプ、タグやコメント、属性などを付与できるセカンダリオブジェクト、そしてLuceneクエリによる柔軟な検索機能があるとのことです。 また、CLIやPython API、REST APIを通じた自動化も可能とのことです。

次に、マルウェア分析のためのPythonモジュールであるmalduckについて解説しました。 malduckは、暗号化機能や圧縮アルゴリズム、メモリダンプやPE/ELFファイルの操作、設定抽出エンジンなど、一般的に使用される分析ヘルパー機能があると言及しました。 具体的な抽出の仕組みとして、YARAルールを使用してパターンマッチングを行い、マッチした箇所からC2サーバーのURLなど、マルウェアの特徴的な情報を抽出する手法を説明しました。

最後に、分散マルウェアプロセッシングフレームワークであるKartonについて紹介しました。 Kartonは、MWDBとmalduckを組み合わせて分析パイプラインを構築するためのフレームワークとのことです。 各サービスがそれぞれの役割を果たし、マルウェアの分類、アーカイブの展開、設定の抽出などを自動的に行うことができると解説しました。 実際の運用例として、フィッシング報告の分析など、マルウェア分析以外の用途にも活用されていると言及しました。

ハンズオンでは、MWDBの基本的な使い方から始まり、段階的にツールの理解を深めていく演習を実施しました。 具体的には、タグを使用したマルウェアのフィルタリング、マルウェアの詳細表示と階層構造の理解、類似した設定の検索方法、そしてblobの扱い方まで、実際のマルウェア分析シナリオに沿って実践的な演習を行いました。

なお、本ツールは以下のGitHubリポジトリーで公開されています。
MWDB：https://github.com/CERT-Polska/mwdb-core
Malduck：https://github.com/CERT-Polska/malduck
Karton：https://github.com/CERT-Polska/karton

IDAとGhidraのプラグインを活用して学ぶ、マルウェアの耐解析機能解析入門

講演者：LAC株式会社 武田 貴寛
講演資料_IDAユーザー向け（英語）
講演資料_Ghidraユーザー向け（英語）

武田氏は、マルウェアに含まれるアンチデバッグ機能を自動的に識別するツールであるAntiDebugSeekerについて、ワークショップを実施しました。

はじめに、マルウェア解析において通信先の特定などの目的を持って解析を進める際、途中でアンチデバッグ機能に遭遇すると解析が停止してしまい、目的の達成が困難になることがあると説明しました。 このような課題に対応するため、AntiDebugSeekerは開発されたと述べました。 このツールは解析の中断を防ぎ、効率的な解析の継続を支援することが可能であると言及しました。

次に、AntiDebugSeekerの主要な機能として、マルウェアによって使用される可能性のあるアンチデバッグ用APIの抽出機能と、キーワードをトリガーとして使用することでAPI呼び出しのみでは識別できないアンチデバッグ機能を抽出する機能について説明しました。 また、パックされたマルウェアの場合は、アンパックおよびインポートアドレステーブルの修正後に本ツールを実行することで、より効果的な解析が可能であると言及しました。

そして、AntiDebugSeekerの具体的な使用方法について、実際のマルウェアを用いてデモンストレーションを行いました。 ツールの実行結果として表示される検出項目には、メモリ操作に関連する情報やアンチデバッグ機能を持つ関数の特定などが含まれることを解説しました。 また、検出結果から特定の関数へジャンプする機能や、検出ルールの詳細を確認できる機能など、解析を効率的に進めるための機能についても説明を行いました。

ハンズオンでは、基本的なアンチデバッグ機能の解析から始まり、次に複合的な耐解析機能の解析を行い、さらにプロセス挙動の詳細解析を実施しました。 また、マルウェアによるVMware環境の検知を例に、AntiDebugSeekerの設定ファイルをカスタマイズして新たな検知ルールを実装する手法を実践しました。

最後に、本ツールが持つ検知ルールのカスタマイズ性の高さにより、新たな耐解析手法への対応や、独自の検知ルールの追加が可能であることも示されました。

なお、本ツールは以下のGitHubリポジトリーで公開されています。
IDA版：https://github.com/LAC-Japan/IDA_Plugin_AntiDebugSeeker
Ghidra版：https://github.com/LAC-Japan/Ghidra_AntiDebugSeeker

Lightning Talk

複数のLLM agentとRAGによるMITRE ATT&CK利活用ツールの紹介

講演者：佐田 淳史
講演資料（英語）

佐田氏は、セキュリティ分野におけるLLMの活用、特にMITRE ATT&CKフレームワークを用いて開発したツール「disarmBot」について講演しました。 disarmBotは、Microsoftが開発するOSSのAIエージェントフレームワークであるAutoGenを活用し、複数のAIエージェントが協調して動作するシステムとして実装されたボットとのことです。

はじめに、昨今のLLMとAI技術の急速な発展を踏まえ、セキュリティとインシデントレスポンスの分野におけるLLM活用の重要性について述べました。

次に、AutoGenフレームワークの特徴について解説しました。 AutoGenは３つの実行パターン（Two Agent Chat、Sequential Chat、Group Chat）を持ち、本ツールではGroup Chatモードを採用することで、複数のエージェントによる多角的な議論を実現したと説明しました。

disarmBotシステムのコア機能として、以下の5つの特殊なエージェントによる協調システムを構築したと言及しました。

1. Attacker Side：攻撃者の視点で分析を行い、RedチームのTTPを参照して議論を実施
2. Defender Side：防御者の視点で分析を行い、BlueチームのTTPを参照して議論を実施
3. OSINT Specialist：インターネット上の情報を収集・要約して議論を実施
4. Skeptics：他のエージェントの発言に対して批判的な視点で議論を実施
5. Solution Architect：エージェントの情報を統合して最終的な解決策を提示

disarmBotの技術的な実装においてDISARM TTPフレームワークについて説明しました。 このフレームワークはMITRE ATT&CKの設計思想を踏襲し、偽情報インシデントの記述と理解のために開発されたものです。 フェーズ、戦術、テクニック、タスク、対策などの階層構造で体系化され、RedチームとBlueチームの両方の視点を含む包括的なフレームワークとなっています。
このフレームワークを効果的に活用するため、disarmbotは以下の要素を統合したアーキテクチャを採用したと説明しました。

• RAG（Retrieval-Augmented Generation）技術による効率的な情報検索
• Chroma DBを用いたベクトルデータベースの構築
• DISARM TTPフレームワークのドキュメントの活用
• OpenAI APIまたはAzure OpenAI APIの利用
• Discord Platform上での動作環境の実現

最後に、ボットが生成した回答に対する利用者の責任の重要性を強調しました。 また、このプロアクティブなアプローチを用いたツールは、データベースやプロンプトの置き換えにより、ペネトレーションテストやDFIRなどの他の用途にも活用できる可能性があると述べました。

なお、本ツールは日本語・英語・中国語に対応しており、以下のGithubリポジトリーで公開されています。
https://github.com/ultra-supara/disarmBot

日本とスペインのサイバーセキュリティ分野における国際協力

講演者：キヤノンITソリューションズ 池上 真人、ESET Spain Josep Albors
講演資料（英語）

池上氏とAlbors氏は、地理的に離れた日本とスペインにおけるサイバー攻撃の共通点と両国間の協力について講演しました。

はじめに、両国で観測される情報窃取マルウェアの動向について説明がありました。 多くの攻撃キャンペーンは両国でほぼ同時期に発生しており、特にスペインでは11月中旬に特徴的なピークが観測されていると言及しました。 この特徴はクリスマス商戦やブラックフライデーなどが日本よりポピュラーであることから、マルウェアの運営者がそれらを狙ってキャンペーンを展開しているためと説明しました。

次に、両国で猛威を振るった情報窃取マルウェアの1つとしてEmotetの事例が紹介されました。 Emotetは主にメールによって拡散されていたと言及しました。 パスワード付きZIPファイルによる文書共有（PPAP）は、日本特有の文化と考えられていましたが、これを悪用した攻撃はスペインでも同様の事例が確認されているとのことです。

そして、詐欺サイトに関しては、スペインで先行して検出されるパターンが多いことに言及しました。 これはスペイン語圏のインターネット人口の多さやローカライズコストの影響によるものと説明しました。

また、テックサポート詐欺についても言及がありました。 スペインでは2012年から観測され、当初はスペイン語のみの基本的なWebサイトでしたが、後に英語やスペイン語で電話をかけるテックサポート詐欺の展開も確認されていると説明しました。 最近ではいくつものテクニックを組み合わせて手口が巧妙化していると述べました。 そして、日本で観測されているテックサポート詐欺と類似のテックサポート詐欺がスペインでも確認されているとのことです。

最後に、両氏は国際的な脅威インテリジェンス共有の重要性を強調しました。 具体例として、2024年2月に締結されたJPCERT/CCとINCIBEの協力協定や、MISPを活用した脅威情報共有の取り組みを紹介しました。 地域特有の状況を考慮しつつ、国際協力を通じてサイバーセキュリティ対策を強化していくことの重要性が述べられました。

各賞の受賞者発表

JSAC2025では、発表いただいたセッションの中から素晴らしい情報を共有いただいたセッションの表彰を行っています。 Excellent Presentation Award（旧ベストスピーカー賞）は、参加者の皆さまからいただいたアンケート結果によってExcellent（非常に満足）評価が最も高かったセッションを選出しています。 Special Recognition Awardは、CFPレビューボードの話し合いによって決定しています。 Excellent Presentation AwardおよびSpecial Recognition Awardに選ばれた発表は、以下のとおりです。

Excellent Presentation Award
タイトル：Hack The Sandbox: Unveiling the Truth Behind Disappearing Artifacts
講演者：伊藤忠サイバー＆インテリジェンス株式会社 亀川 慧、笹田 修平、丹羽 祐介

本発表は、最新の脅威に対する対策・調査手法についての調査結果についての発表であり、実用性が高い点が評価されました。

受賞者からのコメント

攻撃者は常に私たちの先を行こうとします。ブルーチームである私たちは、その厳しい現実を受け止めながら、試行錯誤を重ねて守り抜かなければなりません。

今回の発表は、現時点で得られた知見の共有にすぎず、完璧な答えを示すものではありません。しかし、粘り強く課題に取り組み、地道に「泥臭く」答えを追い求め続ける姿勢こそが、最前線のセキュリティ対策を底支えする礎となります。今回取り上げた内容も未知の要素が多くありましたが、多角的に仮説を立て、一つ一つ丁寧に検証を行いながら攻撃者の足取りを追いかけるとともに、調査方法や対策について何度も議論を重ねました。その成果を皆様に高く評価いただけたことは、大変光栄に思います。

サイバーセキュリティの領域では、個々の知識や努力が大切である一方、共に知恵を絞り、力を合わせることが何よりも重要です。私たちの身の回りには、つい見逃してしまいがちな気づきや手がかりが数多く隠れているかもしれません。それらの兆候を見逃さずに洞察を得ることが、大きな発見へと結びつき、新たな対策を導き出す「鍵」となるのではないでしょうか。

そして、このように発掘された小さな「タネ」をアナリスト同士が互いに共有し、理解を深め合うことこそが、JSACの趣旨であると考えています。ひいては、その取り組みが社会全体のサイバーセキュリティ向上にもつながると信じています。

Special Recognition Award
タイトル：不正送金に係るフィッシング犯行グループの観測とみずほの対策
講演者：株式会社みずほフィナンシャルグループ 八子 浩之、竹内 司、遠藤 拓也

本発表は、これまであまり公開されることがなかったフィッシング攻撃のターゲットとなった組織の対策事例として、多くの学びが得られたことが評価されました。

受賞者からのコメント

八子 浩之
JSACという素晴らしい舞台で、このような名誉ある賞をいただいたことについて、多くの皆様に心から感謝申し上げます。支えてくれた多くのメンバーと一緒に取り組めた成果だと思っています。フィッシングに対して同じ課題を抱える組織との共同防衛の取り組みについても、これからも一層気を引き締めて進めていきたいと思っています。

竹内 司
JSACという公の舞台で発表の機会をいただけたこと、さらに貴重な賞をいただけたことに感謝申し上げます。また、今回発表は3名でおこないましたが、ここに至るまでに多数のチームメンバーや関係部署などの協力があり、「今」に辿り着くことができました。関係者皆様に改めて御礼を申し上げます。PhishingのみならずCyber Crimeの脅威は増大しており、これからも積極的に当該分野での犯罪抑止に貢献してまいります。

遠藤 拓也
JSACには開催当初から聴講者で参加しており、いつか発表者として登壇したいという思いがありました。今回その念願が叶い、且つ名誉ある賞を頂き、大変光栄に思います。この成果は、弊社チーム全員の協力と支援があってこそ成し遂げられたものです。共に働いたメンバーの皆様に心から感謝申し上げます。今後もフィッシング対応に向けて、絶え間ない努力を続けてまいります。引き続きご指導、ご鞭撻のほどよろしくお願い申し上げます

また、JSACでは優れた講演活動を長期にわたり継続している方々を称える目的で、殿堂入りの表彰を行っています。 殿堂入りは、Excellent Presentation AwardもしくはSpecial Recognition Awardを合わせて3回受賞された方を対象として、その卓越した講演活動を称える特別な賞です。殿堂入りされた方は、JSACへの永久参加権が贈呈されます。 JSAC2025において殿堂入りされた方は、以下のとおりです。

殿堂入り
受賞者：伊藤忠サイバー＆インテリジェンス株式会社 笹田 修平

受賞者からのコメント

殿堂入りという名誉をいただき、大変光栄に思います。この場をお借りして、厚く御礼申し上げます。これもひとえに、共に歩んできた仲間やこれまで支えてくださった皆様のおかげだと感じています。この感謝の気持ちを胸に、今後も精進して参りたいと思いますので、引き続きよろしくお願いいたします。

おわりに

最後に、JSAC2025にご参加いただきました皆さま、本レポートをご覧いただきました皆さまに、この場を借りしてお礼を申し上げます。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　早期警戒グループ 石原 大移紀