みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして活動しています。
この記事では、2026年1月22日・23日に開催されたセキュリティカンファレンスJSAC2026で登壇したことについて紹介します。
ぜひ最後まで読んでみてください。
JSACについて
JSAC (Joint Security Analyst Conference) はJPCERT/CCが主催するセキュリティカンファレンスで、現場のセキュリティアナリストが集い、高度化するサイバー攻撃に対抗するための情報を共有することを目的に開催されています。 国際会議としての色が年々濃くなってきており、CFPの応募の大半が海外からの応募だったそうです。 主な講演内容として、日本を含むAPACに関係している脅威についての講演が多数占めており、以下のテーマに関する講演が行われていました。
- APT(高度標的型攻撃)
- フィッシング詐欺
- ランサムウェア
- インシデントレスポンス
- etc.
また、今年からこれまで行われていたカンファレンスdayとは別に、トレーニングdayというものが設けられました。 そこでは、セキュリティ分析に関する実践的なトレーニングが提供されていました。(カンファレンス同様こちらも無料で参加できます)
さらに、CFPレビューボードによるパネルディスカッションも新たに設けられました。
本日から #JSAC2026 カンファレンスDayを開催します。来場予定の方はお待ちしております。 pic.twitter.com/j1JNlFbMrM
— Analysis Center (@jpcert_ac) 2026年1月21日
過去にもNA4SecメンバーがJSACに登壇しており、それについての記事がありますので、興味がある方はぜひ読んでみてください。
NA4SecによるJSAC2026登壇
ありがたいことに、3年連続でNA4SecからCFPが採択されました。 今回は、以下のタイトルで登壇させていただきました。
- The Mechanism for Building a Phishing Admin Panel
フィッシング詐欺をするためのツールやインフラなどを提供しているPhishing as a Service (PhaaS) が存在しています。 サブスク形式で利用できるようになっているため、気軽に利用しやすくなっています。
以下のブログ記事でも少し解説されています。
PhaaSにおいて重要な役割を担っているフィッシング管理パネルには、フィッシングサイトの構築や窃取した情報の管理などさまざまな機能が搭載されており、効率良くフィッシング詐欺ができるようになっています。 講演では、実際の例を挙げてフィッシング管理パネルにどのような機能が搭載されているのか紹介しました。
機能だけでなく、フィッシング管理パネル自体も効率良く構築するためにさまざまな工夫がされています。 PhaaSで使われていたフィッシング管理パネル構築ツールの分析を通じて、どのように構築されているのかについて紹介しました。
フィッシング管理パネルにさまざまな機能が集約されているため、フィッシングサイトだけでなく、フィッシング管理パネルを見つけてテイクダウンすることも重要になってきます。
講演後の質疑応答では、フィッシングサイトと管理パネルの関係性や他にどんな機能があったかなどの質問をいただきました。 また、聴講者から個別に、フィッシングサイトとPhaaSの紐付けってどうやっているのなどの声もいただきました。 管理パネルだけでなく、PhaaSの実態にも興味をもってもらえているように感じました。
こちらに講演資料が公開されていますので、参加できなかった方もぜひ読んでみてください。(なお、一部の講演スライドを非公開にしています)
さいごに
今年もJSACに登壇させていただきました。 国内有数のセキュリティカンファレンスを通じて、継続的にセキュリティ業界に貢献しつづけることができて良かったです。 この講演が、少しでもフィッシング詐欺の実態解明に貢献できればいいなと思っています。 今後も引き続き、何かしらの形でセキュリティ業界を盛り上げていくつもりでいます。
この講演に興味を持たれた方へ
攻撃者の詳細に関わる情報については、外部公開資料では非公開になっています。 ただ、サイバー攻撃に係る情報を共有することは実態解明や被害低減につながる価値があると考えています。 出張講演なども前向きに検討しますので、興味のある方はTeam NA4Secまでお気軽にご相談ください。(公開されている資料にNA4Secの連絡先が書かれています)
