CSIRT関連のコミュニティで知られるFIRSTカンファレンスへ参加してきました。
今年のキーワードの１つは「Information Sharing」でした。
昨今のサイバー攻撃の大規模化、および巧妙化が進んでいる状況を踏まえ、改めて注目を浴び始めているように思います。
興味深かったのは「Information Sharing」を情報共有というよりは、如何に鮮度の良い情報を出していくか、といったところに主眼が置かれていた点です。まずはインシデント情報をどんどん出していこう、といった意味合いでです。
これは何故かというと、ひとつのインシデントが一組織だけで解決しなくなってきた為です。
例えば、下図のように攻撃が複数組織に跨いで行われている場合、多くはそれぞれの被害組織毎に調査が行われるのが一般的です。しかし、サイバー攻撃の全容を知る為には各々の調査結果を合わせて分析が行われなければなりません。
しかし、残念ながら全容が解明されるケースは少ないのが現状です。理由は言うまでもありませんね。



では、各々の組織がインシデント情報をシェアする際にどのような情報があれば良いのでしょうか。
例えば、すぐに思いつくものでも次のものがあります。

     (1)攻撃元
     (2)CnCサーバ（IP / Location）
     (3)悪用された脆弱性
     (4)マルウェア
     (5)悪用されたメール（表題 / 本文 / 送信元）
     (6)被害内容
     (7)被害組織（業種）
     (8)攻撃者像
     (9)侵入後に利用された不正プログラム
     (10)タイムライン
などなど。

(1)-(4)までの情報は比較的シェアされるようになってきました。(5)は一部のコミュニティ間ではシェアされています。
しかし、それ以上の情報は素のままでは難しい場合があります。そこで、現在様々な取り組みが世界中で行われています。例えば、マルウェアの検体そのものの提供が難しい場合はYaraによるシグネチャを作成し配布する。マルウェア感染後はIOC（Indicator Of Compromise）を用いるなどが代表的です。
また、(6)-(10)に関してはストーリー化することで機微情報をぼかしてシェアするなどの方法を取っているところもあるようです。但し、やはり情報が荒くなってしまいますため詳細な分析結果を得ることは難しいのが現状です。
インシデント情報のシェアはまだまだ試行段階ですが、必要性の高いジャンルだと思います。
ちなみに、カンファレンス参加者とインシデント情報を交換した際に言われましたのは、日本を狙った攻撃の一部は世界からみると特殊だとのことです。そういった意味でも国内においてもインシデント情報をシェアするためのフレームワークが必要な時期が来たように思います。
Information Sharingを必要に迫られている組織、個人が徐々にコミュニティが立ち上げつつありますので、その際は是非参加してみてください！

今回のカンファレンスのキーワードは、次の3つでした。

・Advanced Persistent Threat (APT)
・DNSSEC
・クラウド・セキュリティ

昨年とは異なり、ハンズオンによるトレーニングは全く無いもので、インシデントの分析結果の共有やアイデアの発表などがメインでした。特にカンファレンス前半はAPTの話題で盛り上がったように思います。

「ソーシャル・エンジニアリング」や「マルウェア」等の脅威は依然増すばかりであり、その対策は急務とのことですが、簡単にはいかないようです。検出のために、組織内のネットワーク・モニタリングが重要になってくるということ。聞いている限りでは、ある程度の作り込みが必要かなぁ・・・と感じました。

次にDNSSECはDNSを狙った攻撃事例や今後考えられる脅威の再認識と、それらに対する対策案が示されました。「中国」というキーワードは、世界のどこへいっても注目の的です。（笑）

3つ目にクラウド・セキュリティに関してですが、中でも興味深かったのは、クラウド環境でのインシデントレスポンス（IR）、フォレンジックに関するものです。仮想環境を構築し、数万台のPCを運用することを前提にした場合、そのハードディスクの容量は膨大なものとなります。同様にメモリも数十GByte、64Bitシステムが基本となります。このような環境下で、注目されてくるのがネットワークトラフィックとメモリダンプです。

実はクラウド以外でも、海外のIR製品を見ていますと、HDDと揮発性情報の双方を解析する手法は以前より随分定着してきているように感じました。しかし、まだまだ課題は多いのが現状のようで、技術面、法律面等含め時間がかかりそうです。


もしかしたら、「ガンブラーはどうした？」という方もいらっしゃるかと思いましたので、他国の参加者に聞いてみました。残念ながら誰も知らず、お隣韓国のウイルスベンダーの方も初めて聞いたと言っていました。日本固有の問題と言われても仕方ないようですね・・・

地域毎に問題視されているセキュリティ事情は随分異なります。これらの話が聞けるのが海外カンファレンスの特徴かと思います。特にFIRSTカンファレンスは、一般的に非公開な情報が聞けることが特徴です。

インシデント・ハンドリングされる方には興味深いものかと思います。近くで開催される際には、参加されてみては如何でしょうか。

ちなみに、来年は遠い（オーストリア）です・・・。

休日らしい、まったりした投稿をしたいと思います。

6月〜8月はセキュリティ関連のカンファレンスが多く開催される季節です。今回はFIRSTカンファレンスへの参加のため渡米しています。（催し物関連の書込みが続き申し訳ありません）

最近のFIRSTカンファレンスは組織的な話からマネジメント、テクニカルな話まで幅広いのが特徴です。テクニカルな面では、解析関連の話が多く取り上げられています。

今年は米国ということもありましたので、カンファレンスの前に、CSIRT仲間とNRIセキュアテクノロジーズ北米支店（San Mateo）へお邪魔しました。目的は情報交換会です。

CSIRT関連の情報交換会は、大体次のような内容が多いです。
・この間、こんなこと調べたら大変だったんだよ！
・お隣の国は色々動いているらしいぞ！
・最近、こんなインシデントがあったよ！
※詳細は残念ながら書けません。申し訳ありません。。。

これら最近のサイバー攻撃のトレンドを踏まえ、今まで以上に各CSIRTが密接な関係を構築していくことが重要課題であることを再認識して終わったと記憶しています。
（すみません。時差ぼけで記憶が一部とんでます。）

会議の様子はこんな感じでした。

居てはイケナイ人もいるかもしれませんので、一応目隠し付きです。（笑）

ちなみに、NRIセキュアテクノロジーズ北米支店の窓から見える景色はとってもキレイでした！
気持ちよく働けそうな環境でした。



次回はFIRSTカンファレンスの様子を投稿したいと思います。（多分）