エフセキュアブログ

Poison IVY を含む記事

Poison Ivyにみるマルウェアの隠し場所


最近、「マルウェア感染したと思うのだが、アンチウイルスソフトや不正プログラム抽出ツール等を試したが何も見つからない」といった話をよく耳にします。
その多くは、IDS/IPSやURLフィルタなどにより不正通信を検出しているのですが、いざPCを調べると何も見つからない、といったものです。
#当然、マルウェア作成側も念入りにアンチウイルスソフト等では検出されないように設計していますので、そう簡単には見つからないです。

そこで、今回は検出されずらいマルウェア隠し場所とその検出方法の一例を紹介してみたいと思います。少しでもお役に立てて頂ければ幸いです。

今年に入ってから、ときどき見かけるものとして、古典的な手法ですが、ADS(NTFS代替データストリーム)を利用してマルウェアの本体を隠す手口です。
この手口を悪用するものとして、例えば最近人気(?)のPoison Ivy(トロイの木馬)などがあります。
Poison Ivyの機能に取り込まれたのは、比較的最近のバージョン(2.3.0〜)からですので、攻撃者から見ればそれなりに効果が期待できるということなのでしょう。

Poison Ivyの場合、ファイルを隠すために利用されるフォルダは、Windowsフォルダとsystemフォルダに限定されています。
ディスクエディタ等で確認すると、下図のhkcmds.exe(C:¥Windows¥system32:hkcmds.exe)のような状態となります。
#ADSにより隠されたファイルは、通常のWindowsのエクスプローラー等の操作では見えません。

ads

この隠されたマルウェアに対し(1)〜(3)の操作により検出および抽出を試みます。
(1)Windowsのファイル検索
(2)アンチウイルスソフトによるフルスキャン
(3)ADSファイル検索ツール

これらの操作の結果は、
(1)では見つけられません。恐らく、Windows APIを利用している資産管理ツール等でも見つからないと思います。(未確認)
(2)は5つのソフトウェアをテストしたところ、2つが検出されました。いまいち確実性に乏しいです。
(3)は確実に抽出することが可能です。ADSを検出することに特化してますので当然ですね。

他にレジストリを確認することで検討をつけることは可能ですが、この作業はなかなか骨が折れます。
ちなみに、上の例ですとレジストリは次のような内容が書き加えられていました。

Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 Value Name: HotKeyscmd
 New Value: “C:\WINDOWS\system32:hkcmds.exe”


#感染日時がある程度目星がついており、感染端末の保全状況が良いと比較的容易に見つけられるかもしれません。

今年に入ってから、本ケースのような事例は少なくありません。もしアンチウイルスソフト等では何も検出されていないが、不審な通信を行っている、などの挙動がありましたら一応ADSもチェックしておくと良いかもしれません。
また、何か興味深い事例等ありましたら投稿したいと思います。
ではでは。

Duqu:質問と回答

  その複雑さから、「Duqu」の事例を理解するのは難しい。助けになればと、以下にいくつかのQ & Aを掲載する。

Q: Duquとは何か?
A: Duquをとりまくニュースや進展のため、これは実際、非常に幅広い質問だ。狭義で言うなら、Duquはごく限られた国のごく限られた組織を対象とした高度な標的型攻撃の一部として用いられているWindowsボット(ワームでは無い)だ。

Q: Duquはどのように拡散するのか?
A: Duquはそれ自体では拡散しない。ある既知のケースでは、Duquは電子メールメッセージを介して受信された添付ファイルによりインストールされた。

Q:それはRSAがハッキングされたのと同じ手法ではないのか?
A: そうだ。多くの標的型攻撃が、この手法を用いている。RSAのケースでは、Excelドキュメント添付ファイルは、Poison Ivyという名のバックドア/リモート・アクセス・ツール(RAT)をインストールするため、Adobe Flash Playerにあるゼロデイ脆弱性を悪用したFlashオブジェクトを使用した。

Q:では、Duquのエクスプロイトの何がそれほど特別なのか?
A: Duquのインストーラが使用するゼロデイは、Windowsカーネルの脆弱性を悪用する。

アップデート:Microsoftが「Security Advisory (2639658)」を公開した。

Q: Flash PlayerエクスプロイトよりもWindowsカーネルエクスプロイトの方が、どのくらい高度なのか?
A:え、何?

Q:いや、真面目な話、どれくらい?
A:相当に。サードパーティ・アプリケーションに対して使用されたものと比べ、たとえそれがFlash Playerとして広くインストールされているにしても、Windowsカーネル脆弱性/エクスプロイトは、はるかに価値がある。

Q: この脆弱性に対してシステムにパッチを当てることはできるのか?
A: いや、できない。

Q:では、このWindowsカーネル脆弱性を修正できないなら、どうすればいいのか?
A:待つことだ。現在、Microsoft Security Responseが同脆弱性を調査しており、ソリューションの準備をしている。幸い、同エクスプロイトドキュメントが広まっている範囲は非常に限定されており、NDA下にある。

Q:何故、ドキュメントにNDAがあるのか?
A: 高度な標的型攻撃であるため、ドキュメント自身、標的のアイデンティティを明らかにする可能性が高い。ドキュメントの共有は、カスタマの機密の侵害となる可能性があり、そのためCrySyS Lab(Duquの発見者)は、彼らのカスタマのプライバシーが保護されない限り、同ドキュメントを公開することができないのだ。

Q: ではDuquのインストーラは「イン・ザ・ワイルド」ではないのか?
A:一般的には違う。他に発見されていない亜種がある可能性はあるが。

Q:ではDuquは私にとって脅威なのか?
A:あなたが誰なのか次第だ。しかし一般的にはノーだ。しかし、Duquは最終的には大きな問題を引き起こすだろう。

Q: Duquはどんな問題を引き起こすのか?
A:MicrosoftがWindowsカーネル脆弱性を修正すれば、野放しの犯罪者たちはリバースエンジニアリングを行うことができ、脆弱性を発見することになる。その時点で、最新の状態にないWindowsコンピュータはすべて、非常に深刻なエクスプロイトであることになりそうなDuquに対して、より脆弱となるだろう。

Q: しかし今はまだ?
A:その通り。

Q:Duquに関して他にも何か興味深い事はあるのだろうか?
A: そう、確かに。既知のあるケースでは、Duquにより用いられたドライバは、台湾のハードウェア会社C-Mediaに発行され、盗まれた証明書を使用して署名されていた。

Q:何故Duquは署名付きのドライバを使用したのか?
A: 署名付きドライバは、署名のないドライバに注意を促し、インストールを拒否するセキュリティポリシーを回避することができる。セキュリティポリシーは本質的に、署名のないドライバを信用しないよう設定されるものだ。ドライバが既知のベンダにより署名されていれば、信用レベルは高い。

Q: では、何故Duquはそれほど重大なのか? ゼロデイや署名付きドライバのためなのか?
A:そのほか、DuquはStuxnetと「関連がある」ためだ。

Q: どのような関連か?
A: 「Duqu」のコンポーネントは「Stuxnet」のコンポーネントとほぼ同じもので、両者は共通のソースコードにアクセスできる何者かにより書かれているようなのだ。

Q:「Duqu」と「Stuxnet」には他にも関連があるのか?
A:「Duqu」により使用されるドライバは、台湾のハードウェア会社JMicronからのものだとしている。StuxnetはJMicronから盗まれた証明書で署名されたドライバを使用していた。

Q: 証明書はどのように盗まれたのか?
A:不明だ。

Q: どれくらい盗まれたのか?
A:台湾の3つのハードウェアベンダC-Media、JMicron、Realtekのケースが判明している。

Q:何故「Duqu」は台湾に関係しているのか?
A:不明だ。

Q:何故カッコ付きなのか? 「Duqu」は他にも何か?
A:広義では、Duquは民族国家により展開されている(あるいは公認されている)「組織的行動」もしくは「ミッション」だ。

Q:「組織的行動」というのはどういう意味か?
A:「Duqu」は、何らかのスパイ活動もしくは偵察任務であるように見えるのだ。たとえば実世界で、この種の偵察任務はアメリカ海兵隊武装偵察部隊(FORECON)チームが「グリーン作戦」と呼ぶものと見なすことが可能だ。

Q:では「Duqu」は単なる悪意あるコードではないのか?
A:ソフトウェアコンポーネントは、我々がDuquと呼ぶものの一部にすぎない。こんな風に考えてみて欲しい。Duquソフトウェアがあり、そしてオペレーションDuquも存在する、と。

Q: それでは「Stuxnet」は? Stuxnetワームはどうなのか?
A:オペレーションStuxnetで使用されているインストーラは、高度なUSBワームだ。このワームは拡散を容易にするため、ゼロデイWindows脆弱性を用いる。

Q:オペレーションDuquとオペレーションStuxnetのミッションは同一なのか?
A:いや。オペレーションStuxnetは、むしろ直接行動を含むミッションである「ブラック・オペレーション」に近い。Stuxnetのケースでは、イランの原子力施設の操業を中断させるという行動がなされた。

Q:Stuxnetは原子力発電所の操業を中断させたのか?
A: そうだ。オペレーションStuxnetは非常に複雑で、巧妙でもあった。Stuxnetワームと付随的なコンポーネントは、地理的にかなりの距離を移動する必要があった。また、インターネットに接続していない閉ざされた標的に、オートパイロットで、コールホームすることなく、侵入する必要があった。

Q:ではStuxnetがインストーラ/感染ベクタとしてUSBワームを使用したのはそのためか?
A:そうだ。困難な緩和要素のため、Stuxnetは外部資源無しに自身を拡散する必要があった。そしてそれ故、多数のゼロデイエクスプロイトを備えていたのだ。Stuxnetの感染力は過剰であるように見えるが、そのミッションは成功しているようであり、Stuxnetの背後にいる連中はおそらく過剰とは考えていないのだろう。

Q: Duquはどのように異なっているのか?
A:Duquは高度だが、自立的に行動するように作成されてはいない。インストーラが標的を感染させれば、Duquはコマンド&コントロール(C&C)サーバにコールホームする。現在分かっているサーバは2つある。1つはインドに、もう1つはベルギーにあった。これらのIPアドレスは、現在はアクティブではない。

Q: C&Cによりどんな活動が行われたのか?
A:既知のあるケースでは、Duquは標的からデータを収集するため、Infostealerをダウンロードした。そのInfostealerは実のところ、盗まれたデータに関連するログファイルに「DQ」をプリペンドすることから、Duquの名称のもととなったコンポーネントだ。

Q:C&Cは他に何をすることができるのか?
A:たとえば共有ネットワークリソースを介して、それ自身を標的ネットワークで拡散するようDuquに命じることができる。

Q:Duquは収集したデータをどのようにC&Cに送信するのか?
A:データを暗号化し、それをJPG画像に追加する。

Q: 何? JPG画像? 何故?
A: 誰かがネットワークトラフィックをモニタしていても、機密資料ではなく、無害に見える画像ファイルが見えるだけだからだ。詳細はここを参照して欲しい。

Q: わあ。Duquは他に何かコソコソするのか?
A: そうだ。30日後、C&Cから命じられない限り、Duquは自身を消去して侵害の痕跡を制限する。

Q:Duquの背後にいるのは誰か?
A: 不明だ。

Q:推測して欲しい:Duquの背後にいるのは誰か? — 11月4日に追加した質問
A:様々な要素から見て、民族国家だろう。

Q: 何を探しているのか?そして理由は?
A: 不明だ。

Q: Duquに関して、断定できることは?
A:「オペレーションDuqu」のソフトウェアコンポーネントは、非常に熟練した開発者とエクスプロイトアナリストのチームにより作成されたということだ。

Q: Duquの目的に関して想像はつくのか?
A: それが何であれ、糸を引く民族国家の関係者が利益を得るためには、非常に重要なことに違いない。この件の関係者にとって、Windowsカーネル脆弱性を開示するリスクは、その利益を上回ったのだろう。部外秘の情報を知る者以外、Duquの本当の目的を明確にすることはできない。識別可能な直接行動が起きるまでは。

Q:では、Duquの背後には政府機関がいると考えているのか?
A:そうだ。

Q: 政府関係者がDuquのようなマルウェアを使用するべきなのか?
A:採決はされていないようだ。

Q: ドイツのR2D2トロイの木馬はどうなのか?
A: R2D2は警察の監視のために作成されたトロイの木馬だ。ゼロデイエクスプロイトや正当なハードウェアベンダから盗まれた証明書により署名されたドライバは使用していなかった。R2D2は通常の警察業務のため、ドイツ当局により制作を依頼されたものだ。

Q:でも警察のトロイの木馬は良く無いのでは?
A:そう、マルウェアはしばしばコントロールを逃れる方法を見つける。我々には決して良い考えとは思えない。

Q:R2D2はどの程度悪いのか?
A:R2D2は、ドイツの法律により許可された範囲を遙かに超えているように見える。これはドイツで法的、政治的混乱を引き起こしたが、技術的にはそれほどでもなかった。我々のシステムオートメーションは、人間のアナリストが気づくよりずっと以前に、R2D2は信頼されるべきではないと判定した。警察にとってR2D2を価値あるものにしたのは限られた導入基盤だ。それは実際、犯罪者に採用され得る方法では革新的とは言えなかった。

Q: Stuxnet/Duquは革新的なのか?
A:そう、非常に。脆弱性が明らかになれば、我々(および他の人々)はこの新たなエクスプロイトのため強力なジェネリック検出を作成するため、膨大な仕事をする必要があるだろう。ラボの他のメンバーは、収集したファイルの再スキャンと結果の処理を行うべく、C-Mediaにより署名されたソフトウェアのためファイルのデータマイニングを行う必要があるだろう。Duquは技術的な頭痛の種となり、得た教訓は犯罪者により、どこかの時点で採用されるだろう。

Q:DuquはStuxnetとは関係無いという人々はどうなのか?
A:2つのオペレーションの類似点を比較してみよう。

  •  インストーラはゼロデイWindowsカーネル脆弱性を利用する。
  •  盗まれた証明書で署名されたコンポーネントがある。
  •  高度な諜報活動を示唆する方法で標的が定められている。

  Duquのインフラをコード化し、構築した技術開発チームは、Stuxnetの開発を行ったチームとは部分的に異なるかもしれない。攻撃が高度に標的を定めているところから、かなりの人的情報収集作業が行われているものと考えられる。この諜報活動は、同じ、もしくは異なるアナリストにより行われたかもしれないが、それはあまり重要ではない。チームの構成がどうであれ、これらオペレーションの類似点は、糸を引いている民族国家関係者が共通であることを示唆している。

Q: 我々がこの民族国家の正体を知ることはあるのか?
A: そうなるとは思えない… 少なくとも近い将来にはないだろう。Duquが引き起こした状況から、どのような種類の開示も阻止されている。

Q: この民族国家の関係者は他のオペレーションを進行中なのか?
A: 不明だ。しかしそうだとしても、あまり驚きはしない。

Q: 最後の(今のところ)質問:オペレーションDuquは電子メールの添付ファイルを使用した。それは誰もが用心すべきものではないだろうか。どうしてそのようなベーシックな攻撃方法を使用するのか?
A: 上手く行くからだ。

http://covers.dummies.com/share.php?id=13154

  その他のリソースへのリンクについては、昨日の記事を参照して欲しい。

我々が「RSA」のハッキングで使用されたファイルを発見した方法

  3月、「RSA」がハッキングされた。これは、これまでで最大のハッキングの一つだ。

  現在の推測は、ある国家がロッキード・マーティンおよびノースロップ・グラマンに侵入し、軍事機密を盗みたかったというものだ。しかし、目的は達成されなかった。両社がネットワーク認証にRSA SecurIDトークンを使用していたためだ。そのためハッカーたちは、標的型の電子メール攻撃でRSAに侵入した。彼らはバックドアを設置し、最終的にSecurID情報にアクセスし、もともとの標的に戻って、侵入することに成功した。この攻撃の結果、RSAは世界中の顧客のため、SecurIDトークンを交換することを余儀なくされた。

RSA / EMC hack

  我々は4月には既に、同攻撃がEMCの従業員たち(EMCがRSAを所有している)への標的型電子メールにより開始されたこと、そしてそのメールには「2011 Recruitment plan.xls」という添付ファイルが含まれていたことを知っていた。RSAはこの情報を、彼らのブログの記事で明らかにした。問題は、我々がそのファイルを持っていなかったということだ。持っている人はいないようで、アンチウイルスリサーチャのメーリングリストは、どこでそのファイルが入手できるかという議論で持ちきりだった。誰もファイルを入手できず、結局、議論は終息した。

  このことがTimo Hirvonenを悩ませた。Timoは我々のラボのアナリストで、このファイルを見つけられると確信していた。4月以来2、3週間ごとに、Timoは我々が持つ何千万ものマルウェアファイルのコレクションをチェックし、このファイル一つを見つけるべく吟味し続けたが、幸運には恵まれなかった。

  TimoはFlashオブジェクト用のサンプルを分析するデータ解析ツールを書いた。我々は問題のXLSファイルが、システムを乗っ取るのにFlashオブジェクトを使用していることを知っていた。新ツールはいくつかの関連サンプルを探し出した。しかし、その中の一つはExcelファイルではなかった。それはOutlookメッセージファイル(MSG)だった。それを開いた時、Timoは思い当たることがあった。このメッセージファイルは、3月3日にRSAに送られたオリジナルのメールで、添付書類「2011 Recruitment plan.xls」を備えていることが分かった。

  5カ月後、我々はついにファイルを手に入れた。

  そしてそれだけでなく、オリジナルのメールも手に入れた。誰かが(おそらくはEMC/RSAの従業員)が3月19日に、Virustotalオンラインスキャニングサービスに電子メールと添付書類をアップロードしていたことが分かった。そしてVirustotalの規約にある通り、アップロードされたファイルはアンチマルウェアやセキュリティ業界の関係者に共有される。それゆえ、我々は皆、既にこのファイルを持っていたのだ。我々はそうとは知らず、何百万ものサンプルの中からそれを見つけることができなかった。

RSA / EMC hack
このサンプルは「file-1994209_msg」として、3月19日にアップロードされた。

  では、このメールはどのようなものだったのか? これはリクルートサイト「Beyond.com」から送られたように見える、なりすましメールだった。サブジェクトは「2011 Recruitment plan」で、「検討のためこのファイルを送ります。開いて見て下さい。」という1行が本文だ。
  このメッセージは1人のEMC職員宛てに、3名に対してCcされて送信された。

RSA / EMC hack

  以下はXLS添付ファイルを開いた時の様子だ:

RSA / EMC hack

  以下はこの悪意あるExcelファイルを開くと、何が起こるかを見せるYouTubeビデオだ。



  このビデオでは、我々がこのメールをOutlookで開き、添付ファイルを実行しているところが見られる。組込型Flashオブジェクトは、スプレッドシートでは[X]マークで示されている。FlashオブジェクトはExcelにより実行される(一体どうしてExcelが組込型Flashをサポートしているのかは全く疑問だ。)Flashオブジェクトは次に「CVE-2011-0609」脆弱性を利用し、コードを実行してシステムにPoison Ivyバックドアをドロップする。このエクスプロイトコードは次にExcelを閉じ、感染が終了する。

  その後、Poison Ivyが「good.mincesur.com」のサーバに接続する。「good.mincesur.com」というドメインは、長期間にわたって似たようなスパイ攻撃で使用されている。

RSA / EMC hack

  いったん接続されると、攻撃者は感染したワークステーションに完全なリモートアクセスが可能になる。さらに悪いことに、ユーザがアクセスできるネットワークドライブにもフルアクセスが可能だ。どうやら攻撃者たちは、探しているSecurIDデータにアクセスできるまで、このベクタを利用することができる。

  攻撃電子メールはそれほど複雑には見えない。実際、非常にシンプルだ。しかし、Excel内のエクスプロイトはその時点でゼロデイで、RSAはシステムにパッチを当てて保護することができなかった。

  では、これは高度な攻撃だったのだろうか? 同メールは高度ではない。ドロップされたバックドアは高度ではない。しかしエクスプロイトは高度なものだ。そして攻撃者の最終的な標的も高度だ。何者かがセキュリティベンダの顧客のシステムにアクセスするため、ベンダをハッキングするなら、間のステップにそれほど複雑でない部分があったとしても、我々はその攻撃を高度なものと言いたい。

  Timoは10月に実施される「T2 Data Security」カンファレンスで、このトピックに関するリサーチについて、「RSAはいかにして侵入されたか」というタイトルで講演を行う。

t2.fi

PS. 現在もサンプルを探している方へ:
MD5 of the MSG file: 1e9777dc70a8c6674342f1796f5f1c49
MD5 of the XLS file: 4031049fe402e8ba587583c08a25221a


トロイの木馬でリモート脆弱性を見つける

  多くの読者が「Poison Ivy」をご存じだろう。様々な攻撃、特に標的型のスパイ攻撃でよく使用されるリモート・アクセス型トロイの木馬(Remote Access Trojan:RAT)だ。このようなRATアプリケーションの詳細については、この記事を参照して欲しい。

  Poison Ivy RATは、「Shapeless」という名のスウェーデンのコーダにより開発された。

Shapeless

  我々はちょうど、Signal11のAndrzej Dereszowskiによる新たなレポートを読んだところだ。

Signal11

  Andrzejはある標的型攻撃を調査し、標的からデータを盗み出すのに「Poison Ivy」が使用されたことを発見した。このことから彼は、多くの研究者がInternet ExplorerやAdobe PDF Readerから脆弱性を発見しようとしている事実について考えることになった。何故、「Poison Ivy」から脆弱性を探そうとしないのだろう?

  そして彼はまさにこれを行った。「Poison Ivy」にリモート・コード実行の脆弱性を発見し、被害者が攻撃者に攻撃を仕返すことを可能にしたのだ。

Signal11

  素晴らしい仕事だ!

  完全なレポートはここにある。

「flower-show.org」に気をつけろ

  我々は今日、綺麗なPDFファイルを見た(md5: 116d92f036f68d325068f3c7bbf1d535)。

  以下のようなものだ:

flower-show.org

  素敵な花だ。

  残念なことに、このファイルを見ると、Adobe Readerに対するエクスプロイトを使用しており、「1.exe」という名のファイルを動作させる。

  この実行ファイルはPoison Ivyバックドアだ。「cecon.flower-show.org」というなのホストに「call home」する。同アドレスでコンピュータを制御している人は誰であれ、ターゲット・コンピュータへのリモート・アクセスを得る。このPDFは未知のターゲットに対する標的型諜報攻撃で使用された。

  我々は2009年の時点で、「flower-show.org」というドメインを見ている。その時、他のPDFが「posere.flower-show.org」に「call home」していた。

flower-show.org

  今日、これらのホスト名の双方が、「202.150.213.12」にリゾルブされているが、これは中国にはない。シンガポールにある。

標的型攻撃の例

我々は標的型攻撃の監視を続けているが、その数はますます増えている。現在、こうした攻撃の頻度に関する統計を取っており、今週中にこのブログで公開する予定だ。

標的型攻撃に見られるドキュメントの最近の例は以下の通りだ。これらはすべて、コンピュータを乗っ取るためのバックドアを仕掛けるのに、既知の脆弱性を使用している。

このような例は、(公平のために言うなら)DOC、XLS、PPT、PDFといった、一般に普及しているあらゆるファイルタイプをカバーしている。

我々はこれらすべてのケースを、世界各地で一度は見ている。だから誰であれ、これらに遭遇した人は、単に運が悪かったのでも、偶然だったのでもない。

以下に挙げた最初の例は、よくある企業内の購入契約のように見える… しかしこれを閲覧すると、この文書はlemondtree.freetcp.comに接続するバックドアを仕掛ける。これはXLSファイル。

Assets

heet.25u.comに接続する。DOCファイル。

UNICEF

hlwin32.dll、hlsvc32.dllおよびsvchost.exeをSYSTEM32フォルダ、もしくはTEMPフォルダに仕込む。PPTファイル。

USFood

「肥料ニュース&分析」とは一体? wolfdu.5166.infoに接続するバックドアを仕掛ける。PDFファイル。

Market

Poison Ivyリモート・アクセス型トロイの木馬の一種を仕掛ける。PDFファイル。

Medvedev

なお、これらの攻撃でターゲットとされた当事者の身元に関して、我々の手元に情報は無い。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード