[Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.19(火)

[Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員

研修・セミナー・カンファレンス セミナー・イベント

●Black Hat Arsenalに 2 年連続出場

世界最大級のセキュリティカンファレンス Black Hat USA には、研究者たちによる講演や、企業による展示ブースなどがあるが、それらとは独立した形で、先進的・独創的なセキュリティツールの展示とデモが行われる「Arsenal(アーセナル)」の会場がある。

Black Hat USA のArsenalに出場するためには、研究者やオープンソースコミュニティが、自分の開発したツールを事前に申し込み、審査を通らなければならない。つまり挑戦者の中から選ばれた者だけが、この晴れの舞台で自慢のツールを披露することができる。

昨年の Black Hat USA 2013 では、日本人として初のArsenal出場を果たしたマクニカネットワークスのセキュリティ研究センター主任技師・凌翔太(しのぎ しょうた)氏が、自作の検証用マルウェア「ShinoBOT」を紹介した。その後、ShinoBOT は Black Hat 2013 のサイトから世界中でダウンロードされ、研究・検証のために世界80ヶ国で利用された。

そして今年、Black Hat USA 2014 で 2 年連続の出場を果たした凌氏は、Arsenal会場に設置されたステージでもプレゼンテーションを行った。

今回、紹介された新しい ShinoBOT Suite は、標的型攻撃のシミュレーションを 5 つの手順で整えられる「疑似マルウェアパッケージ」だ。スクリーンショットやシステム情報などを C&C サーバから取得する「疑似 RAT」の機能は昨年と同様だが、新しい ShinoBOT Suite は攻撃に必要となるものが全て準備されている(猫のデコイファイルにいたるまで)。ダウンロードしてからエクスプロイトを開始するまでの所要時間は僅か 10 分で、さらに様々なカスタマイズも可能となっている。

●世界から集まったBlack Hat 来場者がShinoBOTを見た反応

凌氏のブースを訪れて、ShinoBOT の説明を聞いたばかりの世界から集まった専門家の来場者に感想を聞いたので、一部を紹介させていただきたい。

「これを使って開発中の製品を評価してみたい。セキュリティ製品の将来性を見極めるテストに、とても効果的だと思う。ShinoBOT のことは初めて知った。これに近い機能のものを見たことがないわけじゃないけど、ほとんどは悪質な目的で作られたものばかりだから……。私は、こういうものを見るために Black Hat に来てるんだ(米サンディエゴからの来場者)」

「製品のペネトレーションテストに利用できそうだ。どのような防御が必要となるのか、それに気づくこと、その意識を高めることは、どんな組織にとっても重要だと思う(サウジアラビアからの来場者)」

「面白い。なるほどと思うところがいくつかあった。エクスプロイトキットの構成として個人的に興味がある。個人で行うエクスプロイトに興味があるのかって? みんな本当はそうなんじゃないの?(インドからの来場者)」

●用意したハンズアウトが全てなくなる盛況

Arsenalでの展示とプレゼンテーションを終えた凌氏に、2年目の手応えについて、会場で直接インタビューをする機会を得た。

──2 年連続のArsenal出場、今年は昨年と比べてどうでしたか?


「昨年は遅い時間帯に発表を行ったのですが、今回のプレゼンテーションは早い時間帯でした。そのせいもあってか、人の数が多くて驚きました。ブースの前で立ち止まってくださる方も、昨年よりずっと多かったので、準備していた資料(ShinoBOT のリーフレット)が一瞬でなくなってしまいました。前回のイメージから、『これぐらいあれば足りるだろう』と考えて用意したのですが……」

──今年のほうが、来場者さんの食いつきもいいと感じましたか?


「そうですね。去年の ShinoBOT は、他の RAT とは異なる特徴があったものの、やはり RAT でした。今年の ShinoBOTは、APT 攻撃の最初から最後までをシミュレーションできるようになったので、そこが響いたかな、という気はします」

──先ほど ShinoBOT のブースを訪れた来場者さんにお尋ねしたところ、「自社のセキュリティ製品の質を上げたい人」と、「悪いことに興味のある個人」の両方が興味を示していらっしゃいましたが。


「悪い意図では使えないようにしています。ShinoBOT では最後のステップで RAT が実行されるのですが、C&C サーバから RAT をコントロールするためにはパスワードが必要で……(編集部註:以降、ShinoBOT の安全性の仕組みについて、やや機密性の高いお話となるため、ここでは割愛いたします)」

──Arsenalの出典には勤務先のマクニカネットワークスのセキュリティ研究センターの仕事としていらしているのですか?


「絶妙な質問ですね。ShinoBOTの開発は業務時間で行っているときもあるので、業務の一環ともいえます。しかし、実態は趣味で作っている部分が大きいのでグレーゾーンですかね(笑)。ただし、セキュリティ研究センターでは日本にまだ上陸していない真新しいセキュリティソリューションを評価することがしばしばあり、その際は業務としてShinoBOTを活用しています。マルウェアを検知する対策を評価するためには自分で作ったマルウェアで試すのが一番ですからね。」

──なるほど。本日は本当にありがとうございました。これからも頑張ってください。


「ありがとうございます」
《江添 佳代子》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. 成功した CSIRT が準備期間にやっていたこと

    成功した CSIRT が準備期間にやっていたこと

  2. Active Directory がボットネットになる日

    Active Directory がボットネットになる日

  3. ヤフーが作りあげたセキュリティ教育

    ヤフーが作りあげたセキュリティ教育

  4. AI の弱点をつく攻撃と AI のサイバー攻撃活用

  5. セキュリティ対策の都市伝説を検証する

  6. FFRI 鵜飼裕司の Black Hat USA 2017 注目 Briefings ~ マルウェアの復活

  7. 巨大ボットネット解体 - 6年の捜査を支えた産学官協力体制

  8. 不審メール訓練マンネリ化打破2つの方法(S&J) [ Email Security Conference 2017インタビュー]

  9. 人工知能に半信半疑の方こそ来てほしい(Cylance Japan) [Security Days Fall 2017 インタビュー]

  10. ICS / SCADAへの「攻撃者視点」を知ることで対策方法を理解する実践トレーニング

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×