サイバーディフェンス研究所では共にサイバーセキュリティの未来を切り拓いていく仲間を募集しています。セキュリティ業界の最先端で活躍する弊社エンジニアの生の声をお届けするインタビュー企画第1弾は期待の若手脅威リサーチャー、川上さんにお話を伺いました。
こんにちは川上さん。早速ですが入社のきっかけについて教えてください。
以前テレビの再放送か何かでサイバーディフェンスの専務理事である名和さんがNHKの「プロフェッショナル 仕事の流儀」で取り上げられていたのを見たのがきっかけです。当時はセキュリティエンジニアという仕事があることも知らず、番組を見た後どうやったらそのスキルを磨けるのか必死に調べた記憶があります。
テレビ番組がきっかけだったんですね。いつ頃のお話しでしょうか?
学生時代です。当時はマルウェア解析の書籍や公開されているレポートを読みつつ自分でその解析結果を再現できるか試したりして、基本的なツールの使い方や解析する際のポイントを勉強したりしていました。
何がきっかけでサイバーディフェンスに入社することになったのですか?
1年くらいは独学でサイバーセキュリティの勉強をしていたんですけどにっちもさっちもいかないので、調べたり学んだことをブログに書いたりしていました。そして在学時の先輩にそれを技術力の担保として売り込んでみたらサイバーディフェンスに採用されるかもよと言われたのがきっかけですね。
先輩はサイバーディフェンスの社員の方とCTFを通じて繋がりがあったので、今バイトを募集しているか聞いてくれたんです。
最初はアルバイトでサイバーディフェンスに入ったんですね!
はい、1年半から2年ぐらいやっていて、ずっとマルウェアの解析とかマルウェアを検知するためのYARAルールを書いてました。
脅威インテリジェンスやCTFの分野に強い先輩がいることや、マルウェア解析や脅威リサーチを仕事にできるとなるとサイバーディフェンス以外にほとんど選択肢がなかったことが決め手で正社員になりました。
サイバーディフェンスでは情報分析グループに所属してらっしゃいますが、これまでで楽しかった仕事について教えてください。
中国・北朝鮮・ロシアのAPTアクターのアトリビューションについてかなり時代を遡って調べることがあったのですが、最新の情報をキャッチアップできたのと、どういった点が帰属につながるのか包括的に知ることができて面白かったですね。
他にも暗号化されたPCのフォレンジック依頼に対して実際に使用されたマルウェアを解析して、その解析結果をもとに復号スクリプトを作成して無事復号まで持っていけたことや、ブートキット(OSがロードされる前にコードを実行できるマルウェア)を実際に実装してみたことは非常に勉強になりました。
でも自分は一年目かつ前年度からの続いている案件が多かったということもあり、率先して出張るということはあまりなく、先輩方がある程度リサーチやレポートの方針を固めてくれてその中でできる範囲を自分がやるってことが多かったです。実質OJTというか先輩リサーチャーのやり方を見ていましたね。このあたり、今年はもっとプレゼンスを発揮できるよう頑張りたいですね。
なるほど、とはいえ入社1年目から色々な経験をしているんですね。
ちゃんと仕事をこなして売上を出していれば好きなリサーチなど何をやっていてもいい雰囲気がこの会社にはあるので(笑)
先輩リサーチャーの業務を見ていて得られるものは大きかったですか?
大きいですね。学生の頃はマルウェア解析して終わりという認識が強く、CTFのような一問一答のような感覚でした。先輩が帰属やハンティングまで見据えてリサーチしているのを見てこの1年でかなり意識が変わりました。
業務を行ううえでの日課とかありますか?
案件の入り具合にもよりますが、朝起きたらとりあえずFeedlyなどで収集しているセキュリティ関連のニュースやレポートなどが出ていないかチェックして、深堀りできそうなら実際に検体を取得して調べたりしています。
そのほか公開レポートの裏どりや誰も言及していない他のレポート間との関連がないかなどを見ていますね。
川上さん自身が今後の業務で取り組んでいきたいことを教えてください。
APTなどの脅威リサーチが業務のメインなので、それを踏まえてマルウェア解析分野で活躍することですね。特にAPTが使うマルウェアの帰属分析に関してはコードやインフラの重複などの点からまだまだ深められる部分があると感じています。うちはテレメトリを持っていないので、いかに既存の分析で明らかにされていないアクター間の重複を見つけてくるか、VirusTotalを使って新鮮な検体を見つけてくるかというのが重要だと思います。
他にもCTIのナレッジプラットフォームの開発など自分が分析に使えるツールの開発というのも面白そうだなと思っています。
新卒で入社される社員の方に期待していることはありますか?
これは自分の課題でもあるんですけど、ヒューマンレイヤでのネットワーキング力ですね。大なり小なりセキュリティに関する熱意やモチベーションはあって、技術的な自走力はあると思うんですが、やはり自分の調査だけではカバーできない他アナリストとの情報共有でしか得られないものはあると思っています。
過去の自分にCTFやったり某セキュリティキャンプに参加したり某connpassとかで勉強会に参加したりして積極的に技術仲間と関わっておけと言いたいです。
あと、自分が関わっている脅威インテリジェンスの分野では調査と検証のサイクルを継続的に回せることが大事だと思ってます。攻撃者が意図せず公開してしまったC2サーバを見つけてきたり、過去に報告されているコードとの類似やインフラの共有なんかを一人で見つけられる人は強いです。
最後に、サイバーセキュリティ分野を目指したい学生に一言お願いします。
昨今は(自分が勉強を始めた時もそうでしたが)マルウェア解析やリサーチ系の書籍・レポートが充実しているので、まずは1冊買って取り組んでみるのが手っ取り早いです。
また、自分でビルドしたバイナリを逆アセンブラやデコンパイラで開いてみて、高級言語がどのように表現されるのかをたくさん見てみる。そしてそれがOS上でどのように呼び出されて実行されるのかなんとなくのイメージをつかむところから始めてみるのがいいように思います。そしてバイナリに対してフックやパッチを行って自由自在にバイナリを改変・挙動を制御できるようになると楽しくなってくると思います。
本日はありがとうございました。
ありがとうございました。
| 川上瞭之介 株式会社サイバーディフェンス研究所でマルウェア解析、インシデントレスポンス、脅威リサーチ業務に従事。マルウェアのリバースエンジニアリングとその攻撃技術の実装に興味があり。JSAC2024 登壇 |
|---|
サイバーディフェンス研究所は、新卒、第二新卒、中途の採用を常時行っています。 応募、カジュアル面談の申し込み、採用や選考に関する質問や相談は、弊社ウェブサイトのお問い合わせフォームやXのDMなどでお気軽にどうぞ!
