2018/10/31の水曜日に秋葉原の以下の勉強会にスピーカーとして参加してきましたので記事にしていきます。ハロウィンの記事ではありません。
今回、30名程の参加者がいました。また発表者は5名でした。
発表内容のまとめ
今回も発表内容の簡単なまとめ(メモ)を以下に記載します。
取り漏れも多少あり、間違えてメモしている個所もある可能性があるので、その場合は指摘していただければ適宜修正します。私は一番最後の発表でした。
「AIを組み込んだマルウェアの簡単な紹介」:ytakahashi1228 さん
AIを使ったマルウェアの検知の話はセキュリティ各社やっているが反対の話
Black Hat USA 2018
「DeepLocker」と呼ばれるAIを搭載したマルウェアが紹介された
IBMの基礎研究所の研究チーム
逆にIAを利用されたらセキュリティソフトの検知を回避されてしまうのでは?
そういった思いの検証で開発されたもの
セキュリティソフトでの対策を回避するため、通常のアプリケーションに隠れる
特定の環境下で動くようになる。
実験の話
被験者一人だけ動作させるようにした。顔認識でそれを判断
その結果対象者1名のPCにてマルウェアが動作した。
特定にはSNS等に投稿された写真から判断した
リバースエンジニアリングを行うのでは非常に困難
マルウェアは本体はターゲットに到着したときのみロックが解除され、動作するのでそれ以外は正常ソフトとして動作するため、
・ターゲットクラスの隠蔽
・ターゲットインスタンスの隠蔽
・攻撃の隠蔽
上記の隠蔽が行われる。
こういった脅威は迫ってきている
現在の防御法は廃れる新たな防御策を検討する必要がある
所感
AI型のマルウェアか、今後確かにはやりそうですね。特定の対象というとマルウェアによっては例えば日本人だけ感染するマルウェアとか特定の人種のみで発生するとかはやりそうな気がします。
各セキュリティベンダーさんの今後の動きに注目したいと思います!
「ハニーポッターと秘密の通知」:wato_dn さん
ハニーポッターとは
ハニーポットを運用する人
ログを解析する人
それを楽しむ人
新たな攻撃が発生したらすぐに検知して調べたい
⇒珍しいログだけ確認したい
可視化、分析等を頑張っている
ログを確認するのはめんどいけどログを確認したい
なんとか自動でログを飛ばせないか
⇒slackに通知できる?
SNSやメールの通知をslackにまとめることができる。
・実行内容は以下をcloneで実施する毎日0時に
ログの加工、slackへのログを通知
・秘密のチャンネルの用意、webhookに送る
ログを見ることを怠らない、
⇒ログを解析する力は大事
⇒ハニーポットは勉強ツールの一つとして最適
毎日やるからこそ不要な要素を排除し頑張れるようにする。
所感
確かに気になるログだけ調べたいのはハニーポッターはもちろんですが、それだけではなく、普通の運用やインデント時の調査でも同じかなと
どういったものを抜き出すのとかは言っちゃえば自分で「grep」や「cut」コマンド等でできるかもしれないですが、それを楽にできる方法を見つけたいですね。
またslackの便利な使い方もあったので、自分でも何かやるときは試してみようかしら。
「インシデント発生とその対策」:nachos さん
セキュリティのインシデントを簡単に解説
例:2chでクレカ漏れてるね
⇒もう解約しているから、(登録していた情報が洩れているのでやばい)
漏れってどうやって築くの
・民間からの連絡
・従業員からのカミングアウト
・IPA等の第三者組織からの連絡
・警察からの連絡
・クレジットカード会社からの連絡(CPPという)
・まれに自社で漏れてることが判明
気付ける手段が必要
よく言われるのが体制の整備CISRTとかは壮大になりそうなので割愛
・監視・アラート
FWのフィルタ、パフォーマンスチェック等
DOS、検知のマルウェア、SQLインジェクション等の主だった攻撃については検知できそう
バックドア設置に対しては検知できないのでは?
バックドアの攻撃者の通信、バックドアの設置、ファイルの公開領域への設置
外部との不正通信の制御
インバウンドは制御しているが、アウトバウンドは制御していないサーバが多い
今どきの通信はステートフルインスペクション機能が大抵ついている。
必要な宛先以外はDROPしよう。
公開領域やサーバ上に設置したコンテンツの把握
リアルタイムで検知できるものと出来ないものがある。
外からの攻撃を防ぐことに目が行きがちですが、これをやるだけで攻撃されたときの検知ができる可能性があがる。
保全・解析フェーズでの落とし穴
・デジタルフォレンジック
⇒ハードディスクから情報を消されていることも多い
ログは消えないように運用する必要がある。
・ログの保全
タイムスタンプの種類
atime
mtime
ctime⇒一番変更するのが難しい
cが付く奴は一番変えるのが難しい!と覚えておけばOK
OSやファイルシステムによってタイムスタンプによって異なる
atime、mtimeは変更が容易(コマンド一発)だが、ctimeは変更するのが難しい
所感
実際にインデントレスポンスの仕事をやるときが私もありますが、ログが残っていないのは本当に困るんですよね。
またあっても改ざんされてそうだったりすると。。。
ログの保管については、「CISA」、「CISM」でも結構問題として頻発する内容です。
「ログの保存方法」、「ログのアクセス権」、「ログの調査」等々の問題がよく出る気がします。
PCI DSSでも管理についてはちゃんと書かれていた気がするけど、一般的な運用のガイドライン等で上手く提示して、サイト運営者全てが守ってくれる仕組みがないときついな~と感じます。
「SECCON2018 online CTFに参加してみた」:kmrr さん
SECCONとは
情報セキュリティをテーマに多様な競技を開催する情報セキュリティテストコンテストイベント
当日は653チームが参加
会社内でチームを組んで参加した(面白そうでうらやましい!)
Classic Pwn等の問題があった。
所感
問題見てたりWriteupを真剣に見ていたので、あまりメモが取れませんでした。
SECCONは数年前まではチーム組んで出てたりしてましたが、子供が生まれてからは休日が子供と遊ぶ⇒疲れて寝ちゃうのコンボだったので、参加から遠のいていました。
来年あたりからまた参加しようかなと思っているので、一緒にやりたいとかあれば連絡いただければ嬉しいです。
個人的にはどこかでみんなで集まって、飲み食いしながらやるのが結構楽しいです。
kmrrさんは会社の人たちで参加したみたいで、超楽しそうで羨ましかったですね。
「PGPについて」:tokoroten さん
私です。
前に記事にした以下の題材について発表してきました。
PGPを使ってみよう!PGPの概要
PGPを使ってみよう!環境準備と検証
秘密鍵のパスワードを忘れてしまうという痛恨のミスをしてしまいましたが、PGPの概念やどういったものかを知って貰えてくれたらうれしいです。
最後に
今回は人数があまり多くなかったので、時間が結構あまり、終わった後に会話する時間が結構ありました。
Pythonをやっていてセキュリティに戻りたいなと言っていた人や、セキュリティをやりたいから転職したいけどどうしたらいいかという相談も受けました。
現在はセキュリティエンジニアは本当に不足しており、若いというのとやる気があれば、全然今からでも挑戦できるところだと個人的には思っています。(というか若くてやる気があればどこでも大丈夫だと思います。)
私自身、本当に何もわからないところから入ってちゃんと何とかなっていますので、きっと大丈夫なので挑戦していって欲しいなと心から思っています。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、ご連絡ください。
コメント