DARK MATTER

CDI Engineer's Technical Blog

2019 FIRST Conferenceに参加してきました

Security Conferences CSIRT FIRST

技術部の染谷です。今年6月16日から21日まで英国エディンバラで開催されたFIRSTの年次会合、 31st Annual FIRST Conference に参加してきました。当ブログでFIRSTの会合について初めての報告となりますので、FIRSTの概要を踏まえてお伝え致します。

FIRSTとは

FIRSTは "Forum of Incident Response and Security Teams" を表し、世界各地の官民学様々な組織のCSIRT (Computer Security Incident ResponseTeam) 等がメンバーとして参画しています*1。インシデントレスポンスやセキュリティに関する情報交換を行い、協力関係を構築する目的で1990年に設立されました。執筆時点では490チームがメンバーとして参加しており、メンバー数は年々増加傾向にあります*2。当社のCDI-CIRTは、2009年からメンバーとなっています。

Annual FIRST Conference (AC) の概要

FIRSTは様々な会合を開催しており、メンバのみが参加可能なクローズドのものと、メンバー以外も参加可能なオープンのものがあります。ACは基本的にオープンな会合で、毎年6月に開催されます。今年は英国エディンバラですが、昨年はマレーシアのクアラルンプール、来年はカナダのモントリオールと、世界の様々な地域において開催されています。開催場所が変わることで参加者も地域に沿った傾向が表れ、今回は近隣の欧州組の参加が例年より多かったように思います。全体では約1100名が参加していて、これまでで最大の規模だったそうです。ACでは、サイバーセキュリティに関する様々な講演や、特定のテーマごとの (SIG) ミーティング、CTF、FIRST運営に関するメンバーミーティング、そして参加者間の交流を促すための複数のネットワーキングイベント等が開催されます。それぞれについて簡単に説明します。

ネットワーキングイベントその1:Ice Breaker

初日である日曜日は、Ice Breaker Receptionがあります。このレセプションでは特にスピーチ等が行われるわけではなく、飲み物とちょっとしたおつまみが提供され、立食形式で参加者が交流する場となっています。ACの重要な目的の一つは、メンバーが顔を合わせて交流することにより相互の信頼関係を構築することですので、翌日から開始するセッションやミーティングの前にIce Breakerに参加し、リピーターは旧交を温め、初参加者も他の参加者と交流できる機会となっています。日本からは毎回そこそこの人数が参加しているので、その関連で知人を紹介してもらえることもあり、初参加でも気軽に色々な人と交流できる雰囲気があります。今回の開催地であるスコットランドのクラフトビールも振舞われていて、とても美味しくて大人気でした。

f:id:smyanda:20190815111910p:plain

講演

月曜日から金曜日まで5日間にわたり、様々な講演が開催されます。午前は招待スピーカーによる基調講演からスタートし、その後は3つのトラックに分かれて、事前審査を通過した内容について発表されます。領域はテクニカルな内容から、マネジメント寄りの内容まで幅広くあります。今回は全体的にIoTに関する発表が多く見られ、複数の基調講演で、IoTに関するサイバーセキュリティをどのように対応していくかという課題について、講演者それぞれの研究分野からのアプローチが示されました。例えば、既に市場に出ているIoT製品について調査を行い、具体的に悪用可能性を指摘して規制当局や消費者に訴えていこうとするアプローチや、英国の食品分野で既に実施されている安全度のラベル分けをIoT製品にも横展開できないか?といった研究内容等が共有されました。各発表内容の取り扱いはTLP (Traffic Light Protocol)*3 で管理されます。基調講演で私にとって最も興味深かった調査内容は、残念ながらTLP:REDで共有不可能でした。プログラムやセッションの概要、また公開されるスライドはウェブサイトから閲覧可能です*4。とはいえ、非公開の情報や、講演者との直接のやりとり、また時に盛り上がるQAもあるので、やはり自分で足を運んで生の情報を得ることはとても有益だと感じています。FIRST ACはセッション数が多く、また今回は時差もあり、後半疲弊してしまうこともありましたが、他の参加者とそれぞれ参加したセッションについて雑談を交えて意見交換などして、情報収集と士気向上に努めました。

f:id:smyanda:20190815121548j:plain

SIGミーティング

Special Interest Groups (SIG) が様々なテーマごとに立ち上げられていて*5、ACの開催中にミーティングが行われます。クローズドの場合もありますので、メンバー以外の参加については要確認となります。活発に活動しているグループもあれば、活動の方向性を模索中のグループもあるように思います。私が参加したIndustrial Control Systems (ICS) に関するディスカッショングループ*6では、今後実施していく内容についての意見交換が行われました。ミーティングによってはオンラインでのリモート参加も可能となっています。

CTF

ICS Simulation and CTFという、ICSのシミュレータを攻撃するCTFイベントが開催されていました。講演の会場とは別の部屋に設置され、参加者は自身のラップトップを持ち込んで参加する形態です。複数のチームが参加して得点を競い合っていました。

f:id:smyanda:20190815122711j:plain

ネットワーキングイベントその2:Banquet Cocktail Reception

水曜日の夜にはACで最大のネットワーキングイベントと言える、Banquet Cocktail Receptionが開催されました。こちらも立食形式で、お食事と飲み物が提供されます。AC参加者だけでなく、申し込めばご家族等も同行可能となっており、大人数で賑わっていました。今回はスコットランドということで、ウイスキーのテイスティングのサービスや、バグパイプがメインとなる人気バンドの演奏があり、大いに盛り上がりました。 中盤の時間帯は会場内の人口密度がとても高く、ちょっとした移動もスムーズにしにくいくらいでしたので、新たな人々との交流には、開始したばかりか、あるいは終わりころといった人が少なめで動きやすい時間帯がやりやすかったと感じています。

f:id:smyanda:20190815121438p:plainf:id:cdi-someya:20190819110015j:plain

アンオフィシャルイベント

オフィシャルなネットワーキングイベントの他にも、オフィシャルにほぼ近いように参加者に認知されている、サッカー、BYOB、フォトウォークといったイベントがあります。それぞれのイベントは毎朝の事務連絡の時間や、ウェブサイト、会場の掲示板等で告知されます。サッカーは毎回どこかしらの会場を借りて、セッション終了後の夜に行われています。BYOBは Bring Your Own Bottleの略で、各参加者がそれぞれ地元のお酒などを持ち寄り、説明してから飲み始める会合です。近年はサッカーイベントと合同で行われているようです。フォトウォークは、カメラ好きの参加者が、会場に近くてフォトジェニックな場所へ移動し、散策しながら個々に写真を撮り、なんとなく分散してご飯を食べて流れ解散する感じのイベントです。セッションの合間とはまた違ったゆるい雰囲気で参加者と交流できるので、打ち解けやすいこともあり、これもこれで貴重な時間となります。

FIRST ACに参加するべきか?

費用については、FIRSTメンバーでもACへの参加費が必要で(スピーカーになると参加費は不要ですが、ルール変更することもあり要確認です)、遠方で開催されることも多いので渡航費等それなりの費用が発生します。期間は丸一週間あるので、職場や家庭での不在中のフォローも必要になってくると思います。そういった負担に加え、「CSIRTメンバーと交流することにより信頼関係を構築」という目的は、達成度を定量化して評価しにくく、参加をためらう組織もあると聞きます。個人的な見解となりますが、セキュリティに関する様々なカンファレンスの中で、FIRSTのACはとても参加者間のネットワーキングがしやすいと感じています。そもそも交流を目的としたカンファレンスのため、前述のようなネットワーキングの機会が多く設定されています。年々参加者が増えて交流しにくくなるという声もありますが、そうはいってもまだ1000人ちょっとの参加者数なので、開催期間中に知り合いと出会うことはそう難しくはないと思います。また、同じ興味や課題を持つ参加者については、テーマに沿ったセッションやSIG等のミーティングで会える可能性が高く、有意義なネットワーキングや意見交換の場となります。様々な研究の権威と言える方々も参加しているので、会話して関係を構築し、また自分たちの取り組みも発信して、継続的に意見交換していく機会として活用できれば、参加する意義があると言えるのではないでしょうか。ACは2021年には福岡での開催が決まっているので、参加を検討している組織はまず福岡に参加して様子を見るのも良いかもしれません。

開催地のエディンバラ

カンファレンスの内容とは関係ありませんが、最後に開催地について少しご紹介します。エディンバラはスコットランドの首都で、岩山の上にエディンバラ城があり、周辺の歴史ある街並みもとても美しいところで、市街はUNESCOの世界遺産に登録されているそうです。会場のEICC (Edinburgh International Conference Centre) からエディンバラ城までは徒歩10-20分程度の距離でした。滞在中はちょこちょこ雨が降り、ダウンジャンパーを着ている人もいるくらいで、東京と比べるとかなり涼しく感じました。6月は夜21時頃まで明るく、また治安も良いので、カンファレンス後に美しい市街を散策して気持ちをリフレッシュすることができました。ビールやウイスキー、フィッシュ&チップスやハギス(Haggis: 羊の内臓を茹でたスコットランドの伝統料理)といった地元のお食事も美味しくて幸せでした。約一週間の滞在となるので、周辺を気楽に散策して飲食しに出かけられることは、多いに有難いことでした。

f:id:smyanda:20190815114448p:plain
f:id:smyanda:20190815121354j:plain
Haggis Tower
f:id:cdi-someya:20190819110356j:plain
BrewDog beers

*1:https://www.first.org/about/

*2:https://www.first.org/about/history

*3:https://www.first.org/tlp/

*4:https://www.first.org/conference/2019/program

*5:https://www.first.org/global/sigs/

*6:https://www.first.org/global/sigs/ics/

HITCON Pacific 2018に参加してきました

こんにちは。情報分析部の橋本です。12/13、14の2日間、台湾の台北で開催されたHITCON Pacific 2018に参加してきました。

f:id:cdi-yhashimoto:20181221000022j:plainf:id:cdi-yhashimoto:20181221001719j:plain

オープニング・基調講演・クロージングを除いて、最大3セッション同時進行で開催されるので、どれか1つを選んで参加することになります。

私もいくつか参加しましたが、本投稿ではその中の1つ、TABLE-TOP EXERCISESについて レポートします。

STRATEGIC TABLE-TOP EXERCISES: Why are they so important for national resilience?

概要

講師はチェコのNational Cyber and Information Security Agencyの二人です。 インシデント発生時の準備としての机上訓練(TTX)の有用性についてと、実際に彼らが作成したシナリオにしたがってTTXを体験してみようというセッションでした。

内容は後述しますが、技術的というよりは、インシデント発生時の意思決定の仕方に重きが置かれている訓練だということ、また、講師が国家機関から来ている人なので、想定しているインシデントの内容が国家レベルであるということが、特徴として挙げられるかと思います。

他のセッションは1コマ分だったんですが、これは初日午後に2コマ分、2日目に5コマ分の結構ボリュームのあるセッションでした。

背景

TTXの世界では、以下の4つの国が登場し、TTX参加者は、下記のうちNicelandのJoint Task Forceのメンバーであるという想定で、インシデントハンドリングしていくことになります。

  • NiceLand
  • Sauronia
  • Nikkon
  • Bonoland

大きく分けて4つのインシデントがあり、さらにその1つ1つに複数の細かいインシデントが起こり、それぞれ発生した順に対応します。

実際の国をモデルにしているようで(TTXで発生するインシデントも)、各国の力関係やら発展してきた歴史やらの説明から、Sauroniaがあの国で、Nikkonがこの国で、というようなことがそこはかとなく感じ取れます。Sauroniaには、国家の支援が疑われるハッカー集団がいるそうです。

背景の説明は、初日の2コマ分の時間で行われました。途中ちょっとしたハプニングがありまして、スピーカーから突然恐らく他のセッションの音声が流れてきて、一時話が中断する場面がありました。講師は苦笑い。私は最初状況が呑み込めず、聴衆の中の誰かが、講師が話しているのをお構いなしに好き勝手質問を始めたのかと思いました。

なお、翌日のTTXに参加するには受付で事前登録が必要で、登録すると下の写真のような資料が貰えました。TTX開始までに目を通す必要があるとのことでした。

f:id:cdi-yhashimoto:20181221100435j:plainf:id:cdi-yhashimoto:20181221100835j:plainf:id:cdi-yhashimoto:20181221100604j:plain
f:id:cdi-yhashimoto:20181221100347j:plainf:id:cdi-yhashimoto:20181221100932j:plain

TTX

ルール

前日の登録時に渡された資料が頭に入っている前提で、本番では、インシデントの内容が書かれた資料を読んで、設問に回答していくといった形式でした。 1チーム最大6人くらいのチームに分かれて、時系列で提示されるインシデントに対してどう対処するかチーム内で話し合って結論を出す、というのがTTXで行う内容です。

私のチームは4人編成で、私以外の3人は全員、名刺に載ってる会社の住所から判断する限り台湾の方たちでした。 TTXのルールは以下のような感じでした。

  1. インシデントを記載した資料はGoogleフォームで提供される。
  2. それぞれのインシデントに対してどう対応したかチームで1つの回答を出す。
  3. 回答もチーム内の1人がGoogleフォームで提出する。
  4. 発生したインシデントの時系列順に回答。A、Bというインシデントがあった場合、Bに対する設問に回答後、戻ってAの設問に回答というやり方は禁止。

上記に従い、各チーム内でディスカッションを通して、合意醸成を行います。

インシデント

TTXの世界では様々なインシデントが発生しました。

  • Nicelandで開催される国際的なスポーツイベントの公式サイトが改ざん
  • Nicelandの経済関連の省庁でマルウェア感染&情報流出
  • Nicelandの半導体の大企業でマルウェア感染&情報流出
  • Niceland北部で大地震発生。災害時に発報されるSMSを騙ったデマ情報が住民へ通知

大きいものを挙げると上記なのですが、それぞれに付随してこまごまインシデントが起こります。

資料には、単なる説明文だけではなく、当該イベントに関連する新聞記事だとか、ツイートだとかも載っていました。

f:id:cdi-yhashimoto:20181221164621p:plainf:id:cdi-yhashimoto:20181221164604p:plainf:id:cdi-yhashimoto:20181221164551p:plain

もちろんこれらはTTX用に準備した架空のものです。

レスポンス

冒頭で述べた通り、技術的というよりは、意思決定の仕方に重きがおかれた設問でした。

公式サイト改ざんの件だと、

  • 「改ざん内容がSauroniaに対して差別的な内容だったので、Sauroniaに対してどの立場の人がどのような説明をするか」

とか、

省庁のマルウェア感染の件の場合、

  • 「マルウェアを開いてしまった職員に処罰を与えるべきかどうか」、
  • 「どの機関を通してマルウェア感染の事実を公表するべきか」

など。

講評

TTXの振り返りでした。出てきたインシデントをお浚いしながら、(元ネタ、というわけではないですが)現実世界で起こった類似のインシデントが紹介されました。

評価としては、クリエイティブでいい意味で面白い回答があり、全チーム「good job」だそうです。

感想

インシデントハンドリングの机上訓練は以前にやったことがあるのですが、このセッションでやったような国家レベルのインシデントを想定したものは初めてで新鮮でした。 対外発表をどうするかとか、普段とは違う視点で答えを出さなければならなかったりと、現職で今後直接役立つかどうかはさておき、なかなか面白かったです。

おまけ

会場への道すがら撮った台湾らしい?写真です。あれだけの数の単車が横並びで事故らないんでしょうか。

Black Hat Europe 2018 Arsenalで発表してきました

情報分析部の中島とアルバイトの野村です。

イギリス、ロンドンで12/3から12/6まで開催されていたBlack Hat Europe 2018のArsenalで発表してきました。

f:id:cdi-nakajima:20181217104704j:plain

Arsenalでは、発表者にブースが提供され、ツールのデモンストレーションを1時間30分程度実施します。 Briefingsとは異なり、公聴者と机を挟んでインタラクティブにやりとりをするため、ツールに対する要望や質問などのフィードバックを非常に多く受けることができました。

tknk_scanner

今回、我々は tknk_scanner というツールを開発し、発表しました。

f:id:cdi-nakajima:20181217104910j:plain

このツールは、マルウェアをアップロードすることで、そのアップロードしたファイルの表層解析情報とそのファミリ名を特定する情報を提供するツールです。 概要をGithubから引用します。

  • Automatic identification and classification of malware
    • Scan the original code of malware with yara.
  • Dumps original code of malware
    • You can easily get the original code.
  • Community-based
    • Integrates multiple Open Source Software and free tools
  • User-friendly Web-UI
    • Users can submit malware and check scan results using the Web-UI.

f:id:cdi-nakajima:20181217104955p:plain

マルウェアはパックや難読化されているケースが多く、シンプルにファイルだけを見てファミリを特定することは難しいです。 そこで、tknk_scannerはマルウェアが実行時にはアンパックされていることを想定し、実行時にメモリ上へ展開されるマルウェアのオリジナルコードをダンプします。ダンプには、OSSのhollows_hunterやフリーツールのprocdumpなどを利用しています。そして、ダンプ結果をyaraでスキャンすることで、そのファミリを特定することを目指します。 また、VirusTotalなどのツールとも連携し、検体に関する情報を利用者に提供します

tknk_scannerのソースコードはnao_secのGitHub (https://github.com/nao-sec/tknk_scanner) で公開しています。

f:id:cdi-nakajima:20181217105130j:plain

おわりに

BlackHat Europeは身近に行ったことのある知人がおらず、規模感や雰囲気などが読めなかったですが、概ねAsiaとUSAの間くらいの規模感であると感じました。 他のArsenalの発表では、Kubernetesのペネトレーションツールや、OSINTを支援するツールなどの近年の流行を意識した発表もあり、手法などの点から大きな学びを得ることができました。 また、個人的に変わった発表として新しいSandboxサービスの発表もありました。Arsenalでは必ずしもツールがOSSである必要はなく、広く公開されるサービスでも大丈夫なようです。

BlackHatのArsenalは"動くもの"での発表が必須なため非常に具体性の高いものを知ることができます。 今後もBlackHat Arsenalは注目していくべきイベントの一つと言えるでしょう。

f:id:cdi-nakajima:20181217105214j:plain (中央はnao_sec創設者です)

株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.