CODEBLUE2019に行ってきた Day2

By yoshidahirokazu

こんにちは、ひろかずです。
CODEBLUE2019に行ってきましたので、一筆書きます。

例によって、リアルタイム執筆ですので、誤字脱字記載漏れ表記ゆれはご容赦ください。

CoinbaseとFirefoxの0-day

フィリップ・マーチン

非常に危険な攻撃グループ

  • Firefoxのゼロデイをつかった攻撃について話したい
  • それに対抗するのに何が効果的で、そうでないのかを話したい
  • このストーリーの結末はハッピーエンド
  • 被害を受けずに解決することができた
  • 関係者は、メールを開くのも恐れるようになった

coinbase

  • 暗号資産200億USDの取引所

イントロ

攻撃についてのまとめ

~ 2019/5/12 偵察フェーズ

  • 200人がリストアップされた
  • 個人的なメールアドレスを標的にした攻撃(企業なものではない)
  • ソーシャルエンジニアリングに対抗するのは難しい
  • 仮想通貨、暗号通貨企業に務める人間をねらった
    -- IT、セキュリティ専門家を標的にした

どうやって選んだ?

  • おそらく、LinkdinなどのSNSを使って選んだのだろう
  • どれだけの時間をかけたのかは不明
  • Firefoxのゼロデイを見つけてから始めたのかもしれない

~ 6/2 武器化

Firefoxのゼロデイを構築して埋め込んだ

  • Firefoxのサンドボックスをエスケープしてくるゼロデイ
    -- 安定して動作するものであった
  • もう一つのサンドボックスのエスケープ
    -- 新しいもの
    -- おそらく数年前からあった
    -- 使えるようになったのは5月くらい
  • たった2週間でゼロデイを武器化するのは、非常に習熟しているグループから購入したと考えられる

~ 6/17 デリバリー

200人の個人メールAddressから、ソーシャルエンジニアリングキャンペーンを打った

  • その中から、成功しやすい人間を更に絞り込んだ
  • スピアフィッシングメール
    -- 数学と経済学の賞のレビュについての内容で現実的なもの
    -- ケンブリッジ大学の関係者なので、自然である
    -- 攻撃者が仕掛けたサイトに誘導するURLが貼り付けられた
  • 実際に所有している関係性がメールには盛り込まれていた
    -- Linkdinから入手したものであるかもしれない
  • もう一つは、ケンブリッジのサイトからコピーしたものである
    -- 特に影響がないもの
  • 技術者ではないなどの返信をした場合は、やり取りは打ち切られた
  • 関心を呼ぶ返信をした場合は、数日以内に本格的なメッセージが送られてきた
    -- ケンブリッジ大学のサイトをコピーしたものに改変を加えたサイト
    -- Javaスクリプトで、攻撃可能な環境であるかを調査するコードを追加した
    -- 攻撃可能な環境でなければ、可能なブラウザを利用するように表示された
    -- 技術的に詳しくない学校関係者からの連絡だと思って、従ってしまった

~ 6/17 エクスプロイトとインストールとC2

ケンブリッジ大学を模したサイトを通じて、ゼロデイを利用したマルウェアを導入した

  • その時点で、人手によるControlがなされるようになった

~ 同日 アクションとターゲット

発覚から20分で活動を抑えることができたので、どのような活動が行われるかまではわからなかった

攻撃者について

  • 2016年から活動しているが、未確認のアクター
  • ポーランド語、日本語のサイバーエマージェンシーセンターから報告が出ている
  • Coincheckと同じアクターと思われる
    -- 攻撃手法が同じである
  • ゼロデイについては5−6を使っているから、経験と資金があるものと思われる
  • これが最後とは思えない

レスポンスと学びの学習

このような攻撃者にどのように対応したら良いのか

  • 可視性は重要である
  • 対応時間は20分であった。即時対応が重要
    -- 内部ではリソースを注力した
  • アラートのクオリティにもこだわっていた
    -- 誤検知が多いとオオカミ少年になって、疲弊してしまう
    -- 高品質で行動に資するものでなければならない
    -- 人間での対応た必要なものであるものを通知する
    -- 20分のエンゲージは、エンジニアがアラートを信じていたから
  • プレイブックを使い、日頃から訓練するなどの対応が必要
  • 攻撃モデルにゼロデイを入れる
    -- パンチは受けるけど、それに適切に即時に対応する

QA

Practiceのメトリクスについてしりたい
他にあれば教えてほしい

  • 対応時間が十分であるということを知りたい?
    -- プレイブックに従ってレスポンスができたかということ
    -- これまでの計画づくりが適切であるかということ
    -- 50%以上できれば上出来だと思う

はじめにメールが送られた200名は、すべて暗号資産に関わるエンジニア?

  • マーケティングの人も含まれていた

Coincheckの攻撃者であれば、既に大金を持っているはずだけど、更に続けるモチベーションはどう考える?

  • 相当な資金があるので、ゼロデイを使うツールを購入したのだろう
  • 関係を完全に明らかにすることはできない

アラートは精度が高いものである必要があるという話だけど、SOCとしての正確性?

  • 人間は繰り返しの作業には向いていない
  • アラートには明確なプレイブックが必要である
  • アラート数は尺度とするべきではない

バンキングトロジャンのすべて

オースティン・マクブライド
アーティオム・ホルブ

トレンド

DNSクエリログを取得して統計をまとめている

  • マルウェア88%
  • トロイの木馬59%
  • クリプトマイニング50%

脅威のトラフィックは45%増えている

特別な業界が狙われているわけではない

  • 上位2つの業界が入れ替わる
  • 金融と高等教育が2トップ

この2つにフォーカスすると

  • 高等教育がマイニングが多い傾向がある
    -- 学生が無料のインターネットや電気などが使えるので、やっているのでは
  • 金融ではトロイの木馬が多い傾向がある
    -- emotetなどが95%を占める

攻撃のターゲット

  • エンタープライズが60%程度
  • 小規模が30%
  • 中規模は10%ていど
    -- 中規模は、規模の割に専門家を雇うようになったので、美味しくないということ

業界ごとのDNSクエリのトラフィックの特徴

  • 製造業はVirusが多いのは、IoTが多いから
    -- IoTはパッチが当てられるまでの期間が長い
  • ヘルスケアはランサムウェアが多い
    -- 身代金を払う傾向が背景か

バンキングトロイの木馬

Emotet

  • 感染すると、ドロッパーとして、さらなるマルウェアをダウンロードする
  • データを盗むだけではなく、他のコンポーネントを持つようになった
  • その他のサイバー攻撃の足がかりになっている
  • ネットワーク内に伝搬していく

トラフィックのピーク

  • 4月がピーク
  • 9月まで落ち込んでいたが、また増えてきている
    -- 攻撃者も休暇があるのではないか

C2サーバ

  • 世界中に広がっている
  • これに対応するには、各国の法執行機関が協調して同時にテイクダウンしないといけない
    -- これは難しいだろう

Ursnif

  • バンキングトロイの木馬
  • 他のマルウェアをダウンロードする
  • フィッシングメールを通じて感染する
  • GoogleDriveなどの信頼されたストレージを利用する

Pcapの事例

  • TrickbotとUrsnifの通信が交互に行われている

C2サーバ

  • 意図して悪意のあるアクターにインフラを提供しているプロバイダがいる
  • 法体系で守られている国でホストしている

防御機構

  • domain shadowを使う
  • 防弾ホスティング
  • IPを短い間隔で変えていく

多層攻撃

  • はじめはEmotetやUrsnifだけだけど、バンキングトロイの木馬がその後で入ってくる
  • Emotetは広いターゲットを狙う
    -- 充分なセキュリティスタッフがいない小規模が被害をうけている
  • Ursninifはターゲットを絞っていく

攻撃のChain

  • メールスパムのWebリンクを通じてドキュメントを開かせて、感染を指せる
  • マルウェアをフォローアップして、TrickBotを使って横展開する
  • BlackHundを通じてC2サーバーと通信する
  • 7時間で最終的な感染を終了し、永続化(バックアップシステムにまで感染)し、数カ月後にランサムウェア感染する

どのように防御するか

  • アンチウィルスを使う
    -- すべては防御できないけど、同じようなものには効果がある
    -- ヒューリスティック検知
  • 企業の一般的なセキュリティ対策
    -- 90%は防げる
  • ネットワークモニタリング
    -- ネットワークでの横展開を見つけることができる
    -- パニックにならずに一つづつ対処する
  • フィッシングに対しての認知を高める
  • 多層防御
    -- DNSレイヤーでの防御は効果的
    -- DNSリゾルバでのブロックリストは効果的(継続的な更新が必要)

QA

ランサムウェアはデータを暗号化する前に、なにかするか?

  • 価値のあるデータは、初期のうちに持ち出された後に暗号化されている

ハードウェアウォレットセキュリティ

セルゲイ・ヴォロキチン

ハードウェアウォレットとは

  • PCやスマートフォンに差すもの
  • PCを100%信頼する
  • トランザクション検証ボタン(物理ボタン)
  • ファームウェア保護されている
  • 対タンパー性
  • 外観は違うけど、機能はだいたい同じ

攻撃社はどんなひと?

  • マルウェア
  • コンピュータ、デバイスに直接アクセスできる人
    -- ウォレットとPCとの通信を見る

セキュリティ機能

  • プライベートキーの持ち出し禁止
  • 小さなAPI
  • メモリ保護
    -- キーに対するアクセスが簡単ではない
  • 保護されたファームウェア
    -- 起動したり、アップデートされるたびに検証される

ソフトウェアの攻撃

  • Chrome拡張を使ってアクセスする
  • PINコードを入力する
  • 複数の暗号資産がサポートされている
  • ハードウェアウォレット内では、OSとセキュアエレメントは分離されている
    -- ウォレット上の他の暗号資産は信頼しない
    -- メモリプロテクションユニットで、アプリケーションからのフラッシュメモリへのアクセスは保護される
  • 脆弱性
    -- システムコールに対するメモリー開示
    -- 小さなセキュリティのほころびが侵害につながる

デバッグアプリケーションの脆弱性

  • 通常は16KBのメモリ境界しか読めない
  • デバッグアプリケーションは、設定ミスによって他のメモリも少し読むことができる
  • デバッグアプリケーションを入れて、消して、を繰り返していくと、システムメモリも読めるようになる
  • PINコードがわかれば何でも読める

ワイププロセスの脆弱性

  • 3回PINを間違えると、デバイスはワイプされる
  • その後何が起きるか?
    -- 新しいPINを入力する
    -- マスタードシードのシークレットが見れる
    -- ここではFlashの中身を見ることができる
    -- OSSのアプリケーションなので、コードを見ると、どんなデータを残すのかを確認する
    -- hmackeyが残っているので、デバイス上の秘密鍵を読み出せる可能性が高い

終わり?

この2つの脆弱性を使うと攻撃を成功できる
小さなセキュリティの問題も対処する必要がある
ソフトウェアバグがなければ攻撃できないのか?

  • HW wallet
    -- チップはSTM32F205
    -- 1MBのフラッシュ

なんでハードウェア攻撃をするのか?

  • おかしいデータ
    -- 電圧や電波、時刻、温度、短いパルス(電磁波)、レーザーなどで働きかける
    -- 設定をスキップさせたり、壊す
  • ハードウェアを開けて、基盤を取り出す
    -- 電磁波を測定する
    -- コマンドとレスポンスは1msのあいだで実行している
    -- チップの状態
    --- PINコマンドを送ると、チップの状態がどのようになるか
    --- どこ部分が反応して、どの部分が反応しないか
  • 画面出力の応答
    -- エラーでリブートさせるのは、攻撃につかえる足がかりになりそう
    -- 画面出力を動かす程度では攻撃には使えない

デバイスのフルアクセスを入手する

  • デバイスを入手する
  • 初期化をバイパスすることができれば、その他の値を見ることができるかもしれない
  • デバイスをリセットすると、初期化して、PINとRAMを入手する
  • PINを変更すると、PINとフラッシュを入手できる
  • 成功率は1.2%程度
  • セキュリティが高いハードウェアを選定する必要がある

まとめ

ハードウェアもソフトウェアも信頼できないので、サードパーティ製品を使う

QA

信頼できるサードパーティ製品はどんなものがあるか?

  • ガイドラインがあるのでそれを準拠すること

サイバー保険のリスクマネジメントプログラムへの統合

ジェイク・クーンズ

どれぐらいのデータ漏洩が合ったのか

  • 頻度は右肩上がり
  • データ量は10GBに及ぶ

2019年の中間報告

  • 3800件の漏洩、41億レコードが危険にさらされた

いつでも、どの組織が時限爆弾を抱えている状態であるか

保険はどうであるか?

リスクのハンドリング

  • 緩和、移転、受容、保有
  • リスクを移転することを考える
    -- アウトソーシングする
    -- 契約を結ぶ
    -- 保険をかける

なぜ保険をかける?

  • 法的に求められる場合もある
  • 価値の高い資産に保険をかける
  • さまざまなものを包括して保険をかけることもある

サイバー保険をかけるところまでまだまだいってない

  • 侵害されないシステムはない
  • サイバー保険がわからないという場合もあるかもしれない

サイバー保険、サイバー責任保険は、火災保険とは違う

  • 保険の支払い先は2種類ある
  • 第一者保険:被保険者に対して払う
  • 第三者保険:相手に対して支払う
  • フォレンジック費用、訴訟費用をカバーできる
  • 身代金に支払えるものもある

すべてのサイバー保険は同じではない

  • Policyが異なる
  • 評判を保険でカバーすることは難しい
  • 保全やアップグレード、修正にかかる費用をカバーできるか
  • 失われた売上についてのカバレッジを得るのであれば、保険金は高くなる

カバレッジ

  • 正しいことを行っていないと除外条項にかかってしまう
  • データを暗号化していない、PCIDSSのバージョンに準拠していないなど
  • 保険条項をよく読もう
  • ブローカーを活用するのもいい
  • 過失怠慢責任補償というものもある

保険の組み立て

  • 200万〜500万USDのビジネス規模
  • セキュリティスタップの雇用
  • セキュリティソフトウェアやハードウェアの導入
  • 100万USDの補償のためには、10万USDがかかるかもしれない
  • 500万USDの補償のためには、20万USDがかかるかもしれない

サイバー保険は完璧ではないが、価値は見いだされ始めている

  • CODEBLUEでこのような話をするのがその証左である

サイバー保険を辞めた報道

  • 漏洩事件のカバレッジが少しであった
  • 6000万USDのコストに対して、6%しか払ってもらえなかった
    -- 被害額が決定されれば、追加支払いがあるかもしれないので、必ずしも正しくない

サイバー保険で支払われた話

  • ABI保険協会では、99%は保険金が支払われている
  • 保険契約が適切であれば支払われる

何を知る必要があるか?

  • 何に対しての保険であるかを知る
  • 何を守れないといけないのかという理解が必要
  • 保証金を支払われるための対応を把握する
    -- 発生から30日、60日以内に通知する(できるだけ早い方がいい)
    -- 過大報告や詳細過ぎる報告は報告する必要はない。
  • 利用する業者は指定されることがあることに注意
    -- コンサルやフォレンジック業者、セキュリティベンダー、弁護士事務所など
  • 価格を下げるためのパネルとして、セキュリティベンダーやモニタリングを入れるというやり方もある
  • 漏洩コーチは使えるが、重大度で決めたほうが良い
  • クイックレスポンスをしておかないと保険の支払いに影響する

アジア地域に置いてのサイバー保険

  • 主に米国の議論であって、日本ではあまり進んでいない
  • 日本におけるデータ漏えいの影響
    -- 様々な規模の会社が影響を受けている
    -- ハッキングが大部分
    -- 中小企業について被害が甚大で、助けが必要
  • サイバー保険の需要は出てきている

どのようなアクションが必要か?

  • 従来のセキュリティ対応をすすめることは必要
    -- 保険に入って、セキュリティ対応をしないというのはNG
  • データ漏洩計画(どんなデータがあって、どんな影響があるか)
  • サイバー責任保険は、リスクマネジメント計画の一部である
  • サイバー保険は、セキュリティ製品より安い
    -- 侵害されたときにカバーできる範囲がある
  • 何かあったときに助けてもらえるゴーストバスターズのような存在であっても良い

Crypto Cobra:暗号資産交換所を狙う、国家の支援を受けた実行者

ダニ・ゴーランド
イド・ナール

Virusbayをいうプラットフォームを運営していて、インディケータの情報交換を行っている

  • 世界で3000人の研究者が参加している

暗号資産交換所の攻撃は2020年にはどうなるか

  • 規制当局から発言されている
  • 米国財務省からは、北朝鮮に制裁を加えていると言及されている

BlueNoroffのタイムライン

  • 2017年中頃カジノに対する攻撃が行われた
  • 同時期に銀行にブロックチェーンのおとりを使った攻撃がおこなwれた
  • 2018年は暗号資産取引所が攻撃された(Kimsuky)
    -- manuscript5が使われた
    -- 2019年にはThreatNeedleという形にアップデートされた
    -- WindowsとmacOSが標的になった
  • 2018年は暗号資産取引所が攻撃された(AppleJeus)

AppleJeusの調査

  • BlueNoroff関連の攻撃であることがわかった
  • 本物のgifではなく、ヘッダだけが本物のペイロード
  • fallchillがダウンロードされて、第二段階へ移行する
  • CELASという企業が関与している
    -- オランダのどこかにあるようだが、実在しなかった

reloaded:v0.1

  • BlueNoroff関連の攻撃
  • 11/18にWindowsとmacOSを狙って、攻撃が行われた
  • 韓国が関与している
  • Powershellスクリプトも利用された
  • macかWindowsかの環境を判定するコードが含まれている
    -- c2サーバと通信するドロッパーをインストールする
  • 感染はPowershellスクリプトで行われた
    -- c2サーバは応答によって司令を変えていた
  • 機能は多岐にわたるので、開発に携わる人間は多いと推測される

武器化の例

  • LAFIZの報告書
    -- 中国のブロックチェーン企業が関与していた
    -- おとりドキュメントが被害者に送られた
    -- 以前のおとりドキュメントとの類似点が見られた
    -- macとWindowsのSampleを見ると、他の攻撃とのリンクが貼られていた

reloaded:v0.2

  • PowerShellが広く使われていた
  • 2018年の焼き直し
  • チリの銀号が標的になった
  • Redbancという攻撃に類似している
    -- 転職活動中の職員に送られてきたドキュメントを開いたことで攻撃が始まった

Jargonの出金

  • ユーザーPolicyの徹底
  • FATFのトラベルルール
    -- 大型の取引が行われると、認証を必要とするガイドライン

AMLD5の出金

  • 最大150ユーロの制限がある

QA

LAFIZを注目したのはなぜ?

  • 以前から活動しているということでマークしていた

[株式会社ラック]チート行為を未然に防ぐゲームセキュリティ診断とは?

松田 和樹

ラックはゲームセキュリティサービスに進出した

  • 第一部完

広義のゲームセキュリティ

  • 大衆娯楽のテレビゲームの裏側
    -- 商業ゲームに対する攻撃
    -- 収益に対する攻撃は違法コピー
    -- 改造コード
    -- 解析に拠るネタバリ
    -- オンラインゲームではチート行為がある

ゲーム固有の不正行為「チート」

  • ゲーム改造は30年前からある
  • オフラインゲームであれば他人に迷惑がかからない
    -- 異論はあるけど、遊び方の問題
    -- ズルをしても隣にいればリアルファイトで対応できる
  • オンラインゲームであれば、他人に迷惑がかかる
    -- チーターが一番悪いが、対応しない運営も悪い
    -- 正直者が馬鹿を見る環境で遊びたいか?

一般的なe-sports

  • 興行としての決勝はオフライン大会は不正をしにくい
    -- 現在では、ゲーム会社から審判が派遣されることもある
  • 予選はオンラインで行われることが多い
    -- 予選突破で賞金が出る場合は、
    -- コントローラを改造されてもわからない
    -- 超上級者とチーターは区別がつかないで、誤検知されることがある
    -- 家宅捜索までされたけど、超上級者だということがわかった例もある
  • プロゲーマーを擁する団体は、

実際のe-sports

  • GRC
  • AIが検知して、人間が判断する
  • BANするまでの時間を短縮することに成功した

ゲームセキュリティ診断の考慮ポイント(非同期クラサバ型)

  • キー入力の実施
  • プレイデータの送信
  • 受信したデータを基にゲームの状況を更新
  • ゲームの進行状況を返却する

クラック対策

  • クライアントプログラムの解析防止
  • 対策効果は微妙だけど、KPIがないので使われ続けている
  • オンラインゲームセキュリティ診断では大本の設計や実装を適切にするのがいい
  • crackwatch.com
  • クラックされたゲームが列挙されている(緑がクラック済み、赤が未クラック)

ログ分析

  • サーバーに溜まったログからの異常検知
  • 不正行為の判定条件を隠蔽できる
  • あとから分析できる
  • ゲームプレイを時系列で追える
  • 何を以て異常かは、ゲームの仕様に依存する
  • ログの粒度を見極めないと無意味なデータになる
  • バージョンアップや仕様変更へに追従が難しい
  • クライアント側の不正を見抜くのが難しい

セキュアコーディング

ブラックボックス診断

  • NDAが複雑にならない
  • コストが少ない
  • 集合知が使えない
  • 近視眼的な成果しか出せない
  • ソースコードが無いので、修正が難しい
  • クラック対策ツールが入ってると、さらにややこしくなる

ホワイトボックス診断

  • 内部資料や、ソースコードを受領する
  • サーバープログラムを診断する(9割がサーバーの問題)
  • 解決案まで提示できる
  • 集合知に対応できる
  • コストが高い

診断でよく見つかる脆弱性や問題

サーバー側のパラメータチェック不備
本来重ならない条件が重なったときのチェック不備
設計レベルの考慮

  • 対CPU戦ならユーザー側に倒せば文句が出ない
  • 対人戦はごまかしが効かない

セキュアな設計は快適なゲームデザインと相反する

セキュリティを考慮すると工数は3倍
例えば

  • ゲーム開始時に抽選がされているのであれば、その内容を見てゲームを放棄できる
  • 戦闘開始時に勝利フラグを送ればゲームをスキップできる

これに対処すると、サーバーとの通信が増えてしまう

  • 通信が切れたら、ゲームが終了すると、ユーザービリティが非常に悪くなる

セキュリティを優先して、ゲーム性が失われるのはおかしい

  • 妥協案を出せないなら、ただのセキュリティハラスメント

日本のサイバー脅威の現状–影の脅威を明らかに

チーエン・シェン(アシュレー)
オレグ・ボンダレンコ

最近のサイバー攻撃の脅威

マルウェアTop10

  • Emotetが半数を占める
  • 最近3年の上位6マルウェアは、ほとんど変わらない
  • Lokibot,Nanocore,Formbook,Pony

Emotet

  • 依然Top
  • ユーザー名とパスワードを収集し、金融機関に実行可能ファイルをダウンロードさせる
  • 2番目にはTrickbotなどが使われる
  • 日本語テンプレートが実装されて、日本がターゲットになった

Lokibot

  • 様々なアプリケーションからユーザー名とパスワードを収集する
  • モダンなWebUIが用意されている
  • マルウェアを追加できる
  • モニタリングもできる

Formbook

  • Developerが2010年以降販売しているマルウェア
  • cでコーディングされている
  • 直接関数を実行できる
  • サービスとして動作する
  • ユーザーフレンドリーなWebUIがある

検出回避

  • 検出数は向上しているかを調べるために、データを集めた
  • 検出までの期間は146日から78日と短縮しているので検知率は上がってきている

マルチステージSample配送と、ヒットエンドラン

  • スピアフィッシングメールからお取りドキュメントを開かせる
  • スクリプトダウンロード、PEダウンローダーを経て、実行される
  • ペイロードが見つかりにくい

マクロスクリプトの新しいファッション

  • Powershellを使われるのは、ログの機能が使われないことが多いから

APT

  • 様々なセキュリティベンダーがレポートしている

Temp.Overboardキャンペーン

  • 2016年台湾香港
  • 2017年以降は日本も対象になってきた
  • 教育,メディア,宇宙航空産業
  • FrontShellとTSCOOKIEはダウンローダー

FrontShellとの違い

  • FrontShellは、独立したPEファイルがシェルコードとDLLをロードして実行する
  • TSCOOKIEは、PEファイルがシェルコードがパッケージ化されている

感染ケース

APT33

  • 中東、アメリカ、日本のエネルギー産業をターゲット
  • スピアフィッシングメールに添付されたHTAファイルをクリックするとベイロードをダウンロードされる

APT10

  • 新しいものは見つかってない

その他

  • オリンピックのドーピング対策団体への攻撃が予想される
    -- ロシアのNEXUSから攻撃が来る可能性が考えられる

最近のアクター

  • Fxmsp
    -- 最近活発に活動している
    -- 複数のアクターを支援している
    -- 3つのアンチウィルスのアクセスを侵害した
    -- データベースを売るようになった
    -- 調査結果を売って収益を上げようとしてきた

漏洩した日本のPIIが販売されている

  • ¥1,000で販売されている
  • 中国のアンダーグラウンドは、アメリカ、ヨーロッパに対して安価に販売している

ATM Jackpotting

  • 関心が高まっている
  • ロシア語圏のアクター
  • 20以上のアクターの支援を仰いで行っている
  • ラズパイベースの実行可能ファイルが複数出ている
  • 夏に広告を出したら、流行りだした

まとめ

  • 日本も関心を持たれてターゲットになっている
  • オリンピックに向けて、引き続きターゲットになるだろう
  • ハンティングが忙しい時期になる
  • 検出を逃れるためにさらなる活動をするだろう
  • 悪意のあるグループが、サービスとともに販売している

"Advanced Persistent Threats(APT)"から"Advanced Persistent Manipulators(APM)"へ:進化するサイバー防衛の戦場

メイ・ネルソン

Advanced Persistent Threats

  • もともとは、空軍関係者が、身元を明らかにしないで脅威情報を交換するために作られた用語
  • ネットワークをオペレーションする
  • お金を操作する

Advanced Persistent Manipulatorsは、複数のアクターが複数のメディア、複数のプラットフォームで

  • 情報をオペレーションする
  • 人々の意識や情緒を操作する
  • 活動家やロビースト、有名人が含まれる
  • ソーシャルメディアの先取りをしている

脅威に関する研究

孫氏の兵法

  • 戦は策略、欺瞞である
  • 軍は兵法を研究している
  • KBGのオフィサーは、孫氏の策略を使って情報撹乱を行っている

情報操作を解剖する

  • 人の考え方に影響を与える情報(ディスインフォメーション)
  • 一部の人たちの行動を誘導する情報(プロパガンダ)
  • 不正確な情報を与える欺瞞工作(ミスインフォメーション)

ミスインフォメーションによって、フェイクニュースが生まれ、ディスインフォメーションによって広がるということ

4つのD

DEVIDE:阻止すること
DENY:間違った情報で否定すること
...聞き取れなかった

戦術例

  • 不祥事を公開して、不信を煽る
  • ネガティブ情報で、意識を別の方向に向ける

ケーススタディ:マクロンの例

  • 投票日の2日前にネガティブなニュースを批判とともにリークした
  • ハクティビストに支援された
  • APT28
  • 情報収集して、スピアフィッシングキャンペーンを打つ
  • ソーシャルメディアボットを使って、テキストシェアリングした
  • この試みは、失敗した
    -- 相当急いで行われたので、メタデータの消し忘れで、彼らの存在が暴露された

ケーススタディ:インテグリティ・イニシアティブ

  • アノニマスが関与
    -- ハクティビストのアノニマスとは別と思われる
    -- ハクティビストのアノニマスは、国家の支援を得ているものとみられている

ケーススタディ:終わらないMAYFLYとオペレーションニュースキャスター

  • SKATE
    -- 伝搬した情報は後で消すというやり方
    -- 数秒で有名人になることができる

DeepFake技術を使うことでのディスインフォメーション

  • 政治への影響を及ぼすディスインフェクションツールとして認知されている
  • ディスインフォメーション戦略で選挙でも使われる

サイバーでの情報操作

  • 狭義のサイバー情報操作
  • 国家の支援では
  • ハクティビストは、対象を貶める
  • 情報操作を行うアクターを出し抜くためにどうしたらいいか

示唆すること

  • 情報管理Policyを用意し、活用する

なぜクリックするか:攻撃者は説得の原則を利用し実行を成功させる

ジョシュア・ミラー

本セッションは、個人の見解だそうです

どうやら、これを下書きにしてるっぽいですね

説得の原理を使われているということ

ダイアモンドモデル

  • だれがどういう行動をしているのか
    -- スポンサーの支援があるのか、だれが情報を要求しているのか
  • どのようなインフラを持っているのか
  • どのような能力があるのか
  • 被害者
    -- 企業や情報を持っている人々、標的

Threat Actorについて

スカーレットカナリア

ナイジェリア
金銭的な動機
メールを使ってビジネスを操作する

ダークオーバーロード

UK
金銭的な動機
ヘルスケア、教育分野を狙う

MUDDYWater

イラン政府
中東の電気通信企業を狙う

説得をする原作

とにかくクリックさせたい

  • 何かを与えたら、何かを取り返そうとする考え方
  • フィッシングするときには、メールを大量に送ってレスポンスを待つ
  • 標的を絞って、金銭を窃取できればやりやすくなる
  • ナイジェリア詐欺
  • 14年間で15000万USDを稼ぎあげた
  • 相互に助け合うということを利用する

一貫性という小さなコミットメント

  • ロマンス詐欺
  • スカーレットカナリア
  • 私のために銀行口座を開いてほしいから始まる
  • 要求がエスカレートする
  • 送金してほしい。別の口座にも送ってほしい
  • 少額からはじまっていく
  • 薬を送っては、麻薬を送ってということ

ソーシャルProof

  • 空港オフィサーというペルソナを構築して
  • フェイクリンクで関係性を構築する
  • 社会的なProofを作っていく
  • MUDDYWaterはいい例
  • 脅威の第三勢力という位置づけに満足できない
    -- Youtubeでアピールする

スカーレットカナリア

  • 二人の間に嘘はない
  • フランクに会話する
  • スクリプトの中には、趣味や好意が含まれる
  • 食べ物の好みなどから、人格が構築される
  • ロマンス詐欺と同じ状況が構築される

MUDDYWater

  • 権威を使う
  • メールアドレスを偽造して、公的文書を送りつけてくる
  • 権威に従ってメールを開いてしまう
  • 著作権の侵害があるので、アカウントを開示するようなメッセージが来る

ダークオーバーロード

  • こっちも権威を使う
  • 会社に既に侵入している。抵抗はできないと宣言する
  • 非常なスキルを持っているので、選択肢も与えない
  • FBIに通報しても対抗することはできないという
  • 禁止されているドキュメントをリークする
    -- お金を払えば見ることができる
    -- 希少性の原則を使っている
  • 9/11ドキュメントにに関連するドキュメントを持っていて、共謀の可能性があると仕掛けてくる

ソリューションの提案

どうやって教育に転換していくか?
どうやったら意識を高めることができるか?

  • CEOの秘書は、本人を装った指示に対して身元確認をせずにメールの指示に従ってしまう
    -- その人を責めることはできない
    -- 不正がありうるということ教育する
    -- 多層防御で一つが突破されてもどこかで止めることができる

QA

フィッシングのトレーニングを行うことのポイントは?

  • フィッシングの報告をすることに感謝することで良い方向に向かうだろう

説得の法則のポイントは?

  • 感謝の気持ちがトリガーになる
  • お返しをしなければならないという気持ちになる

セキュリティの中での心理学的要素が高まってきている
人間の脆弱性をセキュリティ対策に還元できそうか?

  • 実際に心理学的アプローチを防御に用いたりトレーニングに役立てている会社はある

GDPRおよびAPPIの国際企業への適用性とITセキュリティへの影響

マティアス・ラッヘンマン

2018/5/25 GDPR施行当初、プレインテキストのコンテンツしか渡せないと思われた

  • 中国ではサイバーセキュリティ法がある
  • カリフォルニアでは消費者保護法が2020年1月に施行される

日本EU戦略的パートナーシップ協定

  • APPI;個人情報保護に関する法律
    -- GDPRとの比較が可能
  • EUから日本に個人情報が移設された場合
  • これらは日本の各企業に課せられる

個人情報とPII

  • 個人を特定できる情報はPII
  • APPIとPIIはほぼ同等
    -- 実際には差がある。データの解釈の方法が異なる
    -- 仮名化、暗号化されたデータでも個人情報とみなされる

PII

  • 名前、住所、生年月日、社会保障番号、メールAddressは、個人情報
  • IPAddress、Cookie、位置情報は、個人情報ではない

個人情報

  • 名前、住所、生年月日、社会保障番号、メールAddressは、個人情報
  • IPAddress、Cookie、位置情報は、個人情報であるという議論

GDPR

  • 名前、住所、生年月日、社会保障番号、メールAddressは、個人情報
  • IPAddress、Cookie、位置情報は、個人情報も個人情報

GDPRとAPPIの関連

ケース1

  • データControlはEU、データ転送なし
  • GDPRに従う

ケース2

  • データControlはEU,日本へデータの転送
  • 収集した個人データはGDORのコンプライアンスを満たす必要がある
  • 適切なセーフガードにも対応する必要がある
  • EUの企業体から第3国に持ち出す場合は、GDPRのコンプライアンスに従う必要がある
  • 日本に持ち出す場合は、APPIとして取り扱う必要がある
    -- 同意を要する
  • 日本の個人情報保護法が適用される
  • GDPRは部分的にかかる

ケース3

  • データControlは日本。日本へのデータ転送
  • 個人情報を収集して日本に送る場合
  • GDPRには従う必要がある
  • 監督当局からは必ずしもGDPRの適用を強制できない可能性がある
  • CCPA(カリフォルニア州法でも同様に扱いになる)
  • GDPRと個人情報保護法を両方従う関連

セキュリティの処理

  • 個人情報の漏洩から72時間で報告する必要がある
    -- 個人情報を所有している人間に対して72時間以内に連絡する必要がある
  • 個人情報は暗号化を求められる
  • 機密性、可用性、完全性に加えて、強靭性、復元性が求められる
  • コストやリスクについても考慮する必要がある
  • GDPRはデータの可用性に注目している

部分的なアクションAPPI

  • ITセキュリティは一般的な義務である
  • 個人情報の漏洩、損傷防止を行う
  • APPIはリスクを限定について注目している
  • 観点が違うので、GDPRと契約する時は確認を要する

GDPRとAPPIの説明責任の文書化

  • データセキュリティプロセスの文書化
  • 組織Controlの文書化
  • 技術的な管理方法についての内容の文書化
  • 監査手法の文書化

学び

  • 今後も強力なデータ保護を求める法律が出てくるであろう
  • 準拠していくのは大変
  • タギングやドキュメンテーションの実施
  • すべてのデータにタグ付けする
  • GDPRでは、代理人を立てる必要がある

    QA

離脱協定が起きたときはどうすればいいか?

  • 今までと変わらない
  • 2020年までは変更がない
  • それ以降は十分性があるかの問題
  • 協定がない場合は、第3国と同じ扱いになるだろう

基調講演:Cyberspace – A Lawless Wild West or Orderly Chaos?

リース・ヴィフィル

サイバースペースにおける国際法について話したい

  • 議論は20年前からあり、解決していない
  • どのような国際的な法体系が、サイバースペースに適しているのかという話

なぜ、法体系が必要なのか?

法律とはなにか?

  • 法律はメカニズム
  • 社会的な構成要素
  • 国際法は、国家間の協定
  • どのような行動をするべきであるかがはっきりする

サイバースペースに必要な国際法

  • 国家間のレベルで予測性が得られる
  • どのようなサイバーオペレーションに対して国が関与することが認められないのか
  • 国際レベルの安定が得られる
  • ある度合いの執行可能性が高まる
  • 度合いとは、各国の法体系とは異なるという点
  • 国際的な制度は、特定の国の強さを制限する
  • 国際法は水平的なもの。執行するのは国家。司法も国家。
  • 国家間のサイバー事件が起きたときに国際法を執行するのは、執行したいと思うことがあるから
  • 拒否権のある5カ国に力が集まる

条約

  • 国連憲章
    -- 主要な目的は、歴史が過ちを繰り返さないこと(世界大戦)
  • パリ協定
    -- 十分な規模でなかったが、地球温暖化を阻止して、破壊的不可逆的な影響を起こさない
  • 二国間協定
    -- 日本とオーストラリアで、渡り鳥を絶滅から守る尊い条約
  • 協定は、尊い目的のために、痛みを伴っても行動を律するということ

サイバースペースの条約

  • ブタペスト条約
    -- サイバー犯罪
  • 安全保障協定
    -- 8カ国の協定
    -- 世界的に受け入れられるところまでは来ていない
  • EUは国際的な枠組みを求めない
    -- 自分たちのものがあるから
  • トランプ政権は、様々な協定から離脱する
    -- 国際法に対する暴力である
  • 中国が少数民族に対して行うことは国際協定に反している

情報セキュリティ条約なのではないかという議論

  • サイバーセキュリティという言葉が好まれている
  • ロシアは、情報という側面を考えている

条約がダメなら何ができるか

  • 今あるものは、国連憲章
  • 第二条第四項
    -- 国家間の関係の中で暴力に戦力を使ってはいけない
    -- 安全保障理事会がそれを許した場合、または防衛のためであれば許可される
  • サイバーオペレーションを行う場合は、国連憲章で禁止・利用可能になるものであるか
  • 多くの研究者はYesと言っている
  • どのようなオペレーションがそれに該当するのか

タレンマニュアル

  • エストニアが、今ある国際法をサイバー文脈に当てはめることができるかということをしたプロジェクト
  • 今ある国際法で、サイバーコンテキストでできること、できないことが分かるようになるのではないか
  • 日本は既に加盟している
    -- 国際平和の観点で、国内法も国際法も適用するべきであるという立場を示した
  • 国家が守るべきベストプラクティス

合法性と非合法性の境目が言い切れない

  • 自分の足かせになるかもしれないから
  • 日本におけるチャンスかもしれない
  • やるべきな理由
    -- 法的なものを作る前に、この答えを作る
    -- 今サイバー領域で起きている事を見て、容認すべきかどうか
    -- 混沌の中に秩序があるとみるか
    -- 日本だけではなく、すべての国家が答えを出せるか
    -- そこに技術者が参画する価値はる

技術者へのアドバイス

  • ジョン・ペリー・バロウ(詩人)
    -- サイバースペースは、全く規制がない真空状態にあるべきだ
  • そんな時代は終わってしまった
  • サイバースペースのリスクを実現させないための役割
  • 規則が作られたときに、良いものであると認めてもらえるために

QA

コミュニケーションについての質問
エンジニアと政策担当者との間のコミュニケーション
または弁護士と話すチャンスがない
技術がわからない人たちとより良いコミュニケーションを取るようにするにはどうしたら良いか

  • エストニアは小さな国なので、対話は難しくない
  • 日本では難しいかもしれない
  • 外からの力が必要かもしれない
  • 辛抱強く対話を続けてほしい。相手が理解できるまで。

ロシアがウクライナに対して行った、ハイブリッド戦闘を見ると、国際法でもサイバーだけ切り離すのは難しいのではないか
通常戦とサイバー戦の組み合わせたものについてはどういう議論になっているか

  • ロシアがウクライナに対して行った行為は、国際法に違反している
  • 今は、紛争に関わる協定しかないが、サイバー戦にも適用できる
  • 両者が従うべきルールはあるべき
    -- サイバーの中の市民を攻撃をしてはいけないとか
  • 今ある地上戦に関わる法律も、サイバーに適用されるべきだと思う

今日はここまでです
お疲れ様でした

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です