JPCERT/CC Eyes

JSAC2026の講演の様子を引き続きお伝えします。
第3回はWorkshop／Lightning Talk Session／Panel Discussionについてです。

［Workshop 1］

Leveraging EML Analyzer to triage malicious email messages during incident response

講演者：二関 学、CERT Polska Michał Praszmo

講演資料（英語）

本ワークショップでは、悪性メールの解析・トリアージをテーマに、メールの仕組みや攻撃手法を整理した上で、メール検体を用いた実践的な解析手法が紹介されました。

前半では、Internet Message FormatやMIMEといったメールの基本仕様を整理しつつ、「メールがどのような経路で配送されるのか」「Receivedヘッダーの読み解き方」などについて解説が行われました。あわせて、SPF、DKIM、DMARCといったメール認証技術について、それぞれの役割や限界、実際のメールヘッダー上での確認ポイントが説明されました。

後半では、EML Analyzerを用いた実践的な解析が行われました。EML Analyzerは、EMLやMSG形式のメールを解析し、ヘッダー情報や本文、添付ファイル、URLなどを構造化して可視化できるオープンソースのツールです。 参加者は、EML Analyzerを用いて以下のようなメール解析を行い、CTF形式で解析結果の提出を行いました。
　　・Message-IDの特定
　　・NDR（Non-Delivery Report）内で言及されているオリジナルメッセージのSubjectを特定
　　・見積依頼書として添付されたPDFのSHA256ハッシュ値の特定
　　・Outlook／Microsoft環境にメールをリレーした送信元ホストIPの特定
　　・ClamAVによるマルウェアスキャンを実行したホストのFQDNの特定
　　・デバッグ用に残されたヘッダーからEnvelope FROM（Return-Path）を特定
　　・X-Headerから送信元クライアントのIPアドレスを特定
　　・Roundcube XSS攻撃に用いられた攻撃者管理下のC2サーバーの特定
　　・Conversation Hijackingの痕跡から、本来の送信者の完全なメールアドレスを特定
　　・DKIM検証失敗の原因となった改変を分析し、改変前本文のハッシュ値を特定
　　・受信メールがSPFを通過したメカニズムの特定
　　・@gmail.com送信メールがDMARC検証に失敗した場合のabuseレポート送信先の特定

［Workshop 2］

Advanced Malware Reverse Engineering: Dealing with anti analysis techniques from scratch.

講演者：Palo Alto Networks, Inc. Mark Lim

講演資料（英語）

本ワークショップは、実際に観測されているマルウェアを題材に、アンチ解析技術を回避しながら内部構造を解き明かしていくハンズオン形式で行われました。
解析対象となったのは、以下の2つのマルウェアファミリーです。
　　・Guloader：多段構成を特徴とするドロッパー
　　・Gremlin：情報窃取を行うインフォスティーラ

Guloaderが侵入点となり、最終的にGremlinを展開・実行する多段攻撃シナリオを想定し、実際の攻撃チェーンを意識した解析が行われました。

内容は、VBSファイルおよびPowerShellスクリプトの解析から始まり、シェルコード解析、さらにVectored Exception Handler（VEH）を用いた制御フロー難読化への対処まで、段階的に進められました。各フェーズでは、解析対象に取り組んだ後に、その背景となる仕組みや解析手法について解説が行われ、理解を深めながら学習できる構成となっていました。

解析に使用するツールやスクリプトについても具体的な説明があり、実践的な解析手法を体系的に学ぶことのできる内容でした。

［Workshop 3］

Re:birth the fidb: Reverse Engineering the .NET AOT Malware

講演者：株式会社エヌ・エフ・ラボラトリーズ 吉武 暉洋、木田 明宏、神 章洋

講演資料（日本語）

本ワークショップは、近年観測され始めている.NET Native AOT（Ahead-of-Time）コンパイルを利用したマルウェアを対象に、その解析手法を入門者向けに体系的かつ実践的に学ぶことを目的として実施されました。

.NETマルウェアは従来、ILコードや豊富なメタデータを保持しているため、dnSpyなどのデコンパイラを用いた解析が比較的容易でした。一方で、Native AOTでコンパイルされたバイナリはILコードを持たず、メタデータも大幅に削除されているため、従来の.NETマルウェア解析手法だけでは解析が困難となります。本ワークショップでは、こうしたNative AOT特有の課題に対する実践的な解析アプローチが解説されました。

前半では、従来の.NET（ILを含む形式）とNative AOTでコンパイルされたバイナリの違いを整理し、Native AOTでコンパイルされたプログラムの内部構造や特徴について解説が行われました。Native AOTバイナリは一見するとC++で作成されたネイティブバイナリのように見えることや、標準ライブラリが静的にリンクされることで、解析対象となるコードが膨大になる点などが紹介されました。

続いて、こうした状況に対処するための手法として、シグネチャを用いたトリアージが取り上げられました。GhidraやIDA Proを用いて標準ライブラリ由来の関数を識別し、解析対象とすべきコードを効率的に絞り込むためのシグネチャ作成および適用手順について、ハンズオン形式で解説が行われました。GhidraのFunction IDや、IDA ProのFLIRTシグネチャを活用することで、可読性が大きく向上することが確認されました。

後半では、Native AOTコンパイル時に行われるDehydrate／Rehydrateの仕組みを踏まえ、静的解析時に失われがちな文字列リテラルやオブジェクトメタデータを復元する手法が紹介されました。Ghidra用のプラグインを用いることで、動的解析を行うことなく、圧縮されたメタデータやFrozen Objectを静的に復元し、解析結果の可読性を向上させる手法についてハンズオンが行われました。

［Lightning Talk Sessions 1］

HoldingHandsRAT Attacks against Japanese company

講演者：日本電気株式会社 竹内 俊輝

講演資料（英語）

本発表では、日本企業を標的としたHoldingHandsRATによる攻撃事例について、実際に観測された攻撃メールやマルウェアの挙動をもとに解説が行われました。

HoldingHandsRATは、これまで台湾や日本、マレーシアを対象とした攻撃で使用されてきたRATであり、発表では2025年5月に観測した日本語の攻撃メールを用いて日本企業を狙った事例が紹介されました。解析の過程で確認されたPDBパスや挙動から、公開されているHoldingHandsのコードと類似した実装が用いられている点が示されました。

具体的な攻撃手法としては、「給与制度改定のお知らせ」といった業務連絡を装うメールにZIPファイルが添付され、その中にパスワードで保護されたEXEファイルと、そのパスワードを記載したテキストファイルが含まれていた事例が紹介されました。EXEファイルをパスワードで保護することで、セキュリティ製品による検知を回避しようとした可能性がある点が指摘されました。

さらに、本攻撃で使用されたマルウェアの一部には正規企業から盗用されたとみられるデジタル署名が用いられていたことや、類似した文字列を持つ複数のドメインが同時期に取得され、その多くが日本国内のIPアドレスに解決されていた点について解説されました。

［Lightning Talk Sessions 2］

ホスティングサービスの危険な同居人

講演者：NTTセキュリティ・ジャパン株式会社 戸祭 隆行、NTTドコモビジネス株式会社 冨樫 良介

講演資料（日本語）

本発表では、レンタルサーバーやホスティングサービスにおいて、複数の利用者が共通のメールインフラを利用することによって生じるセキュリティリスクについて、具体例を交えながら解説が行われました。

レンタルサーバーは、手軽に利用できる一方で、IPアドレスやメール送信インフラが利用者間で共有されるケースが多く存在します。発表では、このような共通インフラの特性が、SPFやDMARCといった送信元認証技術と必ずしも相性が良くない点が指摘されました。特に、送信元IPアドレスを基準とするSPFでは、同一IPレンジを共有する他利用者によるなりすましメールを識別できない場合があることが示されました。

また、事業者と利用者が同一のメールインフラを利用している場合、攻撃者が事業者を装ったメールを送信できてしまう可能性についても説明がありました。これは、事業者側のSPFレコードで許可されたIPアドレスが、結果として悪意のある利用者にも利用可能となるためです。こうした状況では、SPFやDMARCを適切に設定していても、なりすましを防ぐことが難しくなる場合があります。

発表では、こうしたリスクを把握するための一つの手法として、利用者と事業者のSPFレコードを比較するアプローチが紹介されました。外部からレンタルサービスの内部構成を把握することは困難である一方、DNS上で公開されているSPFレコードを突き合わせることで、利用者が送信に利用可能なIPアドレスが事業者のSPFに含まれているかを確認でき、当該なりすましリスクに該当するかを一定程度推測できる可能性があることが示されました。

［Lightning Talk Sessions 3］

TOAMI・IKESU・CHOKAで実現するフィッシングサイトの“釣り上げ方”─ブラウザ拡張連携による効率的ハンティング

講演者：NTTドコモビジネス株式会社 坪井 祐一

本発表では、フィッシング対策業務に携わる「フィッシングハンター」の作業を支援するために開発されたブラウザー拡張ツールTOAMI-投網-と、その検知結果をより効率的に活用するための拡張ツールIKESU-生簀-およびCHOKA-釣果-について紹介がありました。

TOAMI-投網-は、疑わしいURLを調査するフィッシングハンターの作業を支援するブラウザー拡張ツールで、フィッシングサイトの検知結果をログとして出力する機能を備えていることが紹介されました。

IKESU-生簀-は、TOAMI-投網-が出力した検知ログをGUI上で可視化し、一覧表示や検索、ソートを行うことを目的としています。ログを「生簀の中の魚」に見立てて管理するというコンセプトで、ブラウザー上だけで操作が完結する点が特徴として紹介されました。

さらに、IKESU-生簀-で選択した検知結果をもとに、Abuse報告文の作成や送信を支援するツールとしてCHOKA-釣果-が提案されました。

これらのツールが必要とされる背景には、フィッシングサイトの手動による詳細調査に大きな負担がかかっている現状があります。こうした調査には相応のリソースと高度なスキルが求められるため、業務の効率化と標準化を実現することが重要であり、そのためにこれらのツールを開発していると説明されました。TOAMI-投網-、IKESU-生簀-、CHOKA-釣果-を連携させることで、検知・分析・テイクダウンまでの一連の流れを効率化し、フィッシングサイトの迅速なテイクダウンに貢献していきたいとの展望が示されました。

［Lightning Talk Sessions 4］

Deceiving Developers: Abusing Legitimate GitHub Repositories to Deliver Malware

講演者：GMO Cybersecurity by Ierae, Inc. Theo Webb

講演資料（英語）

本発表では、正規のGitHubリポジトリーを悪用し、開発者を標的としてマルウェアを配布する攻撃キャンペーンについて、その手法と背景、影響が解説されました。

発表で紹介された攻撃は、検索広告（malvertising）とGitHubのリポジトリー構造を組み合わせたものでした。攻撃者は、正規のGitHubリポジトリーをフォークし、README内のダウンロードリンクを書き換えたコミットを作成します。このコミットは、公式リポジトリー配下のURLとして表示できるため、公式リポジトリーのページと同様の形式で閲覧可能となります。

攻撃者はこのコミットへのリンクを、GitHub Desktopをキーワードにした広告として配信します。被害者が広告経由でREADMEを閲覧し、記載されたリンクからインストーラーをダウンロードすると、Windows環境ではHijackLoaderを含むマルウェアが実行され、macOS環境ではAMOS Stealerが展開されることが説明されました。

本攻撃が成立する要因として、GitHubではフォーク由来のコミットが、公式リポジトリーのURL形式で表示可能である点が挙げられました。フォークやアカウントが削除された後も、コミット自体は参照可能な場合があり、悪性コミットの追跡や完全な除去を困難にしています。また、README内のアンカーリンクを用いることで、GitHub上の警告表示を回避できる点も紹介されました。

発表の終盤では、対策として公式リポジトリーのデフォルトブランチを確認することや、READMEのリンクではなくReleasesページやベンダーの公式ダウンロードページからインストーラーを取得することの重要性が強調されました。

［Lightning Talk Sessions 5］

Unmasking Houken: Advanced TTPs and Detection

講演者：PricewaterhouseCoopers Hong Kong Ruth Ng

本発表では、現代の国家支援型サイバー攻撃の分業化について、主にInitial Access Brokerに焦点をあてた解説が行われました。
講演内容についてはTLP:REDを多く含むため、詳細については割愛いたします。

［Lightning Talk Sessions 6］

海外投資詐欺集団の国内携帯回線の契約状況モニタリング

講演者：yumano

本発表では、海外投資詐欺等で悪用される携帯電話番号に着目し、SMSを用いた本人確認の有効性を検証した調査結果が紹介されました。

ロマンス詐欺で実際に使用された携帯電話番号を収集し、契約状況や契約期間を調査した取り組みについて説明がありました。

犯行日を基準に前後約10カ月間の契約状況を分析した結果、犯行直前に回線契約が行われ、犯行終了後に解約される傾向が確認されたと報告されました。

この結果から、攻撃者が詐欺に利用する認証用の携帯電話番号を短期間に大量取得している可能性が示唆されました。そのため、SMSによる本人確認を実施していても、詐欺対策として十分な効果を発揮しない場合があることが指摘されました。

また、登録前の契約状況の確認ならびに詐欺で使用された携帯電話番号の迅速な情報共有が、被害防止に重要であると示されました。

［Panel Discussion］

JSAC2026レビューボードが注目した2025年のセキュリティインシデント

講演者：CFP Review Board

（NTTセキュリティ・ジャパン株式会社 小池 倫太郎、株式会社インターネットイニシアティブ 小林 稔、株式会社サイバーディフェンス研究所​ 中島 将太、富士通株式会社 中津留 勇、伊藤忠商事株式会社 丹羽 祐介、Palo Alto Networks, Inc.​ 原 弘明、Google LLC​ Steve Su、JPCERT/CC 朝長 秀誠）

2025年のセキュリティインシデントを振り返り、レビューボードメンバーが特に注目した事案についてディスカッションが行われました。
レビューボードメンバーの軽快な掛け合いによる活発な意見交換が行われましたが、内容についてはTLP:REDを多く含むため、詳細については割愛いたします。

おわりに

JSAC2026では、発表いただいたセッションの中から、特に素晴らしい情報を共有いただいたセッションの表彰を行っています。
Excellent Presentation Award（旧ベストスピーカー賞）は、参加者の皆さまからいただいたアンケート結果によってExcellent（非常に満足）評価が最も高かったセッションを選出しています。
Special Recognition Awardは、CFP Review Boardの話し合いによって決定しています。
Excellent Presentation AwardおよびSpecial Recognition Awardに選ばれた発表は、下記のとおりです。


<Excellent Presentation Award>
Title：Re:birth the fidb: Reverse Engineering the .NET AOT Malware
講演者：株式会社エヌ・エフ・ラボラトリーズ 吉武 暉洋、木田 明宏、神 章洋



<Special Recognition Award>
Title：Unmasking the CoGUI Phishing Kit, the Major Chinese Phishing-as-a-Service Targeting Japan
講演者：TeamDonut Shadow Liu、Lime Chen、Albert Song



最後に、JSAC2026の参加者の皆さま、本レポートをご覧いただきました皆さまにこの場を借りてお礼申し上げます。

インシデントレスポンスグループ 矢野 雄紀