検索
連載

エンジニアよ、一次情報の発信者たれ――Black Hat Asia 2015リポートセキュリティ業界、1440度(14)(2/2 ページ)

2015年3月26〜27日に、著名なセキュリティカンファレンスの一つであるBlack Hatのアジア版、「Black Hat Asia 2015」が開催された。その様子と、FFRIが発表したマルウエアのアンチサンドボックス機能を自動解析する研究について紹介しよう。

Share
Tweet
LINE
Hatena
前のページへ |       

FFRIは“耐サンドボックス動作”を自動解析する「SLIME」を発表

 今回われわれは、「SLIME: Automated Anti-Sandboxing Disarmament System」という、マルウエアのアンチサンドボックス動作を自動的に解析するシステムについて発表しました。このシステムは、PacSec2014で発表した提案(関連リンク:高度なマルウエアを解析するには“触診”が一番? 「PacSec 2014」リポート)を発展させたものであり、今回は加えて、大きなデータセットに対しての実験も行いました。


発表を行う忠鉢(左)と愛甲(右)

 現時点で分かる結果からは、サンドボックス検知マルウエアはさほど多くないが、オンラインバンキングマルウエアなどにはかなりの確率でアンチサンドボックス機能があるため、無視できる要素でもないということを伝えました。最後のセッションでの発表でしたので聴講者が少ないかもしれないと思っていましたが、発表開始後も続々と人が集まり、最終的には400人規模のカンファレンスルームがほぼ埋まるほど多くの方に聞いていただけました。また、質疑応答も活発で、発表終了後も多くの方から貴重な意見や、興味があるから詳しく! というような反応をいただくことができました。

 前回のアムステルダムのときよりも格段に大きい反応があり、確かな手応えを感じることができました。


発表中です

【関連リンク】

SLIME: AUTOMATED ANTI-SANDBOXING DISARMAMENT SYSTEM(Black Hat Asia 2015)

https://www.blackhat.com/asia-15/briefings.html#slime-automated-anti-sandboxing-disarmament-system


セキュリティに関わるものとして「一次情報源の価値」を再認識した旅

 さて、アジア開催ということで、参加者はアジア人の割合が多かったのですが、発表者は世界各地から、そしてやはり欧米企業の人が多く、少し寂しさを感じていました。

 そう思いながら会場を見回っていたところ、Arsenalという自作ツールのデモ展示を行うブースにて、マクニカネットワークス セキュリティ研究センターの凌氏を発見しました。侵入テストやインシデントレスポンスのトレーニングにも使える、ShinoBOTというRAT(遠隔操作ツール)シミュレーターに関する展示をされていましたが、ブースは常に人だかりができており、非常に多くの参加者の関心を引きつけているようでした。

 われわれも、Black Hatの日程終了後にわれわれの研究成果やShinoBOTについて、大変有意義な情報交換ができました。こういった新しいリレーションが発掘できるのも、国際的なカンファレンスで発表する大きな意義だと思います。


Arsenalでデモ展示を行う凌氏

【関連記事】

マルウエアの視点で見るサンドボックス:

合法マルウエアで実感「リアルとサンドボックスの違い」(@IT)

http://www.atmarkit.co.jp/ait/articles/1404/18/news004.html


 会場全体の雰囲気を思い出すと、やはり国際的な情報セキュリティ需要の高まりからか、企業ブースでは常に商談らしきやり取りが行われていました。コミュニケーションした方々とのやり取りからも、企業の方が多いようでした。グローバルなトレンドに直接触れてきた、という感じです。一方、実際にインシデントレスポンスに関わるエンジニアの方から、われわれの研究成果について「これは私たちが本当に欲しかったものだ」というコメントを頂いたりもし、結局直面している課題は世界共通なのだということをあらためて実感しました。

 情報は発信する人に集まる、これはインターネット時代の情報収集の基本の一つですが、こういった国際カンファレンスの場でも、やはりスピーカーとして参加することが何よりの価値になります。話しかけられやすいし、なんとなく始まる会話でも話す“ネタ”があります。二次情報源となり情報を再発信することも有益ですが、とにかく先回りが大事な情報セキュリティ業界では、「当事者が発信する一次情報源の価値」、そして「一次情報源同士のリレーションの価値」が非常に大きいと強く感じています。

 情報セキュリティに関わる当事者として、より健全な情報インフラの維持と発展のため、これからも一次情報源としてのアウトプットをもっと増やしていきたい、と初心を思い出したBlack Hat Asia 2015でした。

「セキュリティ業界、1440度」バックナンバー

株式会社FFRI

FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  6. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  7. 正規通信との区別はほぼ不可能な「偽のMicrosoftメール」に注意、「従来のセキュリティでは認識しにくい」のはなぜ? 対策は?
  8. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. 「OpenSSH」サーバにリモートコード実行の脆弱性、「OpenSSH 9.8p1」で修正
ページトップに戻る