2016.06.28(火)

[Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員

研修・セミナー・カンファレンス セミナー・イベント

●Black Hat Arsenalに 2 年連続出場

世界最大級のセキュリティカンファレンス Black Hat USA には、研究者たちによる講演や、企業による展示ブースなどがあるが、それらとは独立した形で、先進的・独創的なセキュリティツールの展示とデモが行われる「Arsenal(アーセナル)」の会場がある。

Black Hat USA のArsenalに出場するためには、研究者やオープンソースコミュニティが、自分の開発したツールを事前に申し込み、審査を通らなければならない。つまり挑戦者の中から選ばれた者だけが、この晴れの舞台で自慢のツールを披露することができる。

昨年の Black Hat USA 2013 では、日本人として初のArsenal出場を果たしたマクニカネットワークスのセキュリティ研究センター主任技師・凌翔太(しのぎ しょうた)氏が、自作の検証用マルウェア「ShinoBOT」を紹介した。その後、ShinoBOT は Black Hat 2013 のサイトから世界中でダウンロードされ、研究・検証のために世界80ヶ国で利用された。

そして今年、Black Hat USA 2014 で 2 年連続の出場を果たした凌氏は、Arsenal会場に設置されたステージでもプレゼンテーションを行った。

今回、紹介された新しい ShinoBOT Suite は、標的型攻撃のシミュレーションを 5 つの手順で整えられる「疑似マルウェアパッケージ」だ。スクリーンショットやシステム情報などを C&C サーバから取得する「疑似 RAT」の機能は昨年と同様だが、新しい ShinoBOT Suite は攻撃に必要となるものが全て準備されている(猫のデコイファイルにいたるまで)。ダウンロードしてからエクスプロイトを開始するまでの所要時間は僅か 10 分で、さらに様々なカスタマイズも可能となっている。

●世界から集まったBlack Hat 来場者がShinoBOTを見た反応

凌氏のブースを訪れて、ShinoBOT の説明を聞いたばかりの世界から集まった専門家の来場者に感想を聞いたので、一部を紹介させていただきたい。

「これを使って開発中の製品を評価してみたい。セキュリティ製品の将来性を見極めるテストに、とても効果的だと思う。ShinoBOT のことは初めて知った。これに近い機能のものを見たことがないわけじゃないけど、ほとんどは悪質な目的で作られたものばかりだから……。私は、こういうものを見るために Black Hat に来てるんだ(米サンディエゴからの来場者)」

「製品のペネトレーションテストに利用できそうだ。どのような防御が必要となるのか、それに気づくこと、その意識を高めることは、どんな組織にとっても重要だと思う(サウジアラビアからの来場者)」

「面白い。なるほどと思うところがいくつかあった。エクスプロイトキットの構成として個人的に興味がある。個人で行うエクスプロイトに興味があるのかって? みんな本当はそうなんじゃないの?(インドからの来場者)」

●用意したハンズアウトが全てなくなる盛況

Arsenalでの展示とプレゼンテーションを終えた凌氏に、2年目の手応えについて、会場で直接インタビューをする機会を得た。

──2 年連続のArsenal出場、今年は昨年と比べてどうでしたか?


「昨年は遅い時間帯に発表を行ったのですが、今回のプレゼンテーションは早い時間帯でした。そのせいもあってか、人の数が多くて驚きました。ブースの前で立ち止まってくださる方も、昨年よりずっと多かったので、準備していた資料(ShinoBOT のリーフレット)が一瞬でなくなってしまいました。前回のイメージから、『これぐらいあれば足りるだろう』と考えて用意したのですが……」

──今年のほうが、来場者さんの食いつきもいいと感じましたか?


「そうですね。去年の ShinoBOT は、他の RAT とは異なる特徴があったものの、やはり RAT でした。今年の ShinoBOTは、APT 攻撃の最初から最後までをシミュレーションできるようになったので、そこが響いたかな、という気はします」

──先ほど ShinoBOT のブースを訪れた来場者さんにお尋ねしたところ、「自社のセキュリティ製品の質を上げたい人」と、「悪いことに興味のある個人」の両方が興味を示していらっしゃいましたが。


「悪い意図では使えないようにしています。ShinoBOT では最後のステップで RAT が実行されるのですが、C&C サーバから RAT をコントロールするためにはパスワードが必要で……(編集部註:以降、ShinoBOT の安全性の仕組みについて、やや機密性の高いお話となるため、ここでは割愛いたします)」

──Arsenalの出典には勤務先のマクニカネットワークスのセキュリティ研究センターの仕事としていらしているのですか?


「絶妙な質問ですね。ShinoBOTの開発は業務時間で行っているときもあるので、業務の一環ともいえます。しかし、実態は趣味で作っている部分が大きいのでグレーゾーンですかね(笑)。ただし、セキュリティ研究センターでは日本にまだ上陸していない真新しいセキュリティソリューションを評価することがしばしばあり、その際は業務としてShinoBOTを活用しています。マルウェアを検知する対策を評価するためには自分で作ったマルウェアで試すのが一番ですからね。」

──なるほど。本日は本当にありがとうございました。これからも頑張ってください。


「ありがとうございます」
《翻訳:フリーライター 江添 佳代子》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. サイバーインシデント対応にはいくらかかる? 費用試算詳細とサイバーセキュリティ保険加入状況、保険料例

    サイバーインシデント対応にはいくらかかる? 費用試算詳細とサイバーセキュリティ保険加入状況、保険料例

  2. [Black Hat USA 2015] “無名”の日本のサイバーセキュリティ製品が Black Hat に挑戦するまで

    [Black Hat USA 2015] “無名”の日本のサイバーセキュリティ製品が Black Hat に挑戦するまで

  3. ScanNetSecurity勉強会レポート:サンドボックス製品使用実感比較

    ScanNetSecurity勉強会レポート:サンドボックス製品使用実感比較

  4. 9月23~25日、セキュリティ・ミニキャンプを広島で開催(IPA)

  5. セキュリティ・キャンプの参加者51名が決定、最年少は15歳(IPA)

  6. CTF開催、SOCオペレータとしてRSA製品を用いインシデントに迫る(EMCジャパン)

  7. [DEF CON 22 レポート] binja DEFCON22 CTF参戦レポート

  8. [RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

  9. [編集長セキュリティカンファレンス放浪記] TROOPERS16 ~ ドイツの古城でひとりぼっち

  10. [RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポート

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×