今秋、名古屋(9/26)・大阪(10/4)・東京(10/9-11)の順に開催されるセキュリティカンファレンス Security Days Fall 2019 では、マルウェア解析の精鋭部隊であるキヤノンMJ のラボから原田 隆史 氏が、イーセットジャパンからはテクノロジー&セキュリティ エバンジェリストの中川 菊徳 氏のそれぞれ 40 分間の講演が 2 セッション連続で行われる。マルウェアトレンドやサイバー攻撃に対する防御プランなど、講演の見どころを中心に両者に話を聞いた。
――まず原田さんにお聞きします。ラボでマルウェア解析の仕事についたきっかけは?
今年で入社して 3 年目になります。大学では一切セキュリティに携わる学問はしてこなかったのですが、入社してすぐ、2017 年 5 月頃に、WannaCry の大流行がありました。IT の力、セキュリティの重要性をまざまざと認識し、すぐにマルウェアラボへの配属を希望しました。
マルウェアラボは 4 年前に設立された組織で、私が新人で配属された第 1 号です。
――幸せな経歴ですね。ラボに配属されて、実務を通じて学んでいく過程で、どんなことを発見しましたか?
ラボに入るまではマルウェアに触れたこともなかったので、そもそも「触ってもいいものなんだ」という素直な驚きがありました。今はマルウェア解析を中心に、解析の結果からわかったことをレポートなどで情報発信しています。多くの人に伝えていくやりがいを感じています。
同時に、マルウェア解析に終わりはないとも思います。最初は C&C サーバーの通信先が見つかれば御の字という感じでしたが、マルウェアを見れば見るほど、知れば知るほど、様々な技術、機能が盛り込まれていることを日々発見してきました。また、同じ検体でも調べ直すと、当初気づかなかったことに気づき、その意味でも「終わりはない」と感じます。
――現在のマルウェアラボの体制は?
メンバーは 8 人で、解析と情報発信の 2 つのグループに分かれています。解析グループは比較的、年次の若いメンバーが多いです。私は解析グループですが、情報発信も行うという立ち位置で、マルウェアレポートの執筆も行っています。
特許取得などで成果を発表することもあり、特許出願は徐々に増やしていこうとしているところです。
―― Security Days Fall 2019 の講演「 2019年に日本国内で確認されたマルウェアのトレンド(大阪会場 ・ 東京会場)」の見どころについて教えてください。
当社が販売する ESET 製品が、2019 年に日本で検知したマルウェアの情報を分析し、その傾向を解説します。そして、それぞれの傾向を象徴する事例を紹介します。
具体的には 2 つの傾向があり、1 つめは、メールを媒介にしたマルウェアが多いことです。不審なメールに添付されたファイルからマルウェアに感染する、いわゆるばらまき型のサイバー攻撃は依然として件数が多いのでそのあたりの動向を紹介します。
2 つめは、ソフトウェアやアプリケーションの脆弱性を悪用するマルウェアが増えていることです。これは、圧縮・解凍ソフトの脆弱性を例にとり、攻撃手法などのケーススタディをご紹介します。
Security Days には様々な知識レベルの方が来場すると思うので、技術的に細かい解説を行うというよりも、すべての方が知っておくべき前提知識となる、攻撃動向に関する情報を提供できればと思います。
――ありがとうございます。では、続いて中川さんにお聞きします。昨年、日本法人としてイーセットジャパンが設立されました。中川さんの略歴と ESET の仕事についたきっかけは何ですか?
私はアメリカや香港でセキュリティアナリストやコンサルタントのキャリアを積み、帰国後は大手セキュリティベンダー 2 社を経験しました。物理層からアプリケーション層までカバーしたネットワークエンジニアとしての職歴が生かせると思い、イーセット日本法人を設立するタイミングでジョインしました。これまで ESET が培ってきた、インターネットの安心、安全を守るというビジョンに私自身とても共感し入社しました。
―― ESET 製品、あるいは ESET ブランドについて、どのような印象を持っていましたか? 入社前と後で印象は変わりましたか?
ESET のエンドポイント製品については入社前から良い噂ばかりで。入社後に、大手企業のセキュリティのベテラン担当者が長年、ESET 製品を使っているということなども知りました。
―― ScanNetSecurity の初代編集長は NOD32 を好きでした。
ありがたいことにセキュリティに関する知識のある方には高い評価をいただいております。ただ、認知度は必ずしも高くありません。一般ユーザーにも ESET のブランドを知ってもらい、良さを体感してもらいたいと考えています。
――認知度向上が日本法人設立の目的のひとつですか。
そうですね。これまでキヤノンMJ が培ってきた販売網、実績を大切にしながら、より ESET ブランドを浸透させるのが私たちのミッションです。
イーセットジャパンの主な取り組みは、ESET 製品のマーケティングサポートを担うことで、キヤノンMJ との連携を密にしながら、製品の市場投入を進めていきます。
私たちはブランドに対する「共感」を重要視しています。お客様の要望をスピーディに、ダイレクトに本社に伝え、フィードバックしていくことで、お客様にベネフィットを感じていただき、共感を生み出していきたいと考えています。
――今回の講演は「 MITRE ATT&CKに見る攻撃類型とこれに対抗する具体的防御プラン(大阪会場 ・ 東京会場)」。「MITRE ATT&CK(マイター アタック)」は誰でも無償で利用できるフレームワークですが、どんな講演になるのですか?
ATT&CKフレームワークは、脆弱性情報の識別子「 CVE-ID 」を管理する非営利団体 MITRE 社が開発したサイバーセキュリティに関するフレームワークです。200 種類以上の攻撃手法や戦術を分析、作成された包括的なサイバーセキュリティのフレームワークであり、ナレッジベースでもあります。
CVE が攻撃の対象となる脆弱性であるのに対して ATT&CK は、攻撃のプロセスや侵入後の対策に重点を置き、攻撃者視点と防御側視点からサイバー攻撃の戦術、戦法を整理、体系化しており、また、民間企業や政府機関といった任意の組織や人にオープンに利用されている点で画期的な枠組みです。
ペネトレーションテストやレッドチームオペレーションなど、これまで攻撃に関する情報は、各企業内に閉じて管理されてきました。MITRE 社はグローバルでこれを共有し、一つのデータベースに統合しようという志のもと運営されています。
講演では、初学者でも分かりやすいように、ATT&CK の導入部分を丁寧に解説します。たとえば、セキュリティ企業から受け取ったレポートに「 APT32 」という攻撃グループの名前が出てきたとして、それが「どんな目的を持って」「どんな産業領域に」「どんなツールを使って攻撃を仕掛けるのか」具体的に調べる方法についても伝授します。
ESET 社は、コントリビューターとして MITRE に情報提供しており、ATT&CK を利用いただくことは、間接的に我々のインテリジェンスを活用していただくことにつながります。その意味でも、今回の講演に意義があると感じています。
――マルウェア解析の現場からの最新動向と、サイバー攻撃のインテリジェンス活用のノウハウを幅広く学べる講演ということで、幅広い層に響く内容となりそうですね。本日はありがとうございました。
イーセットジャパン株式会社 テクノロジー&セキュリティ エバンジェリスト 中川 菊徳 氏(左)
キヤノンマーケティングジャパン社 Security Days Fall 2019 講演予定
・残席僅 Security Days Fall 2019 OSAKA 原田氏 講演 10月4日(金) 午前11:35~12:15
・残席僅 Security Days Fall 2019 TOKYO 原田氏 講演 10月9日(水) 午前10:30~11:10
イーセットジャパン社 Security Days Fall 2019 講演予定
・残席僅 Security Days Fall 2019 OSAKA 中川氏 講演 10月4日(金) 午前10:40~11:20
・残席僅 Security Days Fall 2019 TOKYO 中川氏 講演 10月9日(水) 午前9:35~10:15
