エフセキュアブログ

韓国 を含む記事

THE FIGHT AGAINST CYBERCRIME

 みなさん、こんにちは。Rakuten-CERTの福本です。
ちょっと前の話です。今年6月の韓国でのFISRTカンファレンスで、とある方と情報交換をしてある気づきを得たのですが、今日はその話をしたいと思います。

 近年、僕らはインターネットセキュリティ対策に関する業務よりも、サイバー犯罪対応の業務のウェイトの方が多くなっているという事実を真剣に考えないといけません。実際、楽天でもその傾向が顕著に出ています。昨年末の沖縄のCyber3 Conferenceでインターポールの中谷さんも仰ってましたが、犯罪がフィジカルからインターネットに大きくシフトしています。中谷さんいわく、イギリスの(物理的な)銀行強盗は1992年に800件ほどあったそうですが、2014年には88件に減少したとのことです。一方で金融被害は飛躍的に増えていると。命をかけて刃物や拳銃で銀行を襲うよりも、国をまたいだインターネット経由の犯罪行為(不正送金マルウェアとか)の方が犯罪者としてはより安全なわけですから。

 楽天も、これまでの常識を遥かに超える数、いわゆるリスト型アカウントハッキングによる不正ログイン試行を観測しており、そのため楽天では数年前にサイバー犯罪対策室を設置し、不正ログイン試行や不正利用モニタリング、そして警察への対応を強化していて、サイバー犯罪の犯人逮捕にも惜しみない協力をしています。サイバー犯罪担当の警察官の研修受け入れについても、来年も積極的に実施する予定です。これまでは犯人逮捕というアクションはあまり力を入れてこなかったのですが、今は事情が全く逆です。警察側もサイバー犯罪は無視する事が出来ないものとなりかなり力が入っています。では、犯罪の温床を叩く意味について、2014年11月の中継サーバー業者の逮捕後の楽天での不正ログイン試行の状況を見てみましょう。(すいません、実数は非公開で・・)

login

 実際、不正業者の逮捕後は攻撃は激減しました。

 インターネットサービス企業において、セキュリティ技術や対策プロセス、人材育成と教育、という基本的なアプローチだけではもはや守りきれなく、事後対応能力も高めなくてはなりません。(注:プロアクティブセキュリティはきちんとやるのは大前提で)CSIRTの活動を通じた外部組織とのインシデント対応力だけではなく、犯人を追いつめて犯罪行為を牽制する力も必要です。何もしなければ犯罪し放題ですから。ですので、渉外対応やスレットインテリジェンス、Fraud分析あたりはこれから重要なキーワードになると思います。ちなみにSGR2016ではそのあたりのお話をさせて頂きました。

 また、最近では楽天を装った偽サイトは6000件、楽天を装ったフィッシングメールもかなり増えています。これらは別に新しい攻撃というわけではなく昔からあるユーザーを狙った金銭目的のサイバー犯罪ですが、激しさを増しているところに違いがあります。既にやっているユーザーへの啓発や注意喚起だけでは限界があり、大事なユーザーをどう守っていくか、それが今後のインターネットサービスの発展にとって重要な事であり、また業界全体で取り組む必要がある大きな課題なのかなと思います。さらに言うとこれがIoTの発展に伴ってサイバー犯罪は大きな問題となるはずで(特にランサムウェアはお金になりそうでやばい)、犯罪者にやりたい放題されないよう、インターネットの向こう側にいる犯罪者と戦っていかないといけないと、僕は思うのです。   

今年度のCTFを無双した韓国チーム、その強さの秘密

DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。

bob1
BoBのWebサイトに記載されている基本的なコンセプト

先日、その養成所に講師として呼ばれ、六日間の特別講義をする機会に恵まれましたので、その一端を紹介したいと思います。私が担当したのは30人から10人に絞り込むステージです。
続きを読む

#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは

  Wassenaarアレンジメントに対して、主にアメリカのセキュリティ業界はここ2ヶ月の間静かに大騒ぎしていた。アメリカ商務省がドラフトを書いた、この国際合意への「Intrusion Software」追加の提案の影響は、マルウェアのサンプルだけででなく今後報告されるであろうゼロデイ・エクスプロイットや、最近盛んになってきている多数の脆弱性発見報奨プログラムにも及ぶだろうからだ。またこの改訂に含まれる要件は、出身国が多様なセキュリティ研究者に影響を与え得る。この改訂によると「Intrusion Software」の輸出を行う事業者は輸出事業者免許を取得することが必要になるからだ。

  Wassenaarアレンジメントとは、もともとは兵器と関連品の輸出入管理についての多国間の合意だった。しかし2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発したサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、「ソフトウェア兵器」にあたるものの規制として「Intrusion Software」がそこへ加えられることになったのだ。ところが、その定義と規制が広過ぎることから今回の騒動が始まったといえる。

  F-Secureのショーン・サリバンが6月9日のポストでアンチウィルス・ベンターとしてのWassenaarへの懸念を書いていたが、影響する範囲はもっと広い。ショーンは「Intrusion Software」の定義にマルウェアが当てはまると指摘していたが、ゼロデイ・エクスプロイットもこの定義に該当することになるはずだからだ。 

  そして「Intrusion Software」の輸出を行う事業者はその国の輸出事業者免許を取得することが必要になるとすると、脆弱性発見報奨プログラムへの報告を行おうとするセキュリティ研究者も輸出事業者免許の取得が必要なのだろうか? 多くのセキュリティ研究者は個人やたった数人のグループなのだが? もし研究者のグループが複数の国籍者の集まりならばどうなるのか? 輸出事業者免許の取得にはいったい幾らかかるのか? また逆に、先月から話題になっているイタリアの「Hacking Team」のようなハッキングを販売する企業が輸出事業者免許を取得することは禁止できるのか?

  このWassenaarアレンジメントの改訂は有害なパラドックスも引き起こしうる。「Intrusion Software」であっても公知の状態に公開されたテクノロジーならば除外対象になるとされているのだが、ならばゼロデイを発見した研究者は、いきなり公表することはできるが、まずメーカーに通知し修正が済んだ時期まで待ってから公表するという「責任あるディスクロージャー」として長年にわたり定着しているプラクティスは輸出事業者免許を取得しない限り行えないことになる。

  Wassenaarの現状の参加国は次のような顔ぶれだが、アジアからは日本と韓国だけが参加している。しかし中国やマレーシアのセキュリティ研究者からレベルの高い報告が為されている現状を見るならば、非Wassenaar参加国からWassenaar参加国への「Intrusion Software」の移動はどう扱われるべきなのか? :
 Argentina, Australia, Austria, Belgium, Bulgaria, Canada, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Republic of Korea, Romania, Russian Federation, Slovakia, Slovenia, South Africa, Spain, Sweden, Switzerland, Turkey, Ukraine, United Kingdom, United States

  アメリカ商務省は、Wassenaarの「Intrusion Software」追加に関するパブリックコメントを7月20日まで受付ていたので、この2ヶ月のあいだ意見を送る啓蒙活動が起きていた。Wired誌は7月16日に、脆弱性バウンティプログラムを運営するHackerOneのチーフポリシーオフィサーKaite Moussourisによる事態の詳細を解説する寄稿を掲載した。(彼女は以前Microsoftのセキュリティ・レスポンスセンター(MSRC)にて脆弱性バウンティプログラムを立ち上げた人である)

  Wassenaarに関するパブリックコメントには、実際にアメリカの多数のセキュリティ・防衛産業企業からのコメントがあった模様だ。(Raytheon社などは「夏休み中にWassenaarを施行しないでくれ」というコメントだったらしい噂もあったが)

  エレクトロニック・フロンティア・ファウンデーション(EFF)では対応チームを作り、Center for Democracy and TechnologyやHuman Rights Watchなど6つの団体と連合を組んで啓蒙活動を行っていた。

  それらのパブリックコメントやEFFなどの活動は商務省へそれなりの影響を起こしたようで、Wassenaarの文面は現状のドラフトから書き換え中で新バージョンは「かなり変わることになる」との発言が商務省関係者からあったとのニュースが7月29日に出た。

  しかしWassenaar改訂案文面の新バージョンがかなり変わることになるとしても、実際の文面を見るまでは予断を許さないだろう。また第2回目のパブリックコメントが行われるだろうという説もある。

  Wassenaarについては、Blach Hat USAの8月6日と、その後続いて開催されるDefconの8月8日10:00am Track3にセッションが予定されている。セキュリティ関係者は議論の動向に注目しよう。

TEDトークをあなたの言語で

 TED.COM上の全トークはさまざまな言語に翻訳されている。すべてはボランティアのTED翻訳者によって行われているものだ。

TEDx

 今のところ、NSAの監視に関する私のトークは、次の言語に翻訳されている。

 オランダ語
 フィンランド語
 フランス語
 ドイツ語
 ギリシャ語
 ヘブライ語
 ハンガリー語
 インドネシア語
 イタリア語
 韓国語
 ペルシア語
 ブラジルポルトガル語
 ルーマニア語
 スペイン語

 実際には、さらに16カ国語への翻訳が進行中だ。

 私のブリュッセルでのトークを翻訳し、レビューをしてくれた次の方々に感謝したい。Els De Keyser、Petra van der Burg、Sami Andberg、Gemma Lee、남준 김、Leslie Louradour、Mira Kraimia、Stefanie Ramcke、Julia-Carolin Zeng、Chryssa Rapessi、Dimitra Papageorgiou、Shlomo Adam、Ido Dekkers、Mariann Buzas、Laszlo Kereszturi、Gustavo Rocha、Mariana Yonamine、Dewi Barnas、Arief Rakhman、Anna Cristiana Minoli、Alessandra Tadiotto、Maryam Manzoori、Amirpouya Ghaemiyan、Doina Zamfirescu、Ariana Bleau Lugo、Ciro Gomez、Lidia Camara de la Fuente、そしてこれから翻訳に携わる皆さん。

 ありがとう、メリークリスマス!
 ミッコ

韓国とスターバックスとAndroid/Smsilence

 数週間前、マカフィーの研究者Michael Zhang氏が、韓国の電話機だけを標的としたAndroidのトロイの木馬を分析した。これはSmsilenceと呼ばれ、「スターバックスクーポン」アプリなどを餌にしている(例:starbug.apk)。

 以下は、電話番号をチェックして国コードが+82のものを探している部分だ。

Smsilence

 Zhang氏のポストに詳細は含まれていないが、SMSの転送先のURLやIPアドレスは香港と関連がある。

 そしてこの地域で進行中の政治的な緊張を考えると…韓国の電話機だけを特化して狙い、中国へと情報を転送するトロイの木馬とは…気がかりだ。

SHA1:04d58cbe352ba98d50510b661091bac5852fe7f4

システム破壊の本当の目的は?

韓国でのサイバー攻撃被害が話題です。ATMネットワークへの侵入方法や、その目的など不明な点があり、全容解明にはもう少し時間がかかりそうです。 特に韓国へのワイパー攻撃の歴史でも触れられた、MBR領域、ファイルシステム領域の上書き操作については非常に興味深いところです。

一見、韓国国内の混乱を狙った攻撃であるとの見方が強いようですが、本当の目的は意外なものかもしれません。そこで、このようなシステム破壊行為をする場合、その目的を3つ考えてみました。
 
(1)利用者への妨害のため(脅迫、愉快犯、テロ、etc)
(2)証拠を隠蔽したいため
(3)注目を集めたいため(注意を逸らしたいため)

今回のような大々的な事件となりますと、(1)のケースが思い浮かべてしまいます。しかし、(2)(3)のケースも想定すべきことのように思います。

実際に(2)はしばしば目にします。攻撃者が目的を達成し、自身の痕跡を消したい場合に行います。この場合はMBR領域の破壊くらいが一般的です。一見、OSの障害に見せかけ、利用者に復旧を促す際に行われることがあります。下図はMBR領域が破壊された端末から確認された攻撃者の操作痕跡です。

kill_os

この場合はこっそりと操作しないと意味がありませんので、今回の韓国のケースには当てはまらなそうですが。。。
次に(3)ですが、注目を集めたいので派手に破壊する必要がありそうです。本来の目的が目立つものであればあるほど、注意を逸らすために大きな花火を打ち上げる必要があります。
本当のところは全く分かりませんが、何となく(3)を勘ぐってしまいます。考え過ぎでしょうかね?
しばらく、韓国のニュースから目が離せませんね!

韓国へのワイパー攻撃の歴史

2013年3月20日 14時、韓国の放送局や銀行に対してサイバー攻撃と思われる事態が発生し、約32000台のマシンが攻撃の被害に遭ったと言われています。今回の攻撃に使用されたマルウェアに感染するとハードディスクの内容が消去され、OSが起動不能になる仕組みになっていました。実は韓国では似たような事件が2009年と2011年にも起こっています。ただ、過去2回の事例はDDoS攻撃を行った後に、証拠隠滅を目的としてハードディスクを消去したのではないかと言われているのに対し、今回はDDoS攻撃のようなことは確認されておりませんので犯人の意図は不明です。

参考までに、ハードディスク消去の手口という観点から過去2回の事例との違いを紹介します。事例はWindows XPのものです。
攻撃を受けた後のハードディスクの状態を色分けして表示していまして、だいたい以下のように分類しています。

赤色:文字列等、表示可能なデータ
青色:制御文字
黒色:その他のデータ
白色:0(NULL文字)
黄色:攻撃によって上書きされたデータ

2009年の事例
ディスクの先頭から1MBが意味のない文字列で上書きされます。先頭には「Memory of the Independent Day」というメッセージ、そのあとは「U」が連続して書き込まれます。
特定の拡張子のファイルが消去されますが、ドキュメント系のファイルが主な消去対象ですので、画像や実行ファイル等は生き残ります。
ディスクの先頭(MBR+α)が上書きされますのでOSの起動はできませんが、データ部分は生きていますので一部のデータを復旧することは可能です。

wiper2009image

2011年の事例
ディスクが0で上書きされます。片っ端から上書きしていくので、途中でOS自身が実行不能となりブルースクリーンになります。ここまでされるとデータの復旧は困難です。

wiper2011image

wiperbod2011

2013年の事例
ディスクの先頭が「PRINCPES」という文字列で上書きされ、VBRとデータ領域が一定間隔で「PRINCIPES」という文字列で上書きされます。暗い黄色の部分がMBRとVBRです。OSの起動はできませんが、運良く上書きされなかったデータは生きていますので復旧することは可能です。

wiper2013image

過去2回の犯人と今回の犯人が同一であろうとなかろうと、ディスクを消去するという点において手口が酷似していることは間違いないことから、少なくとも2013年の犯人は過去2回の事例を認識した上で攻撃をしているはずです。完全に修復不能にしようと思えばできたのにも関わらずそうしなかった。その理由を今後も継続調査していきます。

韓国のワイパー攻撃の背後にWhois?

 報道によれば、先週、韓国企業をワイパーマルウェアが襲った際に、韓国LGユープラス社のWebサイトも書き換えられていたとのことだ。

 以下はThe Registerからの引用だ。

The Register Report

 事件の関係者によれば、ワイパー攻撃の加害者として「Whois Team」に嫌疑がかけられている。ただしこれにはいまだ議論がある。

 Ars Technicaから以下を引用する。

Ars Technica Report

 我々が昨日、ワイパーのサンプル群を見て回ったところ、感染したシステム内のWebドキュメント(「.html」「.aspx」「.php」など)を検索するルーチンが含まれるバリアントを検出した。このマルウェアはこうしたドキュメントを、以下の動画とまったく同じように見えるドキュメントへ上書きする。



 このサンプルは、LGユープラス社のWebサイトの書き換えに用いられたものと明らかに関連があると考えている。

 当該サンプルには、他のワイパーのサンプルと同様のタイムスタンプがある。

 昨日の投稿にあったDLLワイパーのサンプルのタイムスタンプは次のようになっている。

DLL Wiper Timestamp

 書き換えを行ったワイパーのサンプルのタイムスタンプは以下だ。

Defacer-wiper Timestamp

 ただし、後者のバリアントではドライブの消去にまったく異なる方法を用いていた。こちらはMBR(Master Boot Record)に以下のコードを感染させ、次回起動した時にディスクを消去する。

Bootstrap Wiper

 また他のバリアントと異なり、このサンプルはファイルシステムを消去する際に「HASTATI」「PRINCIPES」といった文字列を用いていない。ファイルを「0」で上書きし、ランダムなファイル名に変更してから最終的にファイルを消去している。またWindowsとProgram Filesディレクトリ内で見つかったファイルは回避する。攻撃者は上書きしたページで感染したWebサーバを提供し続けたかったわけなので、これですべて意味が通る。

 では、攻撃同士が関連していると思われるか?関連しているというのが、もっともあり得る。これは別の攻撃メンバーによって実行されただけだ。

韓国のワイパーとスピアフィッシングのメール

 先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。

 では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。

Archive

 アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。

 鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。

 当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。

HTML decoy document

 バックグラウンドでは、マルウェアが以下をダウンロードして実行する。

   hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
   %systemdirectory%\hzcompl.dllとして保存

   hxxp://www.clickflower.net/board/images/start_car.gif
   %systemdirectory%\%random%.dllとして保存

   hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
   %systemdirectory%\sotd.dllとして保存

 他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。

 我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。

 ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。

Time trigger

 上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。

 スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。

 RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。

ここがヘンだよ、日本のCTF

韓国で開催されているCODEGATE CTFでは、韓国内のセキュリティ技術者と海外技術者との交流を促進するため、今年はDEFCON CTF優勝チームをCTF決勝戦に招待しました。技術者の心をよく理解した、素晴らしい試みだと思います。

現に、CODEGATEでの過去の優勝チームはロシア、アメリカ、スウェーデンと国際色豊かです。毎年、少なくない金額の賞金を海外チームに持っていかれてますが、韓国の技術者にとっては大きな刺激になっています。

codegate2013
予選通過した国は、アメリカ、スイス、ロシア、スウェーデン、日本、チュニジア、スペイン、それにもちろん韓国を加えた8カ国、11チーム。

一方その頃日本では、CTFを知らない人たちによって、作為的に海外からの参加者を閉め出したCTF(らしきもの)が多額の税金を投入して開催されましたとさ。

世界のCTFから

DEFCON CTFに向けて鍛錬を続ける日々ですが、トレーニングも兼ねて私が所属するチームsutegoma2は世界各地で行われるCTFにも参加しています。その中で予選を突破し、決勝に進むことができたCTFの中から、決勝戦の様子を紹介します。

CODEGATE YUT
韓国で開催されているCTFであり、韓国の伝統的なゲームであるユンノリをベースに試合が行われます。ユンノリは日本でいうとスゴロクのようなものです。単に問題を解くだけでなく、何マス進めるかといった戦略や、運が試合を左右することもあります。韓国の伝統文化を世界に紹介するよい機会になっていると思います。DEFCON CTFと違い、CTF中の食事や交通費の補助が提供されており、世界中から優秀なチームを集めるんだという意思を感じます。

codegate

Nuit du Hack
フランスで行われたCTFで、主催者曰く、「現実に近い形式にこだわっている」そうで、攻防戦形式で行われ、DoSも可という珍しいルールです。実際に、試合の途中で問題を解くことよりもDoSの応酬合戦が激しくなり、結局主催者側のサーバがダウンしました。さらに運営側に問題があり、ダウンしたサーバが復旧不可能という事態に陥り、終了予定時間を待たずして試合続行不可能となり、そのまま終了しました。なんともお粗末なCTFでしたが、サーバをダウンさせるだけなら簡単であり、クラウドの脆弱さを証明したCTFでもありました。

ndh

SECUINSIDE
こちらも韓国で行われたCTFです。過去には攻防戦形式で行われたこともあるそうですが、2012年の決勝はクイズ形式で行われました。特徴は得点の加算方式にあります。一般的なCTFでは問題の難易度を主催者側が検討し、難易度に応じて得点が決められています。それに対して、SECUINSIDEでは問題を解いたチームの数が多いと各問題の得点が下がるようになっています。つまり、問題の難易度は解答チーム数によって決まるので、合理的とも言えます。しかしその一方で試合が終了するまで順位がわからないという欠点もあります。試合終了後に集計が行われて最終順位が決定するので、意外な大逆転というのが起こります。今回、sutegoma2は試合終了3分前に解答し、5位で試合を終えましたが、集計が終わってみると3位という大逆転を起こしました。

secuinside

他にも世界中で様々なCTFが開催されており、CTFの広がりを実感するのと同時に各国とも情報セキュリティに力を入れていることを肌で感じます。そんな中、やはり強い国はアメリカとロシアです。最近のCTF業界ではこの2カ国がずば抜けています。現実に起こっているサイバー戦争の力関係を表した縮図のような状況です。

さて、7月末からはいよいよDEFCON CTFの決勝が開催されます。今年はDEFCONが第20回の記念大会ということで、世界各国のCTF優勝チームが集められ、合計20チームでの戦いとなります。
sutegoma2は去年に引き続き決勝の舞台に立つ切符は手に入れていますが、今年は一体どんな戦いになるのでしょうか。このまま苦汁を舐めさせられ続けるわけにはいきません。

韓国のセキュリティカンファレンス「CODEGATE」に行ってきました

4/2、4/3に、韓国ソウルでセキュリティカンファレンス「CODEGATE」が開催されました。日本からは、CTFチームの「Sutegoma2」がハッキングコンテストで参加、私がカンファレンスでの講演とパネルディスカッションで参加していました。

gate


YUTやカンファレンス、パネルの様子などは、以下に少しまとめていますので、興味のある方は参照して下さい。
http://www.facebook.com/FourteenfortyResearchInstitute  

CODEGATEの参加者は主に韓国内の方でしたが、スピーカーやYUTの参加者は韓国含めワールドワイドでした。2000人以上の来場者数との事で、韓国内でのセキュリティに関する関心の高さが伺えます。

韓国内でもセキュリティベンダーは沢山ありますが、国際競争を常に意識しながらそれぞれのコアコンピタンスを磨き続ける文化が根付いている感じがしました。

ただ、やはり現状は日本と同様、現場はいつも大変みたいです。元eEyeの同僚のMattと一緒にパネルディスカッションに出ていたのですが、「現場のエンジニアが現状を変えたいと思うなら、国を出てアメリカに行くのが一番いい」と言っていたのが印象的です。

しかし、 少なくとも日本は元々、さまざまな産業分野で高い技術を武器に世界で戦ってきた国です。ITやセキュリティの分野でも実はしっかり戦える力を持っていますので、 「チャレンジし続ける文化」を 日本のセキュリティ業界でもしっかりと作って行ければと思っています。

※当該記事執筆は「株式会社フォティーンフォティ技術研究所」名義でなされました※ 

目指すは「Rakuten CTF」

 みなさんこんにちは。Rakuten-CERTの福本です。
 最近、様々なインシデント事例があってセキュリティ関係者は大忙しみたいですね(苦笑)そんな状況でもあるので、ここ最近は多くの企業でセキュリティのニーズも増しているのかなと思うのですが、GovInfoSecurity.comの記事によると米国のセキュリティ人材の失業率はなんと0%とのことです。これは驚きの結果ですね。セキュリティエンジニアを採用するのは非常に困難な状況なのかもしれません。実際うちも採用は大変です・・。

 最近、ユーザ企業側でのセキュリティ体制の整備についてちょっと調べていたのですが、やはり下記の一覧のように、ここ数年で多くの企業でCSOが任命され、企業内CSIRTの整備も進んでいるようでした。


CSO

 この中でも個人的にはフェイスブックの取り組みは気になっているところで、彼らはかなりの腕利きのハッカーを採用してたり、Security Bug Bounty Programもやってたりします。(ちなみにこの記事によると、早速多数のセキュリティ研究者から脆弱性の報告があったようで$40,000を支払ったようです)これらはユーザ企業側のセキュリティの取り組み方が変化してきていることを示していると思っていて、彼らの今後の動向は要チェックです。


 本題に戻りますが、この先多くのユーザ企業が自社のセキュリティ対策を整備していくためには、これまでより多くのセキュリティエンジニアが必要になると思うので、セキュリティの人材育成がますます重要になってくると思っています。はっきり言って今でもセキュリティの分野は人材不足です。そのためにも、セキュリティ&プログラミングキャンプのような人材育成支援の取り組みはもっとやった方がいいと思うし、そして日本でもCTFへの積極的支援があってもいいのかなとも思っています。例えば、お隣韓国のKISA(韓国インターネットセキュリティ庁)のCODEGATEの取り組みのように。これは僕の主観なのですが、韓国はここ数年、このような国策によってセキュリティエンジニアのレベルはかなり向上したように思えます。


 やっぱり技術者を育てるためは高い目標とライバルと競い合う場は必要だと思うし、CTFはそのためも必要な場だと思うので、来年あたり楽天セキュリティサミット(楽天グループだけのローカルセキュリティカンファレンス)の一部をオープンな形にして、Rakuten CTFが出来ないかなって思っています。またひとつ、僕の目標が出来ましたね。

世界で起こるサイバークライム

本ブログでも紹介された「Fatal System Error」の翻訳本が10月にいよいよ発売になります。私は監修者として参加し、日本でのサイバー犯罪の状況、ソニー事件等について加筆して、タイトルを「サイバー・クライム」として出版することになりました。捜査機関がサイバー犯罪組織に乗り込み、逮捕に至るまでを記したノンフィクションです。

fse
原書「Fatal System Error」

サイバー犯罪といえばロシア、中国が話題に上がりますが、その理由の一端を本書を通じて知ることができるでしょう。映画のようなストーリーが繰り広げられますが、すべて実際に起こった事件です。

私は日々のサイバー犯罪対応の現場から見た、日本でのサイバー犯罪に関連する記事を巻頭と巻末に寄稿しています。本編で紹介されているようなサイバー犯罪は決して対岸の火事ではないということを感じていただけると思います。

ちなみに、原題である「Fatal Sytem Error」(致命的なシステム・エラー)のもともとの由来はWindowsで発生するエラー(いわゆるブルースクリーン)のことですが、同じような致命的なエラーはいたるところに存在しているというのが著者のメッセージです。

bluescreen
Windowsで起こるFatal System Error

britishbleuscreen
イギリスの空港にて

koreanbluescreen
韓国の地下鉄にて

マスコミが書かない「DEFCON CTF」

2011年のDEFCON CTFが終わりました。
会場では、サポートメンバーによっておにぎりと味噌汁が振る舞われました。
個人的には3度目のDEFCON CTF決勝、日本チームとしては初めての決勝でしたが、今までこんなに恵まれた環境はありませんでした。
一般的にCTFでは、予選はインターネット上で行われるのに対し、決勝は一つの会場に集まって行われます。
そのため、環境の問題、食事の問題、時差の問題、機材の問題など、様々な問題と向き合いながら競技を行うのがCTF決勝の特徴でもあり、アウェイの洗礼は日常茶飯事です。
今回はサポートしてくれたメンバーの尽力によって、そういった問題によるストレスを大きく軽減し競技に集中することができました。本当にありがとうございました。

defcon2011ctf

日本でもCTFへの注目が高まり、少しずつメディアにも取り上げるようになってきましたが、未だメディアには取り上げられない重要な点をご紹介します。

今回のCTFでは、CTF会場が停電したり、ネットワークやサーバトラブル、スコアリングシステムへの批判など、運営側も非常に大変です。毎年必ず運営側の不手際に対する批判を耳にします。特に今年は運営側の意図しない方法を使って全サーバのroot(管理者権限)が奪われるという事態もありました。

ではなぜ、大変な苦労をしてまで運営をするのでしょうか。
勉強になるからという単純な理由ではありません。

DEFCON CTFを運営するのは、アメリカ海軍学校の教授、生徒からなるチームです。ということは、競技中に飛び交った様々な攻撃コードは教材として使われると同時に、米軍に蓄積されていきます。

その背景には、アメリカが国家としてサイバー空間を重要視していることが挙げられます。陸、海、空、宇宙に続く第5の戦場としてサイバー空間が位置づけられているのです。さらに、サイバー空間への攻撃に対しては武力による報復も辞さないとの発表もありました。
結局のところ、DEFCON CTFはアメリカ、サイバー戦争の下地作りでもあるわけです。毎年、アメリカ、韓国は政府による強力なバックアップを後ろ盾にチームを送り込んできています。現在、積極的にCTFを開催しているのは、アメリカ、韓国、ロシア、マレーシアなどです。
日本では23年度版防衛白書で、サイバー攻撃対処のため最新技術の研究に取り組むという内容の文言が記載されました。具体的なことは何も書かれていませんが、今後の動向には要注目です。

6月9日のISSAイベント

  我々は今日、悪意あるPDFを発見した。

  開くと、同PDF(md5: 20ecffdc2ecea0fbe113502bec0c938c)は、既知のAdobe Readerエクスプロイトを使用して、システムにバックドアをドロップする。バックドアのドロップ中、以下のようなPDFオンスクリーンを表示し、ユーザにすべてOKであると信じさせようとする。

ISSA

  この囮PDFは、2011年6月9日にアラバマで開催される「Information Systems Security Association」のイベントについて紹介している。そしてそれは今日だ。

  同バックドアは、韓国のどこかにある「119.202.148.82」のサーバに接続する。

  この標的型攻撃のターゲットが誰なのかは分からない。

祝! CODEGATE CTF 予選一位通過

先日、日本のCTFの歴史に残る大きな出来事がありました。CODEGATE CTFの予選で日本のチームが一位になったのです。アメリカチーム、韓国チームと何度も順位が入れ替わる厳しい戦いでした。二位じゃダメなんです。
(CTFについては、こちらを参照)

codegate_scoreboard

私がCTFを始めた2006年頃に、CTF先進国である韓国の友人と話した時は、
「韓国も昔は同じような状況だった。毎回上位に入れるようになるまでに5年はかかるよ。」
と言われました。そんな彼の経験どおり、5年が経っていました。

思えば多くの方々の力が合わさっているんだということを実感しました。

メンバーは定期的に勉強会を行い、メディアへの記事執筆、日本各地を巡業して布教活動を行いました。
今大会で躍進の原動力になったのは最近加入してくれた学生達でした。
会場に来られなくても、こっそり問題を解いてくれる小人さんもいました。
差し入れを持ってきてくれたり、英文を翻訳してくれたりする方もいました。
冷蔵庫がオーバーフローするほどのレッドブルを届けてくれた方もいました。
毎回我々に会場を提供してくれているネットエージェントさんは、より広い会場を提供するためにわざわざ引越までしてくれました。
他にも、ここには書ききれないくらい多くの方々が携わっています。

redbulltree
会場からスカイツリーとレッドブルツリーを望む

そして今、韓国のCTF業界が抱えている問題はコンスタントに人材を輩出し続けることの難しさです。おそらく我々も同じ問題に直面するでしょう。日本のCTF業界も新たなステージに突入します。

FIRSTカンファレンス - キーワードはAPT、DNSSEC、クラウド

今回のカンファレンスのキーワードは、次の3つでした。

Advanced Persistent Threat (APT)
・DNSSEC
・クラウド・セキュリティ

昨年とは異なり、ハンズオンによるトレーニングは全く無いもので、インシデントの分析結果の共有やアイデアの発表などがメインでした。特にカンファレンス前半はAPTの話題で盛り上がったように思います。

「ソーシャル・エンジニアリング」や「マルウェア」等の脅威は依然増すばかりであり、その対策は急務とのことですが、簡単にはいかないようです。検出のために、組織内のネットワーク・モニタリングが重要になってくるということ。聞いている限りでは、ある程度の作り込みが必要かなぁ・・・と感じました。

次にDNSSECはDNSを狙った攻撃事例や今後考えられる脅威の再認識と、それらに対する対策案が示されました。「中国」というキーワードは、世界のどこへいっても注目の的です。(笑)

3つ目にクラウド・セキュリティに関してですが、中でも興味深かったのは、クラウド環境でのインシデントレスポンス(IR)、フォレンジックに関するものです。仮想環境を構築し、数万台のPCを運用することを前提にした場合、そのハードディスクの容量は膨大なものとなります。同様にメモリも数十GByte、64Bitシステムが基本となります。このような環境下で、注目されてくるのがネットワークトラフィックとメモリダンプです。

実はクラウド以外でも、海外のIR製品を見ていますと、HDDと揮発性情報の双方を解析する手法は以前より随分定着してきているように感じました。しかし、まだまだ課題は多いのが現状のようで、技術面、法律面等含め時間がかかりそうです。


もしかしたら、「ガンブラーはどうした?」という方もいらっしゃるかと思いましたので、他国の参加者に聞いてみました。残念ながら誰も知らず、お隣韓国のウイルスベンダーの方も初めて聞いたと言っていました。日本固有の問題と言われても仕方ないようですね・・・

地域毎に問題視されているセキュリティ事情は随分異なります。これらの話が聞けるのが海外カンファレンスの特徴かと思います。特にFIRSTカンファレンスは、一般的に非公開な情報が聞けることが特徴です。

インシデント・ハンドリングされる方には興味深いものかと思います。近くで開催される際には、参加されてみては如何でしょうか。

ちなみに、来年は遠い(オーストリア)です・・・。

Xmas商戦シーズンはDDoSで稼ごう

  アメリカのThanks Givingでのブラックフライデイやサイバーマンデー、日本でもクリスマスショッピングなどネット販売が盛んになる時期には、オンラインショップにとってシステムが止まることは多額の損害をもたらします。そこでボットネットを活用して低価格でDDoSを仕掛け、システムを使用不能にし身代金を取るタイプの脅迫を行う犯罪者にとっても、この時期は掻き入れ時になるはずです。

  「...犯罪者はボットネットを時間貸ししていたりするわけで、それならば資金さえあれば誰でも有名な国に対してサイバー攻撃を仕掛けることができるはずです。...」と、以前書いたのは『韓国とアメリカに対するサイバー攻撃の犯人は誰だったのか』のポストでしたが、実際のところボットネットを使ってDDoSを行うのはいくらくらいの金額なのでしょうか?

  どうやら、安い所では1時間あたり8ドルくらいで出来るようです。連続でやりたい場合は、5時間が30ドル、24時間が60ドルという話もあります。またどれくらいの量のDDoSを行うかでも料金は変わり、1000Mbpsくらいで100ドル、10000Mbpsくらいで900ドルくらいという噂もあります。

  さらに通常は依頼者とボットネットをコントロールする犯罪者は直接顔を合わせることもないため、依頼者が安心して支払う気になるように、最初に発注する場合に10分〜15分のDDoSをサービスするサイトもあるそうです。日本のインターネットをモニターしているテレコムISACでも15分程度の短時間のDDoSが多数観察されるようになっている、という話題を聞きました。

  この程度の金額ならば、それまでは犯罪者ではなくても、昨年の経済危機からの不況で生活苦に陥った人たちが充分に手を出せる価格です。そして中小企業のサイトはセキュリティ予算も少なく充分なサーバー能力や回線速度を持っていないことが一般的ですから、ターゲットにされた場合は対策が難しい訳です。この状況は、はっきり言って困ったものです。

(このポストを書くのに、CDI-CIRT他いくつかの報告を参考にさせていただきました)

クアラルンプールでFIRST-TCが開催

  11月30日は、世界コンピュータ・セキュリティ・デーだ。このイベントと連動して、「Forum of Incidence Response and Security Teams(FIRST)」が、クアラルンプールでTechnical Colloquiumを開催し、我がKUL Response Labのアナリストも2、3人参加した。

  興味深いプレゼンテーションが多数あったが、大部分は昨今のインターネットの状況や脅威の様相に関するものだ。マルウェア分析ツールの使用に関連した、よりテクニカルなデモンストレーションも行われた。

  Richard Perlotto(Shadowserver Foundation)やRyan Connolly(Team Cymru)など、多くのスピーカーが悪名高いConfickerの蔓延に触れた。一方Roland Dobbin(Arbor Networks)は最近の韓国および合衆国の独立記念日DDoS事件に関連して、主に、DDoS攻撃に対処するためのウェブ・オペレータの備えについて詳説した。

Presentation at FIRST-TC

  Jacomo Piccolini(ESR/RNP)は 、ブラジル特有のマルウェア、特にBanking Trojanの事例をいくつか紹介した。興味深い新たなトリックを使用しているケースはあるものの、古き良きソーシャル・エンジニアリングには、よりシンプルなマルウェアであっても驚くほど効果的だった。その主張を証明するため、彼はソーシャル・エンジニアリングを行うのがいかに容易かについても、聴衆にデモンストレーションした。何てこった。

  オーストラリア連邦警察(AFP)のAlex Tilley(上の画像を参照)は、オーストラリアの数百万のドメインを巻き込んだデータベース・ハッキングについて、非常に興味深い概観を行った。麻薬密売と比較することでサイバー犯罪を説明する、面白く啓蒙的な試みも含まれていた。

  Colloquiumの初日は、豪華な夕食と、CyberSecurity Malaysiaの前途洋々たる新たなマルウェア・リサーチ・センターの公式ローンチと共に閉会した。

FIRST-TC dinner

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード