こんにちは、NTT Com イノベーションセンターのNetwork Analytics for Security(NA4Sec)プロジェクトです。 この記事では、2024年1月25日・26日に開催されたセキュリティカンファレンスJSAC2024にTeam NA4Secから登壇した2件の講演について紹介します。
- Operation So-seki: You Are a Threat Actor. As Yet You Have No Name.
- Analysis of Activities and Tools of Phishing Actors Targeting Japan
JSACとは
JSACはJPCERT/CCが主催するセキュリティカンファレンスで、現場のセキュリティアナリストが集い、高度化するサイバー攻撃に対抗するための情報を共有することを目的に開催されています。 毎年300-450名の定員が事前に埋まって参加申し込みが締め切られるほど関心を集めているイベントで、今年は7回目の開催でした。
本日、予定通り開催です。みなさまのご来場お待ちしております。 #JSAC2024 pic.twitter.com/0KNBqKv2ed
— Analysis Center (@jpcert_ac) 2024年1月24日
もともとはJapan Security Analyst Conferenceの略称としてJSAC(ジェイサック)と呼称していましたが、日本に閉じず国際会議としての位置付けを目指すためにJSAC2023からはJSACを正式名称としています。 実際に毎年、海外からも応募・登壇があり、今年も海外から複数のスピーカーが登壇されていました。 特にAPAC(Asia-Pacific)に関係するセキュリティ脅威について他では得られない深い知見の集まるイベントの1つと言えます。
なお、過去開催の様子はJPCERT/CCのブログでも紹介されています。 一部非公開のものもありますが、各回のWebサイトでは講演資料が公開されており、JPCERT/CCのYoutube公式チャンネルには講演動画も公開されています。
Team NA4Secとは
NA4Secプロジェクトは「NTTはインターネットを安心、安全にする社会的責務がある」を理念として、攻撃インフラの解明、撲滅を目指すプロジェクトです*1。 NTT Com イノベーションセンターを中心としてNTTセキュリティ・ジャパンやエヌ・エフ・ラボラトリーズ(以下、NFLabs.)からもメンバーが参画し、日夜攻撃インフラを追跡しています。
今回、JSAC2024においてTeam NA4Secが追跡してきた脅威アクターに関する講演が2件採択され、登壇してきました。 なお、NTT ComのJSAC採択は今回が初で、いきなり合計5名での登壇となりました。
/
— ドコモビジネス|NTTコミュニケーションズ (@NTTCom_online) 2024年1月23日
イベント登壇情報✨
\
国内有数のセキュリティカンファレンス #JSAC2024 にて、
NTT Com、NFLabs.の社員が2つのセッションに登壇✨
ハクティビスト、フィッシング被害について
調査で得られた知見を来場者限定で公開します!
詳細はこちら⬇https://t.co/zGuh2fOImO pic.twitter.com/6Iz3ta9BSH
Team NA4SecによるJSAC2024講演
講演1: Operation So-seki: You Are a Threat Actor. As Yet You Have No Name.
1件目の講演は、親ロシア派ハクティビストを長期追跡した内容でした。
DDoS攻撃を用いるハクティビストという非常にセンシティブな話題を扱うため、多くの情報を参加者限定としましたが、選考委員や運営の方々にもご理解いただき、発表の機会を得ることができました。 昨年来、DDoS攻撃による被害は日本でもたびたびメディアに取り上げられるなど、関心が高まっていたこともあってか、うなずきながら話に耳を傾けてくださる参加者が何人も壇上から見えました。 「複数の観点からの分析や考察がとてもわかりやすく解説されていて非常に良かった」といった声を得ることもでき、このタイミングでこの話を持って来られてよかったです。
講演の中では昨今アクティブサイバーディフェンスの議論などでも注目を集めているフロー情報の活用についても触れ、その有効性や限界についてセキュリティ実務者の視点から共有しました。
前述の理由からほとんどの情報は伏せられていますが、JSAC2024の公式サイトに講演資料(日本語版・英語版)が掲載されていますので、気になる方はダウンロードしてみてください。
講演1登壇者の皆川(左: @strinsert1Na)、 神田(中央: @ashy0x41)、 鮫嶋(右: @islairand)
講演2: Analysis of Activities and Tools of Phishing Actors Targeting Japan
2件目の講演は、日本を狙ったフィッシングに関して、フィッシングアクター同士が交流する「フィッシングコミュニティ」やフィッシングに使われるツール(フィッシングキット)を調査した内容でした。
日本を狙ったフィッシングを取り巻くコミュニティがどのように形成され分業化されているのか、その実態を明らかにするとともに、フィッシングキットの挙動について実例を挙げて紹介しました。
参加者からは「フィッシングコミュニティやフィッシングアクターの活動状況についての話は大変興味深い」「フィッシングキットの分析内容の共有やIoCの活用例についても解りやすく説明されていた」「IoCの活用方法としてそういうツールがあるのか」などポジティブな反応を得ることができました。
講演内で取り上げたフィッシングキットに関するIoCについては講演資料(日本語版・英語版)内のAppendixにも記載していますので、もし参加ができなかった方は是非ダウンロードしてみてください。
講演2登壇者の益本(左: @masaomi346)、 坪井(右: @ytsuboi0322)
おわりに
多くの優秀なセキュリティアナリストが発表するカンファレンスに登壇し、コミュニティに貢献する機会を得たことは、登壇したメンバー各人だけでなくチームにとっても大きな出来事でした。
実を言えば昨年JSAC2023が開催されていた頃はプロジェクトの本務メンバーが1名しかいない状態でした。 そこから縁にも恵まれ、チームの活動を拡大・加速させることができ、今回の結果につながりました。 実際、今回の登壇者5名のうち3名はこの1年で新たにチームに加わったメンバーです(もっと言えば1名は今年度入社の新卒社員です)。 この短期間で一定の成果を上げられたことは、チームビルディングや環境・風土作りの方向性がチームメンバーや業務の性質にマッチしている表れと考えています。
今後も引き続き、セキュリティアナリストのスキルの底上げに貢献し、セキュリティ業界を盛り上げていければと考えています。
興味を持たれた方へ
出張講演承ります
今回の講演(特に1件目のハクティビスト)は、情報の性質上、攻撃者の詳細に関わる情報は公開していません*2。 他方、サイバー攻撃に係る情報を(非公開に)共有することは今後の被害の未然防止や被害低減につながる価値があると考えています*3。 出張講演なども前向きに検討しますので、興味のある方はNA4Secプロジェクトまでお気軽にご相談ください。
脅威情報を配信しています
NA4Secプロジェクトでは兄弟プロジェクトであるMetemcyber*4と連携してマルウェアやフィッシングに関する脅威情報を配信しています(@Metemcyber)*5。 情報配信に関する経緯や思いはブログ記事を公開していますので、興味のある方はそちらもぜひご覧ください。
仲間を募集しています
NA4Sec/Metemcyberプロジェクトではそれぞれ一緒に働く仲間を募集しています。 「脅威インテリジェンス」をキーワードに活躍の場を探している方、プロジェクトの理念に共感していただける方のご応募をお待ちしています。
- Threat Intelligence Analyst / 脅威インテリジェンスアナリスト(NA4Sec)
- Threat Intelligence Engineer / 脅威インテリジェンスエンジニア(Metemcyber)
NFLabs. ではセキュリティエンジニア/セキュリティインストラクター/マネージャーを募集中です。 Xやエンジニアブログでも情報を発信していますのでこちらも合わせてご覧ください。
*1:社内では親しみを込めて「NA4Sec(なよせ)」と呼んでいます
*2:DDoS攻撃に関する情報共有の問題については、JPCERT/CCのブログ記事「注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー」がおすすめです。
*3:このあたりはNISCから公開されている「サイバー攻撃被害に係る情報の共有・公表ガイダンス」にて論点が整理されています。
*4:最近のMetemcyberの活動については、「ソフトウェア開発におけるサプライチェーンセキュリティの実践」をご覧ください。