6月17日から22日にかけて、CSIRT(Computer Security Incident Response Team)の国際的な組織であるFIRSTの年次会合、FIRSTカンファレンスが開催されました。会場の様子を紹介します。
2012年6月17日から22日にかけて、マルタ共和国・サンジュリアン(St Julians)にてCSIRT(Computer Security Incident Response Team)の国際的な組織であるFIRST(Forum of Incident Response and Security Teams)の年次会合、「FIRSTカンファレンス」が開催されました。
昨年に引き続き、今年もFIRSTカンファレンスに参加する機会を得ましたので、その内容を筆者の感想とともに紹介します。
今年のFIRSTカンファレンスの参加者は約570名。日本からは60名近くが参加していました。今年の開催場所はマルタ島という普段の生活では滅多に行く機会のないところだったこともあり、参加者が多かったのかもしれません。
セッションの内容としては、去年は法執行機関や犯罪系のセッションが多く、技術系のセッションは少ない印象がありましたが、今年はDNS関係やマルウェア解析などの技術系のセッションが増えていました。全体のセッションの概要としては、マルウェア解析、DNS関係、APT関係、CERT間での情報共有関係などのテーマが多かったように感じました。
今年のセッションの構成も、午前中に1つの部屋で2セッションの「基調講演」、午後は3つの部屋に分かれて「Deep Technical Dives」(技術情報に特化したセッション)、「Technical Foundations」(技術情報の基礎やトピック概要に関するセッション)、「Policy & Management」(インシデントレスポンスや情報共有、法的境界に関するセッション)というテーマでそれぞれセッションが行われました。
国別の講演者はアメリカが圧倒的に多いのですが、今回は日本からもNTT-CERTから林郁也氏、HIRT(Hitachi Incident Response Team)から寺田真敏氏、JPCERT/CCから伊藤友里恵氏、満永拓邦氏と、4名の講演者が参加していました。
FIRSTカンファレンスでは、セッション以外に「Special Interest Group」(以下、SIG)と呼ばれるミーティングが開催されています。これらのSIGには、毎年定期的に開催されており、事前にプログラムに記載されているものもあれば、カンファレンス期間中に連絡ボードに告知をして参加者を募集し、開催されたものもありました。
定期的に開催されているSIGはFIRSTのホームページに公開されていますので、各SIGでどのような取り組みを実施しているのか興味を持たれた方はご参照ください。
次に、私が参加したセッションのうち、いくつかを公開可能な範囲で紹介したいと思います。
ドイツテレコムのAndreas Schuster氏による、「Poison Ivy」の機能紹介およびその動作や構成、検出方法のセッションです。
Poison Ivyは現在においても悪用されることの多いRAT(Remote Administration Tool/Remote Access Trojan)であり、攻撃者にリモート端末の遠隔操作機能を提供します。悪用される頻度も高いですが、Poison Ivy自体に脆弱性が発見されるなど、最近何かと話題ですね。
セッションでは、Poison Ivyの機能と設定可能なオプションの紹介から、生成されたバイナリの構成、C&Cサーバとのセッション接続時のネットワークアクティビティの説明を行いました。また、オープンソースのメモリフォレンジックツールである「Volatility」を使用してPoison Ivyを検出するシンプルなシグネチャについても説明しています。
Andreas Schuster氏は以前からメモリフォレンジック分野では著名で、Volatilityのpluginも多数開発しており、講演後にPoison Ivyを検知するVolatilityのpluginをリリースしています。
【関連リンク】
VolatilityDocumentationProject
http://code.google.com/p/volatility/wiki/VolatilityDocumentationProject
※「2012 June」の「Volatility plugin to detect Poison Ivy in memory and dump run-time config」をクリックするとpluginがダウンロードされます。
CERT Polska/NASKのPawel Pawlinski氏によるクライアント型ハニーポット、「Honey Spider Network Ver 2.0」の紹介です。
Honey Spider Network Ver 2.0は、ポーランドのResearch and Academic Computer Network in Poland(NASK)とオランダのNational Cyber Security Centre(NCSC)によって開発されたクライアントサイドの攻撃を検知するためのフレームワークです。
Honey Spider Networkの目的は、ユーザーに意識させることなくブラウザの欠陥を悪用してマルウェアをインストールさせる、悪意あるWebサイトを検出することにあります。そのために、Honey Spider Network Ver2.0は、Shellcode、Office文書、PDF、Flash、JavaScriptなどを分析する各種アナライザとWebクライアントエミュレータを統合するフレームワークとして機能し、指定したURLに含まれるさまざまな脅威を検出します。
Honey Spider Network 2.0のサイトでは、FIRSTカンファレンスで実施された5分ほどのデモンストレーションが公開されています。解説などがないため分かりにくい点もありますが、実際に動作しているのを見ることにより、Honey Spider Network 2.0が複数のアナライザーを使用してさまざま脅威を検出していることを体感できると思います。
Honey Spider Networkはオープンソースで公開する予定とのことですので、今後の展開に期待したいところです。
SANSのトレーニングディレクターであるLance Spitzner氏による人的セキュリティについてのセッションです。
なぜ組織が従業員のセキュリティ意識向上を行う必要があるのか、効果的なセキュリティ意識向上をどのように実施するかを説明し、セッションの最後には、SANSのサイトで公開されている無料で利用できるリソースの紹介がありました。
こちらのサイトでは、人的セキュリティおよびフィッシング詐欺のアセスメントに関する30分近くのビデオをはじめ、多くの資料が公開されています。このサイトを参照することでSANSが提唱するセキュリティ意識向上に向けた取り組みについて理解できると思います。セッションで話していた内容の大部分もこちらのサイトに含まれていました。
サイトにはセキュリティ意識向上のための「ステッカーコンテスト」の結果や子供に対するセキュリティ意識向上のコンテンツなども掲載されており、個人的には、日本との表現方法の違いについて興味深く感じました。
FIRSTカンファレンスでは、Lightning Talks(ライトニングトーク)も行われます。その他のセッションは事前申請および審査が必要なのに対し、Lightning TalksはFIRSTカンファレンス期間中に会場で登録が行われます。
今回のカンファレンスでは、希望者がホワイトボードに講演タイトルと講演者名を記載する形式で登録が行われました。事前に審査が不要とはいえ、セールストークは厳禁となっているので注意が必要です。全体で1時間40分の時間が設けられ、各自約5分間で講演を実施します。Lightning Talksの時間帯は他のセッションは行われないため、FIRSTカンファレンスに参加している多くの参加者に講演内容をアピールできる機会でもあります。日本からも3名の参加者が講演していました。
Lightning Talksは他のセッションとは異なり、会場にて登録を行い、資料も講演者が所有するPCを持参してその場でモニタに接続するケースもあったため、うまく講演者のPCが接続できないなどのハプニングも発生していました。日本で実施される勉強会などでもそうですが、FIRSTカンファレンスにおけるLightning Talksも気軽に参加が可能です。国際的なカンファレンスで何か講演してみたいと思う方はぜひチャレンジしてみてはいかがでしょうか?
Copyright © ITmedia, Inc. All Rights Reserved.