最近TEDやGoogle Zeitgeistなどで精力的に講演しているF-Secureのミッコですが、今週9-10日に東京で開催のPacSecセキュリティコンファレンスにも登場して「標的型スパイ攻撃」について話してくれる予定です。三菱重工、IHIなど防衛産業や衆議院、参議院、総務省などへの標的型サイバースパイ活動が明らかになっている最近の状況を俯瞰する上で、意味のある話が聞けるでしょう。ミッコの今迄の講演では最近のセキュリティ事件の状況から、サイバー犯罪者、ハクティビスト、国家による動き、の3つを重要な論点に挙げていますが、最新の話題も含めた話が聞けそうです。
先週はTokyo Designers Weekでしたが、今週はTokyo Security Weekと呼べそうなほどイベントが目白押しです。今日7日は日本スマートフォンセキュリティフォーラムの成果発表会があります。9-10日のPacSecに続いて12日には、エフセキュアブログ・メンバー福森さんも参加してあのDefcon CTFに出場したSutegoma2の関係者が主催する、日本発のセキュリティコンファレンス「AVTokyo」が開催されるので、こちらでも濃い話題が聞けそうです。また10日夜には日本の政府/民間を横断的につなぐセキュリティコミュニティ「WaiGaya」の集まりも企画されているようです。11日にはやはりエフセキュアブログ・メンバー鵜飼さんのFourteen Fortyのセミナーもありますね。
アメリカなど海外のコンファレンスに行くには旅費・宿泊費を足して行くとけっこうな金額になるので、このような国際的なセキュリティイベントが日本で増えれば、勉強したりネットワーキングできる機会が増えるので良い事です。
みなさんはどのイベントに参加されますか?
ちなみにPacSecでの他の講演者も含めた内容はこんな感じです↓ 私も運営に参加していますが、講演内容は日本の状況も考慮して選ぶようにされています。
11月9日
・ Mikko Hypponen ミッコ・ヒッポネン
Targeted Espionage Attacks 「標的型スパイ攻撃」
国家がスポンサーするオンライン・スパイ活動は企業や国家安全保障の脅威として増大しています。量が増えているだけでなく、テクニックも高度化しています。最新のデータと現実の事例から標的型攻撃がどのように運用され誰が標的にされるか、どのように防衛するかを検討します。
・ Eric Filiol エリック・フィリョル
Dynamic cryptographic trapdoors to take over the TOR network 「ダイナミック暗号トラップドアによるTORネットワークの乗っ取り」
TORネットワークは匿名化したインターネット・アクセスを可能にし、監視が行われている環境からの通信を保護できることから、今年前半から起きているエジプトやリビヤ、イランなど中東と北アフリカでの民主化運動で広く使われています。TORの通信は多重暗号化で守られていますが、ダイナミック暗号トラップドアにより乗っ取れる可能性があることを解説します。
・ Marat Vyshegorodtsev マラット・ヴィシェゴロデツェフ
Cracking the perimeter through the weakest link: the human 「セキュリティ境界線をクラックする最も弱いリンク : 人間」
大企業のシステム・インフラへ、ソーシャルなコンポーネントの脆弱性を使って入り込む手法について紹介します。whoisやDNSやソーシャルネットワークやGoogleを使った自動化した情報収集し、メールアドレスを列挙し、ソーシャルエンジニアリング経由でペイロードを送り込むコンセプトについてや、内部をペンテストの要点やデータ収集とプロセシングなどについて解説します。
・ Ruo Ando (安藤 類央), 独立行政法人 情報通信研究機構
Rapid and Massive monitoring of DHT: crawling 10 millions of nodes in 24 hours「DHTの迅速で膨大なモニタリング : 24時間以内に1000万ノードの情報をクローリングする」
BitTorrentはファイル共有アプリケーションとして代表的なものになりつつありますが、ネットワークは大規模かつ広域にわたるため、ファイルの分布状況やノードの接続状況は観測されていません。同様に、セキュリティ侵害や潜在的なセキュリティ脅威についても明らかになっていません。我々はDHTクローリングを用いてこの問題に挑戦します。また、仮想化技術とKVS技術を用いて観測結果を処理します。我々は24時間以内に1000万ノードの情報を取得することに成功しました。観測システムは高粒度な集計情報、不正利用を解析するためのドメイン情報、可視化のための情報を出力可能であり、解析結果を報告します。
・ Aaron Portnoy (アーロン・ポートノイ), Tipping Point / HP Zeroday Institute
Black Box Auditing Adove Shockwave 「Shockwaveのブラックボックス的監査」(仮タイトル)
Shockwaveに関する研究、大規模なコードベースの分析でのファジングなどのツールや手法について紹介します。
11月10日
・ David Thiel (デヴィッド・シール), iSec Partners
Secure Development on iOS 「iOSでのセキュアな開発」
セキュアなiOSでのアプリケーション開発についての情報とペネトレーションテストについて紹介します。Objective-C/Cocoaの性格やApple社が提供するセキュリティAPI、iOSアプリ設計での陥りがちな間違い、iOS使用の携帯デバイス特有のセキュリティリスク、オーディットやペンテストについて解説します。
・ Tsukasa Oi 大居 司
How Security Broken? : Android Internals and Malware Infection Possibility 「How Security Broken? : Androidの内部構造とマルウェア感染の可能性」
日本のスマートフォン用 OS マーケットシェアにおいてAndroid が首位を獲得したことが報道されるなど、Android のセキュリティはとても重要になっています。Android が Linux カーネルをベースにしているのはよく知られていますが、セキュリティメカニズムは通常の Linux 環境とかなり異なります。Android の内部構造 (Zygote, プリリンク, インテントやその他保護機構) とこれらによる脆弱性攻撃の可能性、そして、現在のモバイルセキュリティソフトウェアが端末全体を守ることができず、対してマルウェアは幾つかの方法でシステムを乗っ取ることができる事実に関して解説、報告します。
・ Stephane Duverger (ステファン・ダヴァルガー), EADS Innovation Works,
Ramooflax, pre-boot virtualization 「Ramooflax, プリブート仮想化」
Ramooflaxは一から叩き上げで構築されたハイパーバイザーで、IntelとAMDのCPUにあるハードウェア仮想化拡張を基にしています。このツールの目的は、物理的なマシンにばらばらにインストールされたソフトウェアの分析環境を提供することです。それらは、OSや、今迄の仮想化ソリューションではエミュレートが難しかった'現実'のハードウェアのドライバーや、現実に動いているBIOSなどです。物理的なマシンは、ブートプロセスの間に仮想化され、Pythonのフレームワークによってリモートにコントロールされます。このプレゼンテーションでは、コンセプトの提示とツールのアーキテクチャーを示しますが、ハードウェア仮想化拡張を使う場合の経験や特にBIOSの仮想化の試行でぶつかる限界ついてもお話します。
・ Ulysses Wang + Nick Guo (ユリシス・ワン + ニック・グォ), Websense
A New Approach to Automated JavaScript De-obfuscation 「JavaScriptの難読化解読を自動化する新しいアプローチ」
ウィルスの進化はPEパッカーの組込まれた事に見られますが、悪意のあるウェブ攻撃も同様に検出を回避するための難読化を導入しています。最近では悪意のあるJavaScriptの90%以上は難読化が施され、悪意のあるペイロードがエクスプロイット・キットによって使われるような攻撃や、ウェブサイトのインジェクションや、APTに使われるJavaScriptをエンベッドした書類などはJavaScrip難読化を使い放題です。さらにサイバー犯罪者は、コンテンツの難読化解読に対抗する戦術や、Ajaxやブラウザーチェックや分断したJavaScriptなどの戦術を使います。しかしリアルタイムでJavaScriptの難読化解読をしようとするのは、PEをアンパックするよりもずっと複雑です。このプレゼンテーションでは、悪意のある難読化のトレンドを調査し、JavaScript難読化によって使われる解読回避テクニックを細かく見直し、JavaScript難読化をリアルタイムで解読するの新しいソリューションを提示します。
・ Long Le + Thanh Nguyen ロン・リー + タナ・ニュエン
ARM Exploitation ROPmap 「ARM攻略のROPmap」
たくさんのスマートフォンやタブレットの普及により、ARMプロセッサーがエクスプロイットのメインストリームになるのは疑いありません。しかしARM用の公開されたROPツールキットについては、ハッカー達が密かに所持しているためなのかまだ話題がありません。x86 ROPツールキットをARMに拡張し、ROPシェルコードによってガジェットをチェインにして複雑な動作を実行する手法や、ARMサポート付ROPMEツールを紹介します。BlackHat USA2011でのARM攻略ROPmapプレゼンターが来日アップデート。