2019/5/27の月曜日に秋葉原の以下の勉強会にスピーカーとして参加してきましたので記事にしていきます。
今回は5月ということで初めて来られる方が数名いました。25名程の参加者がいました。また発表者は7名でした。
発表内容のまとめ
毎回恒例ですが、発表内容の簡単なまとめ(メモ)を以下に記載します。
取り漏れも多少あり、間違えてメモしている個所もある可能性があるので、その場合は指摘していただければ適宜修正します。私は一番最後の発表でした。
今回は結構盛沢山になってしまいましたね。
「危険なコンピュータウイルス10選」:ytakahashi1228 さん
コンピュータウイルスとは
PCやスマホ記憶媒体を持つコンピュータに侵入し内部のファイルに寄生・改変し増殖してしまうウイルス
ウイルス、ワーム、トロイの木馬などの種類がある
ウイルス10選
・Melissa
感染するとポルノサイトが開かれまくる
被害総額80億円
・Stuxnet
イランの核燃料施設を攻撃したウイルス
8400台もの遠心分離機を破壊
・Flame
ワーム、マルウェア、キーロガー、ステルス性等あらゆる機能を装備
イスラエルが開発?
・CIHウイルス
チェルノブイリの事故の日に動作するウイルス
感染デバイスを使用不能に
・Superfishアドウェア
レノボPCにプリインストール
セキュリティホールを勝手に作成
・MyDoom
史上最速で感染拡大したウイルス
電子メールを送信
亜種が多く出回っている
・SLammer
DOS攻撃で75000人を攻撃
意味のないトラフィックを送信しまくる
・ZeroAccess
史上最大のボットネットを構築
ゾンビPCがボットネットコマンドセンターの命令により一斉動作する
・イカタコウイルス
ファイルが勝手に置き換えさせられる
元に戻せなくなり、PC破壊の危険性有
・CodeRed
ホワイトハウスにDDOS攻撃
2001年7月19日「唯一ネットーワークの麻痺した日」と言われている
・ドナルドウイルス
お腹空いたらどこへいくの?解答に間違えると延々とデスクトップにテキストファイルが作られる
マクドナルドと正解するとOK
ウイルスは様々存在
そして攻撃力とともに進化
検知もされなくなっている
所感
改めて確認してみると、今までいろんなウイルスがあったんだなということを再確認できました。
やっぱり検知がされにくくなっている⇒組織としてどうするのかが重要になっていますね。
業者に任せるというのも一つの判断ですが、その際はリスクは担保しなければいけないので、難しいところです。
ついでに巷ではセキュリティ人材が不足しているという・・・
「DeepLocker: AI-embedded attack」:bbr_bbq さん
AIに攻撃自体を埋め込む攻撃手法
高い識別性能を持っている
それを使用して標的のみをピンポイントで攻撃できる
AI-embedded attackを採用した標的型攻撃のPoC
AC/サンドボックス製品の検知を回避し、標的をピンポイントで攻撃
普段は通常のアプリとして起動する=セキュリティ製品による検知を回避
1.マルウェアの収集
EICER(疑似マルウェア)を使用、ほとんどのAV製品で検知可能
2.良性アプリケーションの作成
顔認証システムを作成
顔認識モデルによる人物特定
特定した人物による認証有無の判定
11の中から1人を判定する
Google検索、SNSなどで顔情報を収集
50枚の画像では認識間違えする可能性がある。
そのため、学習データの水増しと呼ばれるよくある手法を実施
50⇒100の水増しが成功
情報の取得ができたので、その結果を持って学習(Deep Leraning)を実施
学習済みの人物を高い精度で識別可能になった。
3.DeepLockerの作成
EICARの暗号化
秘密鍵はモデル内に埋め込まれる。モデルの解析は困難
閾値があって、その際に秘密鍵が複合される
4.DeepLockerの配布
アプリストアで配布
スマフォの顔認証システムに埋め込む
入館管理システムに埋め込む等
検知は非常に困難
もしかしたら既にスパイ活動に使用されているかも・・・
Adversarial Examplesを使用して顔認識モデルをだます
人間にはわかるのに機械ではわからないようにすることが可能
課題
標的候補が多数の場合、現実的な時間内での検知が困難
根本対策として、AIのリバースエンジニアリング手法の確立が急務
しかし、これは研究途上であり、最新研究成果・論文をウェッチする必要がある
所感
昔から大変お世話になった方に話してもらえてとても嬉しいです。
この人がいなかったら私はセキュリティ業界(というかIT全般)からはは既に足を洗っていたであろう・・・
最新の攻撃手法を自分で作っていくのは流石だなと。
またそれを惜しみなく発表していくスタイルはとても感銘を受けます!
やっぱり機械学習はちゃんと勉強しないとな~
会社のブログでも載せているので、興味がある方は要チェックです!
「100円でBadUSB」:kbt さん
BadUSBを作成することができるマイコンを発見
$1.25だった
⇒とりあえず4つ購入
USBをキーボードに誤認させ、キーストロークインジェクションが可能
何ができてしまう?
・ブルートフォース攻撃
入力が限りなく、続いていく
速度は遅いが、パスワードクラックには使えるかも・・・
・ファイルの外部送信
予めファイルの場所が分かっていれば、HTTPなどで送信できるかも
・設定の書き換え
コマンドを送り付けることで接続したマシンの設定を書き換えることができるかも
対策
あくまでキーボードとして認識されるため、AV等の機器で発見は難しいかも、
離席時のUSBポート等気を付ける必要がある。
日本円で100円ちょっとでBadUSBが作れる!
所感
かなりアクティブだなと、私だったら結構不安で買うことを躊躇しちゃいそうです。
100円ちょっとでこういったウイルス(なのかな?)が作成できる時代になったんだなと。
すごいというか恐ろしいというか。
なお、最近CTFの勉強会で仲良くさせていただいており、若く非常に優秀な方です。
負けないように頑張らねば・・・
「サイバー攻撃を受けたら企業やサービスは終わりなのか」:massu-tochimasu さん
サイバー攻撃を受けたら?
サービス停止?
評判の低下等。。。
もっと身近なところで見れば
原因の調査
サービスの復旧
再発防止策の決定、施工等
FW、WAF、IPSで攻撃は防げるか。。。
ポートに穴が開いている。。。
ゼロデイ攻撃。。。
大丈夫だと思っていても攻撃は来る可能性がある
攻撃を受けたときのことを考える必要がある
BCP等
インシデントレスポンスという考え方
目的は。
インシデントの検知
被害の拡大を防ぐ
原因の特定
システムをもどす
セキュリティの強化
SOCやCSRITは全ての組織にあるとは限らない
その場合はどうする?
情シス、開発、保守?
アウトソース?
インシデントレスポンスのやり方を決める必要がある。
決まっていない場合、ワークアラウンドな対応が多くなる
適切な行動をするのは難しい
それらをやったことを記録するのが難しい
ある程度やることを決めておこう
EDRも良いかもしれない
しかしちゃんと社内で運用できるようにする必要がある
今からできることは?
サイバー攻撃が起きた時の対応に対するドキュメントを探す
チーム内で対応を話し合う
システムに関する情報が正しいか調べよう
ログ、インストールソフト一覧等、、、、
所感
こないだ参加した情報セキュリティEXPOでもやはり被害を受ける前提で考え、それをどう抑制していくかを考えなきゃいけない時代になってきたと思います。
個人的には現場も大事ですが、まずは経営層の意識改革が重要だと思っています。
※全部ができていないというわけではありません。
トップダウン型で入らないと結局頑張っている人だけやっていて、その人が抜けたら組織全体が終わってしまうので。
「5分で喋るフィッシングメールの手法」:watoly さん
ブログ
http://www.it-poem.com
ツイッターで料理の画像をあげている
日々不審なメールは届く
フィッシングメールはどんな手法で誘導するのか?Apple限定
have i been pwendで調べるとちゃんと漏洩しているアドレス・・・
①アカウントロックされているよメール
②添付ファイル型、本文はほとんどなく、PDFファイルが添付
悪意のあるファイルではなく、ただ、サイトへ誘導する形式
※URLの文字列をブラックリストのフィルタに登録されないように?
③別のメールアドレス(B)からメールアドレスの変更したよ!という内容のメールが来る
Bのメールアドレスについてはやっぱり漏洩されていた。
④請求書パターン
課金したという内容がくる。
問題を報告するでフィッシングサイトへ誘導される
実際にマジで不正利用のパターンもある。
⑤画像リンクのパターン
画像がぼやけてたりする。
画像にリンクが張って間違って触ってしまっても飛んで行ってしまう。
フィッシング後はAppleID、パスワード、個人情報、クレジットカード情報の入力を求められる
所感
④の請求書パターンで実際にクレジットの不正利用のパターンもあるということなのはかなり怖い。
被害にあった場合はすぐに対応しないと大変なことになりますね。
また、その際に身近に相談できる人がいればいいのですが、いない場合はどうすればいいのだろうか。
調べればわかるのですが、多分動けない人の方が多い気がします。
もしそういう被害にあった可能性がある方は相談してくださいね。できる限りお手伝いします。
ブログおしゃれだなと・・・見習いたい
「SECCON for beginners 2019に参加した話」:kmrr さん
CTF楽しかったよという報告
SECCON for beginners
5/25~5/26 15:00~15:00
Slackでチームメンバーと共有しながら実施
468点、195位だった。
KmrrさんはReversing(バイナリ)を一問解いた
ELFファイルがダウンロード
Ghidraでファイルを開いてそこに書いてある文字列を入力したら解けた
所感
会社の人たちが率先してCTFやろうって感じで参加するのは非常にいいところだと思います。
モチベーション高い組織は技術に対しても前向きなのでいい会社だなと。
kmrrさんも完全にバイナリアンになりつつあるな・・・
「WebLogic Serverの脆弱性を検証してみた」:tokoroten
私の内容です。WebLogic Severの脆弱性のデモをしました。
あとは脆弱性の検証をやってみたい人の状況をお伺いしました。
結構やってみたいという意見があったので、早急に検討せねば・・・
勉強会終了後
bbr_bbqさん含め4名の方とお酒を飲みに行きました。
やはり月曜日から飲むお酒は格別ですね(笑)
行ったところはアキバの酒場という立ち飲み屋です。値段もリーズナブルでお酒が濃いのでいい感じに酔えます。
昔から知っている人もいたので、自然と昔の話に・・・
あの頃は大変だったな~としみじみしました。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
次回も頑張って資料や環境を作ります!
話してみたいとか参加してみたいという方は是非!
コメント