2019年10月29日から10月30日の2日間で開催されていた『世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議』であるCODE BLUE 2019に参加してきたレポートです。
4回に分けたうちの3/4、Day2, Main Trackの内容になります。

Day 2, Main Track

CoinbaseとFirefoxの0-day
Coinbase and the Firefox 0-day
Presented by : Philip Martin

Coinbaseが狙われた事例を共有する。Coinbaseはアメリカ合衆国の仮想通貨取引所である。
以下に事例のタイムラインを示す。
Phase Recon
・約200人の初期ターゲットに対してメールを配信
Phase Weaponization
・ケンブリッジ大学の正規のアカウントを取得
・Firefoxの脆弱性を利用するExploit環境を準備
Phase Delivery
・ソーシャルエンジニアリングを用いて、初期ターゲットから攻撃対象を絞り込み
・ケンブリッジ大学の正規のメールアドレスからメールを配信
・さらに攻撃対象を絞り込み、５名に対してフィッシングメールを配信
　-> このメールのリンク先がExploit環境となっていた。
Phase Exploitation&Installation
・端末に仕込んだマルウェアにて機密情報の収集を実施
Phase Action on Target
・暗号通貨を盗むための準備としての情報収集を実施
　-> Coinbaseのインシデントレスポンスチームが、ここで検知し対応した。

インシデントレスポンスの点では、早期検知と即時対応が出来ていた。そのために、会社として可視化には非常に注力しており、アラートの品質も追求している。これは、「見えないものは防御できない」「システムで対応できない攻撃もある」との意識から来ている。
また、対応演習を何度も実施しており、作成したplaybookの内容を体に覚えこませるようにしていたことも重要であったと考える。インシデントレスポンスに対してのの評価軸は、「時間」と「playbook内容でのカバー率」。即ち、迅速性と想定内かどうかということが重要である。

Main Track
バンキングトロジャンのすべて
The Trouble with Trojans
Presented by : Austin McBride, Artsiom Holub

講演者はCisco Umbrellaのリサーチチームに属しており、データサイエンスとネットワークセキュリティの分野での活動をしている。
Cisco Umbrellaとは、DNSセキュリティ製品、DNSクエリをproxyし、悪性なものであればレスポンスを返さないようにするセキュリティサービスである。

観測データから以下の特徴が見えてきた。
リージョンごとの脅威の特徴
・アメリカ：マルウェア、クリプトマイニングが上位
・ヨーロッパ、アジア：マルウェア、トロジャンが上位
ターゲットごとの脅威の特徴
・教育機関：クリプトジャッキングの検知が多い
・金融機関：トロジャンの検知が多い
・製造業：ウイルス、ワームの検知が多い
近年、多く観測されているTrojansはEMOTET、Ursnifであり、EMOTETのC&Cサーバは日本のインフラにも多く存在することが判明している。
Umbrellaの検知エンジンはASN、passive DNS、WHOISなどのデータを用いて、Co-occurrence Modelを使って日々学習させている。

DNSセキュリティを強化するアドバイスとして以下２点がある。
・DNS block listsをまず利用しておくこと
・OSINTで情報を取得することも重要
OSINTで利用できるサイトとして以下が挙げられていた。
・twitter IOC Hunter(http://tweettioc.com/)
・URLhaus(https://urlhaus.abuse.ch/)

Main Track
ハードウェアウォレットセキュリティ
Hardware Wallet Security
Presented by : Sergei Volokitin

ハードウェアウォレットは「仮想通貨の所有権の証でもある秘密鍵を管理するインターネットから完全に隔離した状態で保管する端末」である。
攻撃として想定されるのは、以下の３点である。
・マルウェアを仕込む
・物理的にアクセスする
・前の利用者として何かを仕込んでおく
ハードウェアウォレットにそもそも実装されているセキュリティの特徴として以下がある。
・SecretKeyは外部に出ない
・small api
・メモリ保護、ファームウェア保護

製品選定し、検証したところ脆弱性を発見した。ソフトウェアバグがなければ安全かという訳でもない。サイドチャネルアタックで一時的にバグらせることで以下のようなコマンドを送り込むことでパスワードを変更し、乗っ取ることが可能だった
・fsm_msgResetDeviceコマンド：RAMのPINコードを削除
・fsm_msgChangePinコマンド：FlashのPINを変更

結論として、ソフトウェアは信頼できないし、ハードウェアは信頼できない、とのことだった。

Main Track
Crypto Cobra:暗号資産交換所を狙う、国家の支援を受けた実行者
Crypto Cobra: Tales of the nation-state actor targeting crypto-exchanges
Presented by : Dani Goland, Ido Naor

2018年以降、暗号資産交換所をターゲットにした攻撃が増えている。このターゲットは、カジノ -> 銀行 -> 暗号資産交換所と移り変わっている。
「Celas Trade Pro」という仮想通貨のトレーディングアプリに紛れて感染するWindows PCをターゲットとしたマルウェアはLazurus(北朝鮮が関与していると思われる攻撃グループ)が開発しているとされている。このマルウェアがmacOS用に移植された。このmacOS用マルウェアを利用した攻撃を「Operation AppleJeus」と呼称している。
このマルウェアは、潜伏期間を経て、以下のような流れで動作する。
・インストールされた環境の調査 -> macOSであれば活動を続け、異なれば自身を削除する
・マルウェア自身のアップデート
・デバイスのshellを取得
・別のマルウェアやバックドアファイルのダウンロードや機密情報のアップロードを行う

暗号資産交換所においては対策が３つのポイントで必要となる。
・KYC know your customer：顧客本人の身元確認における書類手続き
・AML anti money laundering：マネーロンダリング対策
・CFT combating the financing of terrorism：テロ資金供与対策

Main Track
暗号資産交換所の担当者に対する最近のAPT攻撃
Recent APT attack on crypto exchange employees
Presented by : Heungsoo Kang

LINEの暗号資産交換サービスが狙われた事例を３つの視点(被害者/攻撃者/対応者)で共有する講演だった、

・被害者
狙われたのは、10年以上の経験がある開発者だった。
ケンブリッジ大学の正規のメールアドレスからのフィッシングメールだったため、メールセキュリティ対策では止められなかった。
リンクにアクセスすると「ブラウザが対応していません、Firefoxのインストールをという趣旨の表示が出るようになっており、Firefoxでリンクにアクセスするとサイトに仕込まれていたFirefoxの脆弱性をつくスクリプトが発動し、端末にマルウェアをインストールされてしまった。

・攻撃者
攻撃前の事前準備として以下を実施した上で、攻撃しようとしていた。
・ExpoitToolの用意
・マルウェアの用意
・サーバ(C&Cサーバ、マルウェアをホストするサーバ)の用意
・ドメインの取得
・メール送信するためのアカウントのハッキング
・ターゲットとする暗号資産交換所従業員のリスト作成
・フィッシングメールの配信

・対応者：blue team
不審なIPへの通信が発生したこと、新規作成された不審な実行ファイルができたことから検知することができた。

攻撃グループの情報としては「HYDSEVEN」と呼ばれるもので、今回の事例と同様「スピアフィッシング」と呼ばれる手法も用いることが多いとのこと。ロンドン大学、アルジェリア大学などに対しても攻撃を行なっている。
対策としては以下の３点が挙げられていた。
・人的リソースをきちんと使っての検知をすること
・深層防御を整えること
・ユーザ教育をすること

Main Track
日本のサイバー脅威の現状–影の脅威を明らかに
Cyber Threat Landscape in Japan – Revealing Threat in the Shadow
Presented by : Chi En Shen (Ashley),Oleg Bondarenko

検知データなどを元にした分析結果共有の講演。
・検出したマルウェアランキングの最近の上位(Emotet,LokiBot,NanoCore,FormBook)
・Multi-Stage Delivery、Hit and Runが作戦、戦術として使われており、
　攻撃のさらなる段階化が垣間みえてきている。
・C&Cサーバとの通信もhttpsが使われている傾向があり、
　攻撃データの暗号化が行われている。
・ExploitKitには、まだまだmacro + scriptが現役で利用されている
・ターゲットとなっている業界としては
　IT、暗号通貨、エネルギーが上位となっているが、
　大部分をしめるのは政府関連組織への攻撃である

APTグループで活発に活動しているのは以下。
・BlackTech：FrontShell.dll、TSCookieを利用
・APT41：SWEETCANDLE、SOURCANDLE、POISONPLUGなどを利用
・APT30：エネルギー業界の日本の複合企業を狙っているグループ
他にも、APT20、APT32、APT10などの活動が激しい状況である。
ThreatActorとしては、Fxmsp、BigPetya、Antony Moriconeの活動が活発である。
Android向けに「遠隔操作用」という名目で販売されているモバイルマルウェア：Cerberusもある。

国際的なイベントの開催状況からすると、引き続き日本がターゲットになると思われる。攻撃者は、検知されないようにする努力を怠ることはないといえる。

Main Track
"Advanced Persistent Threats(APT)"から"Advanced Persistent Manipulators(APM)"へ
:進化するサイバー防衛の戦場
From Advanced Persistent Threats to "Advanced Persistent Manipulators"
: The Evolving Cyber Defense Battlefield
Presented by : Mei Nelson

Advanced Persistent Threats(APT)は通信での攻撃である。
Advanced Persistent Manipulators(APM)は情報での攻撃である。情報操作によって民衆へ影響を与えることが目的となる。
情報操作は昔から意味をもつ手段であり、以下の３つのタイプの情報を用いて
・Disinformation：偽情報
・Propaganda：誘導する意図を持った情報
・Misinformation：誤報
以下を引き起こす。
・divide：混乱させる
・discredit：不信を煽る
・distract：信用を落とす
・deny：認めない

地政学的な緊張が続く世界において、CyberThreatsActorは注目を集めるグローバルなイベントを利用して、大衆の意見に影響を与えている。CyberThreatsActorは日々変化している。
この脅威に対応するには、地政学的に重要なイベントをキャッチアップし、各国の関係を把握し、情報の取捨選択をすることが必要となる。

「私は報復をすることができるぐらいの強いチームをもっているから、攻撃しないでくださいね」という言葉から講演者の自分のチームに対する信頼と自信が垣間見えた。

参考
・Issue Brief: Distinguishing Disinformation from Propaganda, Misinformation, and “Fake News” – NATIONAL ENDOWMENT FOR DEMOCRACY
https://www.ned.org/issue-brief-distinguishing-disinformation-from-propaganda-misinformation-and-fake-news/

・2019 Cyber Threatscape Report I Accenture
https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf

Main Track
なぜクリックするか：攻撃者は説得の原則を利用し実行を成功させる
Why We Click: Studying Threat Actor’s use of Principles of Persuasion to Increase Successful Execution
Presented by : Joshua Miller

侵入分析のダイヤモンドモデルというものがある。以下４つの基本コンポーネントとの関係と特性で表すものとなっている
・Adversary：敵
・Capability：能力
・Victim：被害者
・Infrastructure：インフラストラクチャ

説得の原則(6 Principles of Persuasion)というものがある
・Reciprocity：返報性
・Consistency：一貫性
・Social Proof：社会的証明
・Liking：好意
・Authority：権限性
・Scarcity：希少性

攻撃者はこの原則にそって、ターゲットに操作をさせようとしてくる。これらに対して、対応することは簡単ではないが、前向きにやっていくしかなく、人を守るプロセスを構築することでカバーすることが重要。

参考
https://www.recordedfuture.com/diamond-model-intrusion-analysis/
http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf
https://medium.com/@alyjuma/the-6-principles-of-influence-how-to-master-persuasion-2f8c581da38b
https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50

Main Track
GDPRおよびAPPIの国際企業への適用性とITセキュリティへの影響
Applicability of GDPR and APPI to international companies and the impact on IT Security
Presented by : Matthias Lachenmann

GDPR：General Data Protection Regulation
EU 一般データ保護規則、2018年5月25日から適用されている
-> データの可用性に重きをおく

APPI：Act on the Protection of Personal Information
日本 個人情報の保護に関する法律
-> データ損失のリスク低減に重きをおく

PII：Personally Identifiable Information、個人情報、個人を特定できる情報のこと

個人を特定できる情報を示す言葉も各国で異なる
EU: Personal Data
JP: Personal Information
USA: Personally identifiable data(PII)

GDPRとAPPIの適用例は以下のように考えられる。
情報をEU内で収集し、EU内で処理する
-> GDPRが適用される
情報をEU内で収集し、EU内で処理し、日本へ送る
-> GDPRの越境に関する規則が適用される、APPIも適用される
情報をEU内で収集し、日本へ送る
-> GDPRが適用される

データの扱いに、機密性、完全性、可用性が求められる。
世界的にデータ保護法の施行が進んでいるため、GDPR/APPIのみではなくビジネスをする国の法をしっかりと見ることが必要となっている。
またデータの越境に関する規則についても含まれているので適切なアプローチを取ることが必須となっている。
データのセキュリティプロセスの整備、データを扱う人間の教育が必要である。

Main Track
基調講演：サイバー空間は無法な開拓時代か、秩序ある混沌か？
Keynote:Cyberspace – A Lawless Wild West or Orderly Chaos?
Presented by : Liis Vihul

講演者はCyber Law Internationalの最高経営責任者で、国連の国際安全保障における情報通信に関する政府専門家グループのエストニア代表団の一員である。
国際平和と安全保障に関するテーマで、議論を誘発する内容の講演だった。

Cyberspaceについての議論は長年議論され続けているが結論が出ていない状況である。
そもそも法とは、社会的慣習を明文化し、社会的なメカニズムを決めるものであり、国際法であってもこれは変わらない。国際法があるから、受け入れる、受け入れざるをえないという状況が形成され、これが共通認識を生んでいく。
法は規範であるが、執行可能性が求められる。国際法の場合、国家たちが法を決め、国家たちが執行することになる。

Cyberspaceにおける国際法を考える。制定するには以下のような規律が必要である。
・どのようなサイバーオペレーションは認められるのか、認められないのか
・国が関与できるのか、できないのか
国際法によってCyberspaceが安定するのは良いことであるのは確かなことである。

treaties(条約)：文書による国家間の合意に視点を変えてみる。原則としてtreatiesは良い結果をもたらすものである。treatiesの例として以下のようなものがある。
・国連憲章：国際連合の設立根拠となる条約で、戦争を起こさないためのものともいえる
・パリ協定(気候変動抑制に関する多国間の国際的な協定)：地球温暖化を抑制するための条約
・ICCPR(市民的及び政治的権利に関する国際規約)：人権を国際的に保障するための条約
・日豪渡り鳥等保護協定：日本、オーストラリア間での渡り鳥を保護するための条約
Cyberspaceにおけるtreatiesになると、良い/悪いの観点での議論が出現する。EUはサイバーの問題について国際的な枠組みを求めないと主張している。これは、現状の国際関係の対立から派生していると考えられる(英米中露,etc…)。
例として、CyberSecurityと主張する国もあれば、InformationSecurityと主張する国もある。これは各国がCyberspaceに関して主軸とするものが異なっているからだと思われる。

やはり焦点となるのは、条約による規制として何を対象とするのか、条約は行動や振る舞いに対して規制すべきであるが、具体的に何を規制するのかという部分である。

代案となるものがないかを考えた時に「タリン・マニュアル2.0」というものがある。
タリンマニュアルは、国際法がサイバー紛争およびサイバー戦争にどのように適用されるかに関する学術的で拘束力のない研究で、NATOサイバー防衛センターが既存の国際法をCyberspaceに適用した場合の有用性をまとめたレポートが「タリン・マニュアル2.0」である。
このような内容の国際的な議論は、国連の政府専門家会合(国連サイバーGGE)とWG(サイバーセキュリティに関する国連オープン・エンド作業部会)の2つで行われており、日本も参加しているが、どの国からも具体的な案は出てきていない。各国がそれぞれでCyberspaceにおける国際法に関するレポートを公開しているが、解釈の段階であり、規制などの制定における深層部分まで辿り着いてはいない。自分たちへの足枷にしたくないから、様子見をしている状況なのだ。この状況はある意味ではCyberspaceのイニシアティブを取れる日本の戦略的チャンスかもしれない。技術的コミュニティがこういった議論に参加することもできるはずである。

Cyberspaceは混沌であると考えるか、混沌の中に秩序があると考えるか？
このままで大丈夫なのか、大丈夫ではないのか？
日本としての意見は何か？技術者としての意見は？

1996年 A Declaration of the Independence of Cyberspace(Cyberspaceの独立宣言書)
https://www.eff.org/cyberspace-independence
Cyberspaceは規制が及ばない、自由な空間であるとの内容だった。理想であった。
ただし、そういった理想を想う時代は終わってしまった。
すでに犯罪に利用され、戦争に利用される時代となってしまった、またいろんな規制ができてしまったことは明白である。この現実を見つめ、Cyberspaceにおいても国際平和をもたらすために進んでいく必要がある。
IT関連の弁護士や法律専門家は技術の深いところまではわからない。法的な分野に関する問題であっても技術的なコミュニティの力が必要である。