ペンテストから攻撃解析、トレーニングまで。そんなツールを開発、公開する楽しさとは?
自作セキュリティツール展示会「YOROZU」、SECCONで異彩を放つ
2019年01月10日 12時00分更新
2018年12月22日と23日の2日間、毎年恒例のセキュリティイベント「SECCON 2018 Akihabara」が都内で開催された。CTF(Capture the Flag)決勝大会のほか、カンファレンスやワークショップ、ハンズオンなどの催しを通じて情報セキュリティの大切さや重要性を楽しく体感できる同イベント。今回は開催時期を年末に変更し、開催場所も北千住(東京電機大学)から秋葉原に移動したにもかかわらず、多くの人が会場に足を運び、大盛況となった。
さまざまな催しの中で異彩を放っていたのが「YOROZU」だ。これはセキュリティ関連の自作ツールを持ち寄り、デモ展示やライトニングトーク(LT)を通じて来場者に紹介するもので、米国のセキュリティカンファレンス「Black Hat」で催される「Arsenal」や「DEF CON」の「Demo Lab」がモデル。SECCON実行委員の中鉢洋輔氏がAresenalやDemo Lab常連で、同実行委員の“Sh1n0g1”こと凌翔太氏に企画を明かしたのが始まりで、昨年に続く2回目の開催となる。
今年の展示ラインアップは、次のとおりだった(過去に筆者がBlack Hat/DEF CONレポートなどで取り上げたツールもあるので、本文末の関連記事も参照いただきたい)。
■Faraday v3(Emilio氏)
ペネトレーションテスト支援ツール。70種類以上のペネトレーションテスト用ツールからの解析結果を集約し、リアルタイムに反映。複数作業者間での情報共有を円滑にする。最新バージョンでは、JVN(日本で試用されているソフトウェアの脆弱性関連情報)に対応した「hanase」(「日本語で話せ」の意味とのこと)を追加。
■CIRCO(Emilio氏)
CIRCOは“Cisco Implant Raspberry Controlled Operations”の略。ペネトレーションテストやレッドチームテスト向けで、「Raspberry Pi Zero」や無線LANアダプターなどを組み合わせて製作。シスコシステムズ製のIP電話になりすまし、SSHやTelent、SNMPなどのネットワーク認証情報を抽出する。Cisco DNA、Micro Focus Network Automation、ForeScout CounterACTなどがターゲット。
■nao_sec tools(nao_sec氏)
ドライブバイダウンロード攻撃のトラフィックを自動解析するツール「EKTotal」、ドライブバイダウンロード攻撃をトラフィック解析する高対話型ハニーポット「StarC」、Yaraルールでスキャンしてマルウェアを自動識別する「tknk_scanner」など、脅威情報を調査/共有するリサーチグループ「nao_sec」のツール群。
■GyoiThon(bbr_bbq氏)
Webサーバー用ペネトレーションテストツール。Webサーバー上のソフトウェアを特定、Metasploitからエクスプロイトを実行して脆弱性の有無を確認することが可能。リモートから非破壊で診断情報を収集できるのが特徴。影響を最小限に抑えて検証できる。
■Exgdb(miyagaw61氏)
GNUデバッガ「gdb」使いのための拡張機能/プラグイン。ハッカソン「SecHack365」で開発。puts関数に渡す引数を推測表示したり、動的解析を効率化する。
■CryptGrep(hada2氏)
マルウェアに実装された暗号アルゴリズムを特定、解析を支援するIDA pythonスクリプト。マルウェアに実装される暗号アルゴリズムはそうそう変わらないことに着目、シグネチャベースで検出。同じシグネチャは独自作成したものを追加することも可能。マジックナンバー(フォーマット識別子)に依存しないのが特徴。
■ShinoBOT Family(Sh1n0g1氏)
ペネトレーションテスト向けツール群。ファイル実行型マルウェア「ShinoBOT」、ランサムウェア「ShinoLocker」、PowerShell版「ShinoBOT.ps1」など。
■SysmonSearch(wataru-takahashi氏、shu-tom氏)
イベントログツール「Sysmon」で収集したログをテキスト形式などに変換して可視化、分析の正確性の向上や短縮を実現するツール。ログ蓄積は「Elasticsearch」、可視化は「Kibana」など、「Elastic Stack」を基盤に構築。
■Attack & Defense(OWASP)
OWASP Attack & Defense Projectが開発した実践トレーニングプログラム。脆弱性が仕込まれたWebアプリケーションサーバーを、修正して強化する防御側と、脆弱性を探して侵入する攻撃側とに分かれて競技。脆弱性を発見、修正する力を養う。
■radare2(unixfreaxjp氏)
pancake氏が開発したオープンソースのリバースエンジニアリング向けフレームワーク「Radare」のバイナリ解析向けのライブラリやツールを実装した版。