検索
連載

エンジニアよ、一次情報の発信者たれ――Black Hat Asia 2015リポートセキュリティ業界、1440度(14)(2/2 ページ)

2015年3月26〜27日に、著名なセキュリティカンファレンスの一つであるBlack Hatのアジア版、「Black Hat Asia 2015」が開催された。その様子と、FFRIが発表したマルウエアのアンチサンドボックス機能を自動解析する研究について紹介しよう。

Share
Tweet
LINE
Hatena
前のページへ |       

FFRIは“耐サンドボックス動作”を自動解析する「SLIME」を発表

 今回われわれは、「SLIME: Automated Anti-Sandboxing Disarmament System」という、マルウエアのアンチサンドボックス動作を自動的に解析するシステムについて発表しました。このシステムは、PacSec2014で発表した提案(関連リンク:高度なマルウエアを解析するには“触診”が一番? 「PacSec 2014」リポート)を発展させたものであり、今回は加えて、大きなデータセットに対しての実験も行いました。


発表を行う忠鉢(左)と愛甲(右)

 現時点で分かる結果からは、サンドボックス検知マルウエアはさほど多くないが、オンラインバンキングマルウエアなどにはかなりの確率でアンチサンドボックス機能があるため、無視できる要素でもないということを伝えました。最後のセッションでの発表でしたので聴講者が少ないかもしれないと思っていましたが、発表開始後も続々と人が集まり、最終的には400人規模のカンファレンスルームがほぼ埋まるほど多くの方に聞いていただけました。また、質疑応答も活発で、発表終了後も多くの方から貴重な意見や、興味があるから詳しく! というような反応をいただくことができました。

 前回のアムステルダムのときよりも格段に大きい反応があり、確かな手応えを感じることができました。


発表中です

【関連リンク】

SLIME: AUTOMATED ANTI-SANDBOXING DISARMAMENT SYSTEM(Black Hat Asia 2015)

https://www.blackhat.com/asia-15/briefings.html#slime-automated-anti-sandboxing-disarmament-system


セキュリティに関わるものとして「一次情報源の価値」を再認識した旅

 さて、アジア開催ということで、参加者はアジア人の割合が多かったのですが、発表者は世界各地から、そしてやはり欧米企業の人が多く、少し寂しさを感じていました。

 そう思いながら会場を見回っていたところ、Arsenalという自作ツールのデモ展示を行うブースにて、マクニカネットワークス セキュリティ研究センターの凌氏を発見しました。侵入テストやインシデントレスポンスのトレーニングにも使える、ShinoBOTというRAT(遠隔操作ツール)シミュレーターに関する展示をされていましたが、ブースは常に人だかりができており、非常に多くの参加者の関心を引きつけているようでした。

 われわれも、Black Hatの日程終了後にわれわれの研究成果やShinoBOTについて、大変有意義な情報交換ができました。こういった新しいリレーションが発掘できるのも、国際的なカンファレンスで発表する大きな意義だと思います。


Arsenalでデモ展示を行う凌氏

【関連記事】

マルウエアの視点で見るサンドボックス:

合法マルウエアで実感「リアルとサンドボックスの違い」(@IT)

http://www.atmarkit.co.jp/ait/articles/1404/18/news004.html


 会場全体の雰囲気を思い出すと、やはり国際的な情報セキュリティ需要の高まりからか、企業ブースでは常に商談らしきやり取りが行われていました。コミュニケーションした方々とのやり取りからも、企業の方が多いようでした。グローバルなトレンドに直接触れてきた、という感じです。一方、実際にインシデントレスポンスに関わるエンジニアの方から、われわれの研究成果について「これは私たちが本当に欲しかったものだ」というコメントを頂いたりもし、結局直面している課題は世界共通なのだということをあらためて実感しました。

 情報は発信する人に集まる、これはインターネット時代の情報収集の基本の一つですが、こういった国際カンファレンスの場でも、やはりスピーカーとして参加することが何よりの価値になります。話しかけられやすいし、なんとなく始まる会話でも話す“ネタ”があります。二次情報源となり情報を再発信することも有益ですが、とにかく先回りが大事な情報セキュリティ業界では、「当事者が発信する一次情報源の価値」、そして「一次情報源同士のリレーションの価値」が非常に大きいと強く感じています。

 情報セキュリティに関わる当事者として、より健全な情報インフラの維持と発展のため、これからも一次情報源としてのアウトプットをもっと増やしていきたい、と初心を思い出したBlack Hat Asia 2015でした。

「セキュリティ業界、1440度」バックナンバー

株式会社FFRI

FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る