私もこっそり、先日のフェイさんのポストにあった、AVAR2009(Association of anti Virus Asia Researchers International Conference)へ参加してきました。ウイルスに特化したカンファレンスへは初参加だったので、色々新鮮でした。

残念ながら、F-Secureの方を会えませんでした。
#F-Secure以外のAVベンダーの方々との交流はありましたが(笑)

クラウド以外の内容ですと、日本人の発表はオリジナル性が高く好評だったように思います。

日本コンピュータセキュリティリサーチの岩本さんによるマルウェアの特徴抽出と分類に関する講演は、オリジナルと亜種がどの程度異なるのか数値化するといった内容。その際に利用される図は生物や進化系統樹に似ており、その考え方も生物学みたいだなと思っていましたら、講演後にお話を伺うと、DNAの距離(違い?)の考え方を応用したのだそうです。

もうひとつ興味深かったのが、シマンテックの末長さんによるIDA proを用いての難読化されたAPIの解析手法の紹介です。難読化されたAPIをIDC scripotを用いての解析方法の説明なのですが、その内容は非常に具体的且つ実践的。講演後にお話を伺いますと、IDC script生成ツールを作成したことが今回のポイントだそうで、そのためのアイデアを提供したとのこと。
#とはいうものの、末永さんは3年がかりで作ったそうです・・・
他のセッションでは具体的な話が少なかったため、本セッションは技術者ウケが良かったように思います。(たぶん)
まだまだ発展しそうな話でしたので、今後も楽しみです。

また、星澤さんの発表が予定されていましたが、"リアル"ウイルスに感染した可能性があるとのことでいらっしゃいませんでした。
代わりに神薗さんがお話されていました。近年のDrive by Downloadを利用するマルウェアの攻撃手法とそれに対する検知技術の話です。ブラックリストによる防御が限界に達している現在、次の検知技術が研究されていますが、本講演も色々参考になるところが多かったです。

技術的な話の他に印象的であったのが、ESETの「Goodware」「Policeware」の事例紹介です。
これは海外の警察(FBIとか)がサイバー犯罪者を逮捕するために、裁判所の許可を得て合法的にマルウェアを仕掛けるというもの。例えば、重要な証拠となり得るファイルの暗号化を解くために、容疑者に対し中間者攻撃を仕掛け、キーロガーをインストールしパスワード等を盗むのだそうだ。AVベンダーに検知しないように依頼したり、OS開発ベンダーにドライバーに組込んで欲しいなど頼むことがあるそうだが、道徳的・倫理的に問題があるとのことで、殆ど断られるとのこと。
#それはそうですよね・・・

フェイさんが晩餐会の模様を載せているので、私も。。。

avar2009_1