Tokyo SOC Report
「CODE BLUE 2019」参加レポート
2019-12-11
カテゴリー Tokyo SOC Report | 検知状況
記事をシェアする:
はじめに
こんにちは。IBM Tokyo SOCの高木です。日々の業務では主にセキュリティー機器のアラート分析や稼働監視をしています。今回はセキュリティーへの知見を広げる目的で、2019年10月29~30日に東京で開催された「CODE BLUE 2019」に参加したので、その内容や感想をお伝えします。
CODE BLUEとは
CODE BLUEは、世界中からトップクラスのセキュリティー専門家が集まり、情報セキュリティーについて技術的な内容から国際情勢に至るまで幅広い講演を行う、日本発の情報セキュリティーの国際会議です。
今年度の講演は基調講演2本と公募により選出された23本の計25本となり、22本が海外からの講演者によるもので、日本人による講演は3本でした。また、今回で7回目の開催となり、回を重ねる度に新しい取り組みが行われているようで、今回はBlueboxという実用的なツールの紹介等を行うセッションが新たに追加されました。私は2日間で20本の講演に参加し、2日間みっちり聴講することができました。参加した講演はどれも興味深い内容でしたが、その中でも以下3つの講演についてご紹介します。
![](https://www.ibm.com/blogs/security/jp-ja/wp-content/uploads/sites/5/2019/12/updates-report-takagi.jpg)
印象に残った講演
講演名:ソフトウェアサプライチェーンの透明性: SBOMの実現
講演者:米国商務省のAllan Friedman氏
この講演では、近年脅威とされているソフトウェア・サプライチェーン攻撃の対策として、SBOMというフォーマットを活用したソフトウェアの”透明性”を確保する方法について紹介がありました。
SBOMの正式名称はSoftware bill of materials(ソフトウェア部品表)で、各ソフトウェア製品が使用しているサードパーティー・コンポーネントを明確化し、その使用有無を追跡可能にするためのものです。これにより、サードパーティー・コンポーネントで脆弱性が発見された場合に、早期に影響を受けるソフトウェア製品を特定でき、迅速な対処が可能になるとのことでした。
私自身も日々のセキュリティー機器の監視を通して、脆弱性を悪用する通信を分析する際に、JVNやIPAが提供している情報をもとにターゲットとなった対象システムが影響を受けるバージョン等の影響範囲を確認することがあります。本講演を通して、そのような脆弱性情報が公開されるまでのメカニズムを理解することができ、日々参照している情報との繋がりを感じました。
講演名:バンキングトロジャンのすべて
講演者:Cisco Umbrella社のAustin McBride氏、Artsiom Holub氏
バンキングトロジャン(主にEmotetやUrsnif)について、昨年と比較した今年の脅威動向や新たに追加された機能、感染手法について紹介がありました。
Emotetは当初マルウェアのダウンロードや拡散は行わず単体で感染活動をするものとして知られていましたが、現在は様々な拡張機能が追加されたことで主にダウンローダー型のマルウェアとして感染を広げています。その一例として、以下のような攻撃チェーンの紹介がありました。
①フィッシングメール経由で端末がEmotetに感染
②EmotetによりTrickBotが対象の端末でダウンロードされ、機密性の高い情報を窃取
③TrickBotが金銭を要求するランサムウェア(Ryuk)を展開し、対象の端末内のファイルを暗号化し、復号するための金銭を要求
上記のようなEmotetの例を倣って、Ursnifでも同様の手法を取り入れ始めたとの話もありました。また、これらのマルウェアが標的とする業界についても紹介があり、Emotetは業界問わず活動し、Ursnifは主に金融系を標的としており、どちらのマルウェアも被害が多い業界は依然として高等教育機関と金融業界であるとのことでした。
私も日々の監視のなかで、お客様にインシデント通知をする際には、検知ログの分析結果に加え、最新の脅威情報の共有など付加価値を提供できるよう、今回のようなカンファレンスに引き続き参加していければと思います。
講演名:IoTの脅威、そしてIoTに対する脅威に対抗する家電メーカーアプローチ
講演者:パナソニック社の林彦博氏、大澤祐樹氏
IoT機器のメーカ視点でのセキュリティー対策についてご紹介がありました。攻撃者と同じようにツールを用いて診断を実施したり、自社のIoT機器をハニーポットとして利用し、収集した悪性通信の検知ログの解析を行う等の取り組みの紹介がありました。収集したこれらの情報をもとに、出荷前および出荷後の製品を含めセキュリティー対策のアップデートを施しているとのことでした。今後は、自社内で開発中の製品についてもハニーポットとして利用し、開発者に収集した情報の連携を行う予定とのことでした。
セキュリティーログの監視を主な業務にしている身としては、メーカーによる製品自体のアップデートやリスクを最小限にした製品製造を目指したセキュリティー対策というのは、どれも新鮮で印象に残る取り組みでした。ハニーポット化の取り組みについては、弊社SOCにおいても、例えば日本国内でシェア率の高いシステム等をハニーポットとして設置し、お客様にとって脅威となる情報を一早く収集する手段の一つとして取り入れていくべきだと感じました。
CODE BLUEに参加して得たもの
今回、私は初のCODE BLUE参加でしたが、聴講した講演のいずれも専門性が高く圧倒的な情報量で、専門外の分野については、持ち帰ったメモを復習してやっと理解できたようなものもありました。講演以外にも、Open TalkやBlueboxの催し物が数多くあったため、翌年参加する機会が得られた際には、視野を広げて他のセッションにも積極的に参加していこうと思います。
また、CODE BLUEは講演やセッションだけでなく、講演者および参加者間で国籍問わず幅広い世代の方々がセキュリティーの最新動向や技術について共有し合う場でもあり、強い連帯感を肌で感じることができ、サイバー攻撃からお客様を守る仕事をしている身としてはとても嬉しく思いました。
今回の参加を通して、CODE BLUEの関係者の方など普段お話しできる機会がない方々との交流もでき、貴重なお話しもして頂きました。また、そういう方々と今後も繋がりを持ち続けていくためには、私自身も貴重な情報の提供者になれるよう意識することも大切だと感じました。
課題も、達成感も感じる結果となり、多くの気づきを得ることができた非常に有意義な2日間でした。今回の参加で得た知見を今後の業務に役立てるとともに、引き続き多くのカンファレンスに参加するなど活動の幅を広げていきます。
セキュリティーにご興味をお持ちの方は是非、CODE BLUEに参加されてみてはいかがでしょうか。
【著者情報】
![高木 晋一](https://www.ibm.com/blogs/security/jp-ja/wp-content/uploads/sites/5/2019/12/shinichi-takagi-2.jpg)
高木 晋一
2016年日本アイ・ビー・エム株式会社 入社。
Tokyo Security Operation Center (SOC) にてセキュリティー機器のリアルタイム分析チームのシフトリーダーとして活動。
Tokyo SOC
日本を含めた世界8箇所のセキュリティー・オペレーション・センター (SOC) が連携し、Follow the sunオペレーションにより24時間365日体制でセキュリティー監視サービスを提供しています。
X-Force が新型コロナウイルスに便乗した不正ドメインを検知
X-Force は、メディア業界を標的とした新型コロナウイルスに便乗した新しいスクワッティング・キャンペーンを検知し、X-Force Exchange (XFE) で公開しました。このキャンペーンは、ユーザーにログイン認 […]
小売業のセキュリティー対策はセール時期を問わず常時必須
IBM Security X-Force(Incident Response and Intelligence Services)のデータによると、小売サービス業界は、全業界の中で4番目に多い攻撃対象となっており、201 […]
ワイパー型マルウェア ZeroCleareが中東のエネルギー産業を標的に
中東のエネルギー産業を標的にした破壊的マルウェア攻撃 世界的なセキュリティー研究開発機関であるIBM X-Forceは、これまで長い期間にわたり中東の産業、特にエネルギー産業における破壊的マルウェアの調査と追跡を行ってき […]