「Annual FIRST Conference」は、FIRST（※2）という団体により年次で開催される国際カンファレンスです。
2019年（※3）は、Edinburgh International Conference Centre（EICC）（※4）で開催され、参加者はおおよそ1000人前後でした。参加者の大半は、各国政府のサイバーセキュリティ担当者や、各国を代表するNational CSIRT関係者をはじめとするCSIRT関係者であり、みなさん講演聴講や演習参加、相互交流に勤しんでいました。EICCがあるエジンバラは、外を少し歩くと、エジンバラ城を仰ぎ見ることができる（写真01）環境です。

写真01：エジンバラ城（筆者撮影）

Annual FIRST Conferenceの開催に先立って、CFP（Call for Presentation）という呼びかけをAnnual FIRST Conferenceのプログラム委員から行い、最終的に集まった応募内容をもとにして、プログラム委員による審査を経て、講演者が決定されます。

筆者がAnnual FIRST Conferenceで講演（写真02）してきた内容は、講演資料（※1）に譲り、本稿では、講演のキーとなる概念のDeceptionおよび、実際の運用事例の1つであるランサムウエア感染検知についてご説明します。

写真02：講演時の筆者の様子

Deception（偽装）という言葉は、筆者は「ホンモノっぽい何かをホンモノより早くリクエスト元に送ることで、リクエスト元の動作を制御する」という意味で使っています。これまでは攻撃者が好き放題やってきたところまで防御側が踏み込み、攻撃者に先んじて「守る対象が安全になるようにだます」というところが、これまでの対策である「止める」こととは異なる点です。
アプリケーションがサーバに対し、サービス要求を送信した際に、本来送り返されるべき回答よりも先に、何らかの手段で「ホンモノっぽい（けどニセモノの）応答を行う」ということを、セキュリティに応用する研究をしてきました（図1）。

図1：Deceptionの概念図

そしてその結果を実際の開発・運用に反映しています。なお、世界的な調査企業であるGartnerも、2016年からセキュリティに関する重要なテクノロジーの1つに”Deception”を挙げており、昨今注目を集めているテクノロジーの1つととらえられています（※5）。

実際に筆者が開発し、NTTDATA-CERTで運用しているシステムは、前述の ”Deception” を応用したものであり、現時点で約4年間稼働を続けてNTTデータおよびグループ会社を守り続けています。
その一環で、NTTデータ内で発生したランサムウエア感染（※6）を検知することができました（図2）。

図2：インシデント発生時のKillswitchアクセス数と、取得されたログの例

最終的にはこの情報を用いて、「ランサムウエア感染したホスト」が再感染を起こさないための対応も自動化しています。