JSAC2026 開催レポート~DAY 2~
前回 に引き続き、第2回は2日目に開催されたDAY 2 Main Trackの講演について紹介します。
Following the Trace: Reconstructing Attacks from Ext4 and XFS Journals
講演者:株式会社インターネットイニシアティブ 小林 稔
小林氏は、ファイルシステムのext4およびXFSにおけるジャーナル構造とその解析手法をもとにファイル操作を推測してタイムラインとして再構築するアプローチと、小林氏が開発したジャーナル解析ツール「FJTA(Forensic Journal Timeline Analyzer)」のデモを通じて、タイムスタンプが信頼できない状況下でも従来のタイムライン解析を補完し得るジャーナル解析の有効性について講演しました。
はじめに、デジタルフォレンジックにおける従来のタイムライン解析の限界として、MACBタイムスタンプがディスク取得時点のスナップショットに過ぎず、複数回の操作履歴やtimestompingによる改ざんを原理的に反映できない点を指摘しました。 その課題に対する新たなアプローチとして、Linuxで広く利用されるext4およびXFSのジャーナル機構に着目した動機を説明しました。
続いて、ext4およびXFSジャーナルの構造と解析手法を解説し、トランザクション単位で記録されるメタデータ変更情報から、ファイル作成や削除などの操作をどのように推測し、時系列に再構築するかを示しました。 仕様が公開されているにもかかわらず、両ファイルシステムを実用的に解析しタイムラインとして可視化できるオープンソースツールは存在せず、The Sleuth Kitのような既存のツールで可能なのはデータ列挙にとどまる点も課題として挙げました。
その上で、FJTAのデモを通じて、ジャーナルからファイルアクティビティを検出し、従来のタイムラインでは見えなかった攻撃痕跡を可視化できることを紹介しました。 さらに、実際の攻撃シナリオへの適用例や、アンチフォレンジックの限界についても言及しました。
最後に、ファイルシステムジャーナルは改ざんが難しい信頼性の高いフォレンジックアーティファクトであり、インシデントレスポンスではメモリイメージを取得後に優先的にジャーナルを収集すべきであると提言しました。 ブロックデバイス解析や通常ファイル収集より高い優先度で扱うことの重要性を強調しました。
Unmasking the CoGUI Phishing Kit, the Major Chinese Phishing-as-a-Service Targeting Japan
講演者:TeamDonut Shadow Liu、Lime Chen、Albert Song
Shadow Liu氏、Lime Chen氏、Albert Song氏は、日本の金融、交通、政府サービスなど多数のブランドを標的とするフィッシング攻撃「CoGUI」と、中国発のPhishing-as-a-Service(PhaaS)「FishingMaster(垂钓大师)」の実態について講演しました。
はじめに、日本を狙う大規模フィッシング攻撃の現状を示し、CoGUIが中国発のFishingMasterにより運営されていることを明らかにしました。 FishingMasterは広告や販売情報が閉鎖的チャネルで提供されてきたため、長らく実態が不明でしたが、第一世代から後継システムへの進化を比較し、ウェブスキャナーデータやアンダーグラウンドコミュニティーの監視、技術調査を通じて、CoGUIの背後にあるインフラ構成と運用エコシステムを体系的に解明したと説明しました。
続いて、2025年に報道を受けて一時的に活動を停止した後、NXやFAへ再ブランド化して活動を継続し、インフラの非公開化や通信暗号化、検出回避機能を強化している状況を紹介しました。
さらに、アトリビューションや地下市場での行動パターンを共有し、ビジネスモデルとリスク管理戦略を考察しました。
最後に、法的圧力や摘発に対しては迅速に活動を縮小する傾向があり、心理的脆弱性が弱点となり得ると分析し、防御側にはURLやAPIパターンの識別、関連インフラ追跡、脅威ハンティングの実践が重要であると述べました。
The Mechanism for Building a Phishing Admin Panel
講演者:NTTドコモビジネス株式会社 益本 将臣
益本氏は、Phishing-as-a-Service(PhaaS)の台頭を背景としたフィッシング管理パネルの構築方法と機能について講演を行いました。
はじめに、PhaaSの普及によってフィッシングの技術的ハードルが下がり、攻撃が効率化している現状とフィッシング管理パネル登場の背景を説明しました。 近年の管理パネルでは、フィッシングサイトの作成や設定、窃取情報の管理、クローキング設定、ドメイン管理、さらにはワンタイムパスワードの突破まで一元的に操作が可能であると説明しました。
続いて、フィッシング管理パネルの構築方法と技術的仕組みを解説し、Dockerや自動インストールスクリプトにより短時間で構築・削除できる設計となっている点を紹介しました。 攻撃インフラは持続性よりも即時性と効率性が重視されていることが特徴であり、構築ツールの分析から利用インフラの情報も把握できると述べました。
さらに、「CoGUI」や「Oriental Gudgeon」などの事例を通じて依存するドメインやURL構造を分析し、PhaaSインフラが実質的に単一のURL・ドメインに依存している点を示しました。 特定のURL・ドメインへの依存度が高いことから、それらを遮断することでサービス全体を機能停止に追い込める可能性があると指摘しました。
最後に、フィッシング対策ではサイト単体だけでなく管理パネル自体を特定しテイクダウンすることが重要であり、その第一歩として管理パネルの仕組みや構築方法を理解する必要があると述べました。
Combatting residential proxy services in Japan:Part II
講演者:株式会社リクルート 猪野 裕司、Reflare, Ltd. Paul Ziegler
猪野氏がJSAC2022で講演した「国内悪性プロキシサービスとの闘争」では、当時最大手であったサービス911の出口IPアドレスを1年かけて収集・分析し、一般家庭のインターネット回線を利用したResidential IP Proxy(レジデンシャルプロキシ)の検出と、IPアドレスベースのレピュテーション評価の難しさを解説しました。
本講演では、Paul Ziegler氏とともに、JSAC2022以降、3年間の研究のアップデートとして、国内IPの継続的調査結果をもとにレジデンシャルプロキシの最新動向や悪用実態、検出技術を解説しました。 講演内容についてはTLP:REDを多く含むため、詳細については割愛いたします。
A deep-dive into RapperBot C2 operation and DDoS attacks
講演者:国立研究開発法人情報通信研究機構 古川 秀之
古川氏は、IoT機器を標的とするDDoSボットネット「RapperBot」について、これまで詳細に報告されていなかったC2オペレーションとDDoS攻撃の実態を、分析結果とともに解説しました。
はじめに、RapperBotの概要として、DVRやネットワークカメラを主な感染対象とし、複数のスキャナーで拡散する仕組みを解説しました。 2022年から調査を継続し、ダークネット監視やハニーポットで収集したデータから、台湾、米国、日本などで多数の感染が確認され、C2サーバーの大規模運用の実態が明らかになったと説明しました。
続いて、2025年3月に発生したX(旧Twitter)の断続的障害とRapperBotのDDoS攻撃タイミングの一致や、中国のオンラインゲーム関連サーバーへの集中攻撃などの具体例を示し、攻撃傾向を解説しました。 あわせて、マルウェア構造やC2プロトコル仕様、サーバーローテーション、UIの運用実態を分析し、C2コントロールパネルがマクロ利用やコンソールベースで操作されていた可能性、操作ミスや非効率な設定の存在を報告しました。
さらに、運営者逮捕前の約5カ月間のデータに基づき、C2オペレーション、攻撃コマンドの詳細、標的傾向を整理し、ブラックリスト機能によって再攻撃が阻止され、最終的に通信停止と運営者逮捕に至った経緯を共有しました。
最後に、大規模IoTボットネットの実態把握が脅威理解に不可欠であり、根本対策として脆弱なIoT機器の削減が重要であると述べました。
Unraveling the WSUS Exploit Chain: Incident Analysis and Actor Insights
講演者:NTTセキュリティ・ジャパン株式会社 岩田 翔平、吉川 照規
岩田氏、吉川氏は、WSUSのRCEの脆弱性(CVE-2025-59287)を悪用した攻撃インシデントについて、当時どのように分析を進めて攻撃起点の解明に至ったのかを、日々の情報収集から得た気付きを起点とする仮説ベースの深掘り調査や、Velociraptor悪用というTTPの証跡に基づくアトリビューションの考察とともに共有し、インシデント対応の実践的参考事例および脅威動向を踏まえた対策見直しの示唆を提示しました。
はじめに、2025年10月にSOCで観測した日本企業を標的とするWSUSのRCEの脆弱性(CVE-2025-59287)を悪用した事案の概要を紹介しました。 本インシデントではWSUSのRCE脆弱性を起点に侵入が行われ、正規のフォレンジック/DFIRツールであるVelociraptorがRMMツールとして悪用されていました。 当初は感染経路の情報がなく、EDRの証跡からも真の攻撃起点の特定は困難でしたが、検出された複数のアラートを起点にプロセスツリーとネットワークIoCの相関分析を実施した結果、msi形式のインストーラーを経由したVelociraptor導入の流れを解明し、WSUSのRCEの脆弱性(CVE-2025-59287)が初期アクセスに利用された可能性が高いと結論付けました。
続いて、攻撃フローと使用ツールの詳細を整理し、Velociraptorの設定ファイルやPKI構成、ホスティングサーバーのドメイン、MSIファイル名、AWSアカウント名などの共通点から、複数インシデントが同一主体によるものと裏付けました。
最後に、本事例を踏まえた検知強化や設定見直しの重要性を提言し、インシデント分析の実践的知見を共有しました。
Continuous Intrusion/Continuous Distribution: Tracking Fox’s Iterative Malspam Campaign
講演者:伊藤忠サイバー&インテリジェンス株式会社 亀川 慧
亀川氏は、2025年9月から10月にかけて観測された「Silver Fox」による日本組織向けフィッシング攻撃キャンペーンについて、5つの期間に分類した攻撃パターンに基づき、不審メールの特徴や攻撃インフラの分析結果、および観測されたマルウェアの技術的解析結果について講演しました。
はじめに、特定組織になりすました文面で本文中にURLを記載する形式のフィッシングメールが大量に送信された調査概要を示しました。メール内の悪意あるURLをクリックすると誘導サイトを経由してローダーがダウンロードされ、さらに追加ペイロードを取得する多段階構造であったと説明しました。
続いて、感染経路の詳細とともに、日本語環境を判定する一方で中国語環境でない場合に動作しない仕組みになっているなど、実装上の矛盾点を解説しました。
さらに、攻撃者はフィッシングメールの送信直前にマルウェアのコンパイルやC2への設置を行うなど、攻撃手法を継続的に更新していた点について説明しました。 使用されたマルウェアはValleyRATやVShellで、ValleyRATはこれまで主に中国・台湾の組織を標的とした事例が報告され、日本組織を対象とするケースは多くありませんでしたが、本キャンペーンでは日本も標的となっており、攻撃者が活動範囲を拡大しつつある可能性が示唆されると述べました。
最後に、使用マルウェアの類似性、過去の活動との一致などから「Silver Fox」の関与が疑われるとし、日本語フィッシングメールの監視強化、異常通信の検知・遮断、継続的な脅威分析の重要性を提言しました。
From Access to Encryption: Uncovering Qilin’s Attack Lifecycle
講演者:Cisco Talos 武田 貴寛
武田氏は、日本におけるランサムウェアの動向とQilinグループに焦点を当て、複数のインシデント分析に基づく最新の攻撃チェーン全体の流れと初期アクセスをめぐる現状について解説しました。
はじめに、2025年のランサムウェアの国内発生件数が増加傾向にあり、中小企業が過半数を占めている現状を示しました。 その中でもQilinが国内事例の一定割合を占め、他グループを大きく上回る存在感を示していると説明しました。
さらに、米国やカナダ、中国、韓国など世界各地で活動を拡大し、リークサイトで継続的に被害企業を公表するなど極めて活発であると述べました。
続いて、Qilinの初期アクセスの実態について解説しました。 侵入経路はテレグラムやシグナルなどの通信経路が暗号化されたメッセージアプリ、マーケットフォーラム、イニシャルアクセスブローカーを通じて入手した漏えい認証情報の悪用が中心であり、侵入後は偵察、横展開、認証情報窃取、RMMツールの悪用、データ窃取・暗号化へと進行すると述べました。
また、正規・独自ツールを併用した選択的情報窃取や自動化スクリプトによる仮想環境全体の暗号化、役割分担の明確化、EDR回避などの特徴的TTPについて解説しました。
最後に、暗号化までの期間が短いことからランサムウェア実行前の段階での早期検知が重要であるとし、ログ収集とMFAの徹底、オフラインバックアップ、セキュリティ製品の積極設定に加え、SigmaやYARAルールを活用した検知強化を提言し、今後も攻撃の継続と自動化が懸念されるとまとめました。
おわりに
今回はJSAC2026の2日目に行われた講演について紹介しました。次回のJPCERT/CC Eyesでは引き続き、Workshop/Lightning Talk Session/Panel Discussionについて紹介します。
インシデントレスポンスグループ 佐々木 奈々恵
