はじめに
こんにちは。nakajimeeeeです。
私がセキュリティエンジニアに転身して、はや1年半が経過しました。2024年においては、オフェンシブセキュリティに力を入れ、目に見える成果を出す一年にしたいとこちらのブログにて、抱負を述べさせていただきました。本記事では、2024年でどのようなことに取り組んできたのか、そして、どのような成果を上げることができたのか振り返ります。また、それらを踏まえて、2025年の抱負を述べたいと思います。
2024の取り組みと振り返り
OSSの脆弱性探索
普段業務で使っているCTIツールを中心に脆弱性探索をし、合計6件のCVEを取得できました。詳細は以下の通りです。CVE-2024-23730 ~ CVE-2024-23732が連番となっているのは、自分自身でMITREに報告したためです。
- CVE-2024-23730
- CVE-2024-23731
- Embedchain(LLMフレームワーク、現在はMem0と名前が変わっています)におけるコード実行の脆弱性
- yamlロード時に不適切な関数を使用していることに起因するものです
- CVE-2024-23732
- Embedchain(LLMフレームワーク、現在はMem0と名前が変わっています)におけるReDoSの脆弱性
- 不適切な正規表現を使用していることに起因するものです
- CVE-2024-25674
- CVE-2024-45404
- CVE-2024-45805
バグバウンティ
私が所属する会社では、グループ会社社員のみが参加できるプライベートバグバウンティプログラムを開催しています。2024年3月に当該プログラムに参加し、合計26件の脆弱性を発見・アクセプトされました。どのような記事を参考にしながら探索を行ったのか、こちらのブログにて執筆しているので、興味のある方はこちらを参照ください。26件の内訳は以下の通りです。
- クロスサイトスクリプティング(CWE-79) × 13
- 不適切なアクセス制御(CWE-284)× 4
- センシティブ情報の不適切な露出(CWE-200)× 4
- オープンリダイレクト(CWE-601) × 2
- 認証の不備(CWE-287)× 1
- 権限管理の不備(CWE-269)× 1
- レースコンディション(CWE-362) × 1
C2フレームワーク開発
レッドチーム演習の活動として、C2フレームワークを開発しました。現在は社内に閉じたプライベートリポジトリのみで公開しています。より機能を充実させ、かつ、社内での知見を蓄積した後には、(ライセンス等は限定的なものになると思いますが)パブリックで公開したいと思います。
JSAC2025への採択
当社では、MISP(脅威インテリジェンスプラットフォーム)を活用し、リアルタイムなIoCの収集~配布を実現しています。私の本業務の一つは、この取り組みをより高度化させることです。具体的には、大量のIoCを社内の運用に合わせてどのようにフィルタリングするか(運用可能なIoC数にどのように絞るか)、登録した後のIoCをどのタイミングで、どのような基準で削除するのか、という課題に取り組んできました。この成果が、JPCERT/CCさんが主催のセキュリティカンファレンスJSAC2025にて採択されました。JSAC2025に参加される方、同じような課題感をお持ちの方は、私にご連絡いただければと思います。以下、講演内容の概要です。
タイトル:IoC LIGHT - Lifecycle of Indicators: Gathering, Handling, and Termination -
概要:
NTTDATA-CERTでは、脅威情報共有プラットフォーム(MISP)を中心とし、IoCの収集/処理/配布をリアルタイムかつ効率的に実施している。脅威のトレンドは日々変化するため、過去に運用を決めた情報源は見直しを行い、必要に応じて新たな情報源を利用する必要がある。新たな情報源を追加する中で、大きく2つの課題が生じた。
1. セキュリティ機器にはIoCの登録上限があるため、登録上限に合わせて古いIoCを削除する、或いはリスクの低いIoCをフィルタリングして収集しないと、リスクの高い新しい攻撃に対応できないこと
2. 古い情報が残っていることにより、誤検知につながり、SOCを疲弊させる原因になっていること
これらの課題について、二つのアプローチで解決を目指した。
(a) IoC優先順位付け基準を構築し、それに基づいてIoCに対して4段階の優先度を付与し、優先度が高いIoCだけを収集する
(b) IoCの削除基準(ライフサイクルモデル)を構築することで、リスクが低いIoCをセキュリティ機器から削除する
本講演では、NTTDATA-CERTが実施しているIoCのリアルタイムな収集/処理/配布の運用、そして、さらに一歩進んだ高度なIoCの運用方法(IoC優先順位付け基準やライフサイクルモデル)について、実例を交えながら、実践的な知見を紹介する。
脅威ハンティング
昨今は、VPNのゼロデイなどが非常に多い、あるいは攻撃者の能力が洗練されていることから、自社ネットワーク内にすでに攻撃者が潜伏している可能性が十分にあります。したがって、侵害されていることを前提に、セキュリティ製品では見つけられていない攻撃の痕跡を見つけ、被害を最小限に抑える営み「脅威ハンティング」が重要視されています。
私が所属しているチームでは、2024年度の新施策として、脅威ハンティングに取り組んでいます。脅威ハンティングの基礎スキルを身につけるため、2024年12月に、Offsec社の提供しているOffSec Certified Threat Hunters(OSTH)を取得しました。OSTHについては、レオンテクノロジーさんのブログによくまとまっているので、興味のある方はぜひご覧ください。
2025年の抱負
2024年は、バグバウンティをはじめとして、オフェンシブセキュリティの基礎的なスキルを身に着けることのできた一年だったと考えています。また、オフェンシブセキュリティに取り組むにあたって、ブルーチームの活動を知る必要があると考えていました。その点において、OSTHの資格取得、そして本業務を通じて、ログ分析の基本やその難しさを学びました。これらを踏まえて、2025年は以下を目指したいと思います。
- オフェンシブ方面でのカンファレンス登壇
- 新たな攻撃ベクターの研究/発見
- これまでは、既存手法で脆弱性を発見してきましたが、私が目指すのは新たな攻撃ベクターを見つけられる人物です
- 現在、電子メール周りで新たな攻撃ベクターがないか研究しています。その中で収集した情報を当社のセキュリティイベントにてお話ししますので、興味のある方はぜひ登録ください!
-
電子メールの複雑性と脅威:最先端の攻撃と防御手法
概要:
電子メールは、現代社会における最も重要で普遍的なコミュニケーションツールの一つです。多くのシステムにおいて、電子メールは不可欠な役割を担っており、むしろ電子メールを活用しないサービスを探すほうが難しいと言えるでしょう。例えば、本人確認の手続きやパスワードリセットトークンの送付といった機能では、電子メールが欠かせません。しかし、このような便利さの一方で、電子メールが悪用された場合、重大なセキュリティインシデントに発展するリスクが極めて高いことも事実です。電子メールは一見シンプルな仕組みに思えるかもしれませんが、実際には非常に複雑な仕様とプロトコルによって成り立っています。そのため、セキュリティ対策が不十分であるケースがしばしば見受けられます。この複雑性を正しく理解し、適切な対策を講じることが、セキュアなシステム構築のためには不可欠です。
本講演では、電子メールに関連する具体的な攻撃ベクターを取り上げ、それらがどのようにシステムに脅威をもたらすのか、実例を交えて紹介します。また、リスクを効果的に低減するための実践的な防御策についてもご紹介します。
- OSCPの取得
- ペネトレーションテストにおいて、OSCPは世界で通用するデファクトスタンダードな資格と考えています。
- また、非常に厳格な試験があることから、保有していることは、一定の能力を持っている証明になると考えています。
- OSDAの取得
- OSDAは、SOCチームでの活動に焦点を当てた資格です。OSTHとかぶっている部分も一部あると思いますが、より高難易度のスキルが求められます
- OSDAを通して、ブルーチームの活動をより深く理解したいと考えています。
さいごに
2024年の振り返りと2025年の抱負を述べさせていただきました。この記事が誰かの参考になったり、モチベーションを上げることに繋がれば非常に嬉しいです。
