ニュース

  • ニュース

Share

Facebook Twitter linkedin
2019.11.01

CODE BLUE 2019 参加レポート Day1, Open Talks, Bluebox

2019年10月29日から10月30日の2日間で開催されていた『世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議』であるCODE BLUE 2019に参加してきたレポートです。
4回に分けたうちの2/4、Day1, Open Talks, Blueboxの内容になります。

Day1 Open Talks, Bluebox

Open Talks[LINE株式会社]
LINEのアプリケーションセキュリティ戦略と開発者向け教育
LINE’s application security strategy and education for developers

Presented by : Tomofumi Nakamura

 LINEが取り組み始めているセキュリティ教育についての紹介。LINEは様々な国に拠点を持っているが、各拠点にセキュリティ部門を配置できている訳ではない。
そのような国際性豊かな中でセキュリティを維持するために今まで様々な取り組みが行われてきた。

 セキュリティに対する取り組みの流れ
・2011 ~ 2012 : リスク管理 & ペネトレ & I&R
・2013 ~ 2015 : プライバシー影響評価 & コンサルティング & バグバウンティプログラム(LINE Security Bug Bounty Program) & 乱用のモニタリング
・2015 ~ 2018 : 設計レビュー & コードレビュー
・2018 ~ Now : Developing Security-related functionalities チームの配置
 バグバウンティプログラムを実施することで外部からの指摘が行われるようになっており課題(必要なもの)が見えてきた。

 会社全体のセキュリティに関する知識を高めるために、セキュリティのeラーニングが実施できる「EducationPlatform」を開発した。
エンジニア向けの問題だけでなく、非エンジニア向けの問題も用意されている。
問題例として「なぜハートディスクを暗号化するのか?」があり、非エンジニアにも必要とされるセキュリティ知識を高められるものとなっている。エンジニア向けの問題としてはXSSやCSRFなどの技術について問われる問題が用意されている。
 問題内容だけではなく、工夫されている点が多くある。以下のような工夫で受講だけさせる目的ではなく、知識として定着させる目的になっている。
・どこでも受講できるように、モバイルにも対応させている。
・安易に受講完了にできてしまう従来からある形式のビデオ・オーディオはあえて用意していない。テキストオンリーの内容としている。
・合否判定で不合格なった場合、再度判定を受けられるようになるには3日後となっている。答えだけを覚えて連続して合否判定を受ける人を排除するためにそのようにしている。

 社内だけではなく、今後、社外に対してもこのeラーニングを提供できるのではないか考えている。

Open Talks[NICT]
CYDERとCURE、NICTのサイバーセキュリティ最前線
CYDER and CURE, the forefront of cyber security in NICT

Presented by : Daisuke Inoue, Tomohiro Hanada

NICTからCYDERとCUREについての紹介の講演。
CUREはサイバー・セキュリティユニバーサル・リポジトリ。サイバーセキュリティ関連情報を集約、分析するセキュリティ情報融合基盤。NICTがNICTOR、HONEYPOT、EXIST、STARDUST、NIRVANA-KAI、ENDPOINTから収集した情報を集約し、分析している。脅威情報は手に入れたが、自社と関係あるかがわからないなどの理由で情報を有用に使えないという悩みから、生まれたもの。

また、無差別型攻撃対策、標的型攻撃対策に加え、Web媒介型攻撃対策として「WARPDRIVE」を利用開始した。これは情報を収集するエージェントを無償配布し、クライアントからのWeb通信の情報を集積、分析するもの。現時点でインストールされているクライアント数は約8500となっており、約15million/1日のペースで情報を収集できている。来年度にはIoT、スマートフォン向けのエージェントをリリースする予定。

CYDERはNICTが開催する実践的サイバー防御演習。サイバー攻撃によるインシデント発生時の対応を実践的に学ぶことができる。
事前オンライン研修と集合研修に分かれており、事前オンライン研修では集合研修で実際にハンズオンをするための事前知識の学習を、集合研修では、CSERTの一員というロールで課題として提示されるインシデントに対するインシデントハンドリング(インシデントの検知->トリアージ->インシデントレスポンス->報告)を実際に行うことでの学習ができる。
攻撃は日々、変化・進化している。未知の脅威に対応することになるのは最終的には人間である。ハンズオンで経験を積んでおくことで、「想定内」を多くし、「想定内」であることが多ければ多いほど、人間は「慌てなくなる」。

Bluebox
Shattering the dark:ダークウェブの脆弱性を暴く
Shattering the dark: uncovering vulnerabilities of the dark web

Presented by : Takahiro Yoshimura, Ken-ya Yoshimura

半自動Web脆弱性スキャナ:Shatter(http://sha.tter.io/)の紹介。現時点では公開はされておらず、先のサイトではカウントダウンが動いている。

ダークウェブはgoogleへのアクセスができないため、reCAPTCHAは利用できない。
そのため攻撃ツールなどからのアクセスを防止するためにCAPTCHAを認証に利用している場合が多い。
CAPTCHA認証の突破については、画像認識に関する機械学習を利用することで可能にしている。CAPTCHA認証を突破できれば、ログイン後の環境について余すことなく診断することができる。

自動診断ツールだと診断範囲が浅くなり、手動診断ツールだと診断作業を実施する人間の練度によって結果が変わりうる。Shatterだとtarget mapを手動で作成することで、診断対象へさらに深く潜ることができるようになり、パラメータ推測や2要素認証突破もできる可能性がある。

Bluebox
DDIR: ダークウェブの研究を目的としたオープンソースデータセット
DDIR: An Open Source Dataset for Darkweb Research

Presented by : Yuu Arai

darkwebのblackmarketでは、薬物、銃、攻撃ツールなどの違法物品が扱われていることが多く、犯罪の温床となっている。またblackmarketの運営者が検挙されてもv2, v3と次のマーケットができるエコシステムのような循環があり、いたちごっことなっている。
有名なsilk roadについてもsilk road(2011-2013) -> silk road 2(2013-2014) -> silk road 3 reloaded(2015-2017) -> silk road 3.1(2017-)というように、運営者が検挙 -> marketが閉鎖 -> 違う名前でmarketができるというサイクルを繰り返している。監視し続けないといけないが、人がやるには限界がある。
こういった背景から、違法サイトかどうかを判断する機械学習で利用できるデータセットを作成し、公開した。データセットは2GB、csv形式で、違法サイトかどうかのラベリングをしている。4340の.onionのサイトをクロールして作成。
(https://github.com/nenaiko-dareda/DDIR/)
機械学習を取り入れようとしたときの最初の障壁がデータ集めである。セキュリティエンジニアが機械学習に興味を持ったときに、データがないからといって諦めて欲しくないとの思いで、作成したとのこと。
他にも有名なデータセットとして以下が紹介されていた。
EMBER dataset(https://github.com/endgameinc/ember
SQLinjection(https://github.com/Morzeux/HttpParamsDataset
Twitter Bot(https://github.com/jubins/MachineLearning-Detecting-Twitter-Bots

Open Talks[株式会社インターネットイニシアティブ]
SYN/ACKパケットを用いたDDoS攻撃の脅威
Threat of DDoS attacks using SYN / ACK packets

Presented by : Shun Morita

IIJの情報分析基盤においてDDoS攻撃の観測を実施している。
今回の講演はDDoSの中でもSYN/ACK Reflection攻撃に関する分析結果の共有。
攻撃の手法としては以下
・攻撃者がリフレクタに対し、送信元を攻撃対象に偽装したSYNパケットを投げる
・リフレクタが攻撃対象にACKパケットを応答する
・攻撃対象はACKパケットに応答しないため、リフレクタがACKパケットを再送する
ただし、パケット自身の増幅率はないため、再送処理による増幅を見込んでの攻撃となる。
観測を通じて、一定の期間ごとに特定のリフレクタ群が利用されていることがわかった。
攻撃される側の視点とリフレクタの視点だと分析結果が異なり、リフレクタ個々については攻撃に受けるパケット数が多くはない。そのため、リフレクタとして利用されているデバイスが大量に存在するのではないかと思われる。また、SYNパケットのみで正常通信なのか、攻撃なのかを判断することは難しい。
被害事例がないと、分析結果が妥当なのかの判断がつかない状況でもあった。2018年8月に海外のホスティング事業者から公表があった被害報告を分析結果と照合したりもしている。
今後も引き続き、観測・分析を行っていく中で、攻撃に関する情報共有を相互に行うことで、分析の精度をあげていきたい。

Bluebox
リサーチャー向けOPSEC
OPSEC for investigators

Presented by : Krassimir Tzvetanov

OPSEC(Operations Security)とはリスク管理プロセスの1つで、機密情報が悪意のある者に渡るのを防ぐために、管理者が敵の視点から運用を確認することを奨励するものである。
元々は軍事的概念だったが、民間に広がり、現在はOSPA(Operations Security Professional's Association)がOPSECに関する活動の支援を行なっている。
https://opsecsociety.org/
OPSECの強化はあらゆる組織のCSOなどにとって重要なことである

OPSECには5段階のプロセスがある
・重要情報の識別
・脅威の分析
・脆弱性の分析
・リスクの評価
・適切なOPSEC対策の適用

攻撃者は機密ではないいろいろなところに残された痕跡情報からターゲットを調べていく
注意すべきとして、個人情報などの機密情報はもちろん、人的側面に対しての対応(セキュリティ教育など)も必須である。