Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

セキュリティリサーチャーズナイト?を聴いてきた。

2月7日に東京で開催された@IT セキュリティセミナーに行ってきました。

f:id:foxcafelate:20180207195553j:plain

と言っても、所用と重なって一日空ける事が出来ず、後半2セッションのみの参加でした。登録していた講演枠には・・・サイバーディフェンス研究所名和さんの講演や、アスタリスク・リサーチ(OWASP JAPAN

)代表の岡田さんの講演など、聴講できなかったのがとても残念なのですが、いつも楽しみにしている最終講演の、セキュリティリサーチャーズナイト?には何とか参加できたので、良い刺激を受けてきました。この後、大阪・福岡とまだ同講演が残っていますので、詳細はあまり書かない様にとは思いますが、自分の忘備録と聴講の感想も含めて印象に残ったところを書いてみます。

 

※直接パネルディスカッション(=雑談=PodCast)を聞いた方が絶対に面白いので、機会あれば会場で生の3人のお話を聞いて頂く事を強くお奨めします。 

 

セキュリティリサーチャーズナイト
~世間から見過ごされた注目事件~


世間を騒がせるセキュリティ事件。最近では、Spectre、Meltdownと呼ばれるプロセッサの脆弱性が大きく報道されています。 しかし、注目されていない事件の中にも、水面下で深刻度が増しているものや、セキュリティ担当者ならぜひ知っておきたい教訓があります。
本セッションでは、セキュリティリサーチャーズが注目するセキュリティ事件をピックアップ。 事件の全貌と、そこから何が読み解るか語り合うとともに、報じられないインシデント情報をいかにして入手し、どう見ているのか、セキュリティリサーチャーズの情報との向き合い方を明かします。 

パネリスト
 株式会社インターネットイニシアティブ  根岸 征史 氏

 ソフトバンク・テクノロジー株式会社  辻 伸弘 氏

 piyokango 氏

 

JALBEC被害

  • 相撲協会のニュースに押されて全国紙の取り上げ方が少なかった
  • 旅行業以外の企業でも気をつけなければならないポイントが多いのに流された印象
  • IPAの昨年4月の資料が事例掲載も含めよく出来ている
  • JALの事件は予想以上に手が込んでいる。準備して襲ってきている
  • 対策は電子署名や原本確認、コールバックなどいくつか考えられるが、難しい
  • 人のつながりが大事。(経理・財務にセキュリティ情報の連携をセミナー参加者から・・)

 

◆国内の(D)DoSキャンペーン

  • 12月~1月にPiyoKango調べで42サイトが影響
  • ハクティビスト(目的が良く分からない)
  • 攻撃キャンペーンは12月10日~年末辺りで今は落ち着いている
  • Twitterアカウント停止で動きが鈍った

※キタきつね注釈

攻撃者を利する事になるかも知れないから具体的の名前を出すのは、講演内ではパネラーの方は敢えて避けてらっしゃいました。私はピンときましたが、会場の雰囲気(私的印象)では、ボカして話されていたので、あまり伝わってこなかったかなと思われる聴講者が結構いた様に思いました。(※実名だした方が良かったと愚考します)

私はこのBlogを見るようなセキュリティ担当・興味を持つ方であれば知っておいた方が良いと思うので、下記によくまとまった記事のリンクを貼っておきます。

www.j-cast.com

この後、少し雑談風に流れておき、どうやってこうした情報を把握しているのか?という話題になりました。piyokangoさんが死活監視のサービスを使ってたり、中国企業の奇虎(チーフ)360のDDoSMonサービスを実験的に使って調査していたり、辻さんがTwitterのキーワード監視をしていたり、DDoSに強い人をリスト化して追っかけていたり、根岸さんは大人の事情で言えない(でも色々やってますよ)等々、自分の知らなかった良い工夫やツールは、リサーチは非常に手間がかかるのを身にしみて感じているので、大変勉強になりました。

また3人が共通してコメントされていた、情報収集にはTwitterが一番、という部分も改めて実感しました。とは言え私自身は、情報が流れてしまって追い切れない場合も多く、まだまだ情報収集という部分では改善が必要かも知れません。

 

◆標的型ランサム攻撃

  • 標的型とランサムウェア両方の合わせ技の攻撃は結構ある
  • 去年が韓国のホスティングプロバイダ「NAYANA」がLinux153台がランサムウェアに感染
  • NAYANA側は5分で被害に気付いたが2重にバックアップしていたサーバが最初に襲われた
  • 攻撃側は数週間~数か月調査でシステムに入り込んで、どこを狙うべきか考えてから一斉に暗号化する
  • 4日間の減額交渉の結果397.6BTC(1億2000万円)の支払いで決着

NAYANA参考:

itpro.nikkeibp.co.jp

  • 先月複数の米国の病院がSAMSAMに襲われた
  • リモートデスクトップのパスワード脆弱性を突かれた
  • 入り口は単純にメールだけではなくなっている
  • WannCry(日立の)電子顕微鏡の件もあるので、どこがどう繋がっているのか把握することが重要
  • 病院なので人命第一だとしても、支払う判断まで短時間で行き着いたのはすごい

 

 

上記病院の事件参考:

foxsecurity.hatenablog.com

※キタきつね注釈

確か根岸さんのTwitterを見て事件を調べた記憶があります。パネル説明の中で、(当たり前と言えばそうなのですが)第2報となるCEOのレター部分まで、諸先輩方は見ていた(=同じソースを見ていた)事は、自分がやっている事の方向性と同じだったので良かったです。

 

今回のセミナーを含め、ここ1年で4回程リサーチャーズの諸先輩方(1回はpiyoさんでなく徳丸さんでしたが)のパネルに参加していますが、優れた知見を伺うのはとても刺激を受けるので、これからも機会あれば聴講していきたいと思います。

今回はpiyoさんが結構喋ってた(見せ場がいつもよりあった)のもpiyoさんファンとしてはうれしい所でした。(どうしても3人だと辻さん、根岸さんの方がしゃべっている事が多いので・・・)

 

参考:

ddosmon.net

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

 

更新履歴

  • 2018年2月8日 AM