Black Hat USA 2018/DEF CON 26 ラスベガス現地レポート 第3回
ドライブバイダウンロード攻撃解析ツール「EKTotal」、@nao_secの情報発信で世界に活躍の場を広げる小池氏&野村氏
学生2人組でBlack Hatに登場、自作の攻撃解析ツール披露!
2018年09月25日 07時00分更新
リアルタイムなセキュリティ情報発信の重要さに気づき「@nao_sec」開設
実は前述のtomoriとayumiを開発した頃、小池氏はある思いからTwitterアカウント「@nao_sec」を開設した。現在発生している攻撃キャンペーンなどの情報を、国内外に英語中心で発信する専用アカウントだ。
小池氏は「コンピュータセキュリティシンポジウム」(情報処理学会のコンピュータセキュリティ研究会が主催)で開催されている、マルウェア解析結果を競うコンテスト「MWS Cup」に出場した際に、さまざまな海外のセキュリティリサーチャーの存在を知った。彼らはネットワークトラフィックを調査し、そこで捕捉したマルウェアに“バンキング型トロイの木馬”“ランサムウェア”などとラベル付けしてTwitterで共有していた。
「EKリサーチャー界隈の有名どころだと、パロアルトネットワークスのブラッド・ダンカン氏、マルウェアバイツ・ラボのジェローム・セグラ氏(前述したEKFiddle開発者)、プルーフポイントの@kafeine氏かな」と、小池氏は積極的に情報発信を行う海外リサーチャーの名前を挙げる。「調査して得た情報をただ持っているだけでは意味がない。多くの方に役立ててもらえるよう、自分も情報発信することにしたんです」(小池氏)
今年8月末、小池氏らは初観測されたエクスプロイトキットを「Fallout Exploit Kit」と命名し、Twitterやブログを通じて情報共有した。このFalloutは、Adobe Flash PlayerやWindows VBscriptエンジンの脆弱性を悪用し、不正なWeb広告が読み込まれると勝手にトロイの木馬などをダウンロード/実行させるエクスプロイトキットだ。この第一報を受けて多くのセキュリティリサーチャーが検証を開始し、ファイア・アイの追跡調査によって新たに「GrandCrab」ランサムウェアが仕込まれていることも報告された。nao_secの取り組みがセキュリティ業界全体に貢献し、情報共有を行う意義が示された好例と言える。
情報発信しようと決めたもうひとつの理由は、セキュリティに興味を持って勉強したいと思わせる“旬なネタ”を提供したかったからだ。
「国内でも調査研究は進んでいますが、ホワイトペーパーや調査レポートで詳細が公表される頃には攻撃のトレンドが変わっていることがほとんどです。それだと、現在どんな攻撃が主流になっているのかは現場の人にしか分からず、セキュリティを勉強したいと思っている外側の人にとって、いま何を勉強すべきかが見えてこなくて、関心も薄れてしまうんじゃないかと思うんです」。現場で起きていることをリアルタイムに共有することは、セキュリティに対する関心を高めるきっかけとなり、コミュニティの成長にもつながるはずだと小池氏は力説する。
野村氏も「SECCONやCTF、セキュリティ・キャンプといった取り組みもありますが」と前置きしつつ、セキュリティ分野の何を勉強したいのか見つけるのは難しいと漏らす。「特にセキュリティは、コンピューター科学などの基礎知識の先にある応用分野のため、セキュリティをやりたいと思う最初のとっかかりが見つかりにくい」と分析する。
もっと“いま”を知ってもらえたら、面白さや楽しさが伝わるかもしれない。国内でも、もっとこうした取組みが広がってほしいと両氏は口を揃える。
ドライブバイダウンロード攻撃の次は迷惑メールの解析に「はまっている」
現在、サイバー攻撃対策技術の研究や製品開発を行うアクティブディフェンス研究所で、“佐倉綾音推しの特任研究員”小池氏と“街の国際バリスタエンジニア”野村氏としてアルバイトしている2人。EKTotalの成果は、日本への脅威に特化した同社の脅威情報配信サービス「Cyber Tactical Database」として活かされている。
今後の活動について「ドライブバイダウンロード攻撃はそろそろ滅びつつあるので、違う分野をやりたいです」と話す小池氏。最近は迷惑メールの解析にはまっていると語った。
国内外の垣根を越えてセキュリティコミュニティに貢献する2人。そんな彼らの活躍に、今後も注目したい。
この連載の記事
-
第2回
TECH
機械学習を活用したツールでBlack HatとDEF CONに乗り込んだMBSD高江洲勲氏 -
第1回
TECH
FAX番号だけで複合機が乗っ取られる“Faxploit”脆弱性公表 -
TECH
Black Hat USA 2018/DEF CON 26 ラスベガス現地レポート - この連載の一覧へ