2019.7.22技術ブログ

Annual FIRST Conference で Deceptionに関する講演を実施

筆者は2019年6月に31st Annual FIRST Conferenceにおいて、
・TBD:To Block Connection to Malicious Host by Using “DQB” and “Shutdowner”(※1)のタイトルで講演を実施した。
本稿では、講演内容の一部を紹介するとともに、Annual FIRST Conferenceで講演する意味を、筆者なりの解釈を交えて説明する。

Annual FIRST Conference~1年に1回行われる、CSIRTに関連した国際カンファレンス

「Annual FIRST Conference」は、FIRST(※2)という団体により年次で開催される国際カンファレンスです。
2019年(※3)は、Edinburgh International Conference Centre(EICC)(※4)で開催され、参加者はおおよそ1000人前後でした。参加者の大半は、各国政府のサイバーセキュリティ担当者や、各国を代表するNational CSIRT関係者をはじめとするCSIRT関係者であり、みなさん講演聴講や演習参加、相互交流に勤しんでいました。EICCがあるエジンバラは、外を少し歩くと、エジンバラ城を仰ぎ見ることができる(写真01)環境です。

写真01:エジンバラ城(筆者撮影)

写真01:エジンバラ城(筆者撮影)

Annual FIRST Conferenceの開催に先立って、CFP(Call for Presentation)という呼びかけをAnnual FIRST Conferenceのプログラム委員から行い、最終的に集まった応募内容をもとにして、プログラム委員による審査を経て、講演者が決定されます。

FIRSTについて

FIRSTは、1990年に設立された、世界中のCSIRTを主たる構成員としている団体であり、インシデント対応や予防を中心として、CSIRTの営みをよりよくしていくための活動を行っています。この活動の中には、インシデント対応で得た知見等の共有も含みます。2019年7月時点で485チームが加盟しており、この中には各国政府機関に設置されたCSIRTも多く含まれます。
NTTデータグループのCSIRTであるNTTDATA-CERTも、2011年からFIRSTに加盟しています。

講演のメイン~Deceptionとランサムウエア検知

筆者がAnnual FIRST Conferenceで講演(写真02)してきた内容は、講演資料(※1)に譲り、本稿では、講演のキーとなる概念のDeceptionおよび、実際の運用事例の1つであるランサムウエア感染検知についてご説明します。

写真02:講演時の筆者の様子

写真02:講演時の筆者の様子

Deceptionというテクニック~ホンモノより早くホンモノっぽい何かを送る

Deception(偽装)という言葉は、筆者は「ホンモノっぽい何かをホンモノより早くリクエスト元に送ることで、リクエスト元の動作を制御する」という意味で使っています。これまでは攻撃者が好き放題やってきたところまで防御側が踏み込み、攻撃者に先んじて「守る対象が安全になるようにだます」というところが、これまでの対策である「止める」こととは異なる点です。
アプリケーションがサーバに対し、サービス要求を送信した際に、本来送り返されるべき回答よりも先に、何らかの手段で「ホンモノっぽい(けどニセモノの)応答を行う」ということを、セキュリティに応用する研究をしてきました(図1)。

図1:Deceptionの概念図

図1:Deceptionの概念図

そしてその結果を実際の開発・運用に反映しています。なお、世界的な調査企業であるGartnerも、2016年からセキュリティに関する重要なテクノロジーの1つに”Deception”を挙げており、昨今注目を集めているテクノロジーの1つととらえられています(※5)

ランサムウエア感染検知~作ったものがインシデント発生を見つけた瞬間

実際に筆者が開発し、NTTDATA-CERTで運用しているシステムは、前述の ”Deception” を応用したものであり、現時点で約4年間稼働を続けてNTTデータおよびグループ会社を守り続けています。
その一環で、NTTデータ内で発生したランサムウエア感染(※6)を検知することができました(図2)。

図2:インシデント発生時のKillswitchアクセス数と、取得されたログの例

図2:インシデント発生時のKillswitchアクセス数と、取得されたログの例

最終的にはこの情報を用いて、「ランサムウエア感染したホスト」が再感染を起こさないための対応も自動化しています。

むすび

本稿では、Annual FIRST Conferenceの概要と筆者による講演の概要をお伝えしました。
CSIRTというと、インシデント対応や発生に備える組織という印象をお持ちの方も多いと思いますが、例えば講演などの形で他のCSIRTと知見や考え方を共有し(※7)、ひいては世の中がより安全になっていくようにするのも重要な業務の1つと位置付けて、日々の研鑽を行っています。
※1 TBD: To Block connection to malicious host by using ”DQB” and “Shutdowner”

https://www.first.org/conference/2019/program#pTBD-To-Block-Connection-to-Malicious-Host-by-Using-DQB-and-Shutdowner

※3 31st Annual FIRST Conference

https://www.first.org/conference/2019/

※4 Edinburgh Internatinal Conference Centre

https://www.eicc.co.uk/

※5 Gartner Identifies the Top 10 Technologies for Information Security in 2016

https://www.gartner.com/en/newsroom/press-releases/2016-06-15-gartner-identifies-the-top-10-technologies-for-information-security-in-2016


ガートナー、2017年のセキュリティのトップ・テクノロジを発表

https://www.gartner.com/jp/newsroom/press-releases/pr-20170628


ガートナー、CISOがリスク軽減のために注目すべき2018年のセキュリティ・プロジェクトのトップ10を発表

https://enterprisezine.jp/article/detail/10964

※6 NTTデータからのお知らせ

https://www.nttdata.com/jp/ja/news/information/2018/012201/

※7 有用な情報を集めるには、自らも有用と思える情報を発信していくことが重要である、と言われています。

お問い合わせ