セキュリティカンファレンス「JSAC2024」に参加してきた話（聴講編）

こんにちは、NTT Com　イノベーションセンターのNetwork Analytics for Security（NA4Sec）プロジェクトです。Team NA4Secでは2024年1月25日・26日に開催されたセキュリティカンファレンスJSAC2024に参加しました。この記事では、聴講した中で特に印象深かった講演について紹介します。

また、Team NA4Secでは2件の講演についても登壇しており、その内容はセキュリティカンファレンス「JSAC2024」に参加してきた話（登壇編）で紹介しています。今回参加したJSACとTeam NA4Secの概要についても登壇編の冒頭に記載がありますので興味のある方は合わせてご確認いただければと思います。

JSAC2024に参加してみて
JSAC2024において印象深かった講演
おわりに

JSAC2024に参加してみて

今回のJSAC2024も多くの参加者で賑わっており会場は活気に満ち溢れていました。セキュリティ業界で活躍する著名な方を見かけることも度々あり、改めてこのJSACが業界において重要なカンファレンスであることを認識しました。また、JSACは多くのアナリストが現地交流できる場ともなっているようで、特に登壇後の講演者の周りには多くの参加者が集まり情報交換がされていました。

講演・ワークショップではいずれも多数の聴講者が参加しており、新しい情報の数々を食い入るように聞いていました。特に一部のワークショップでは開始前から参加希望者が行列を作っており、開催されるワークショップの期待度の高さが伺えました。

このように数多くの興味深く、貴重な講演・ワークショップが実施されましたが今回はその中から一部を紹介したいと思います。

JSAC2024において印象深かった講演

A Study on Long-Term Trends about Amadey C2 Infrastructure

（BlackBerry Japan, Masaki Kasuya氏）

本講演はAmadeyというマルウェアの長期観測（50ヶ月の観測）により得られた知見に関する発表でした。

活性化までに4年ほどかかったこと、Amadey上で使われた各種マルウェアがGitHubやDiscordなどのよく使われるサービス上に設置されていたこと、さらにAmadeyのボットネット上で100種類以上のマルウェアファミリーが拡散されており、一度感染すると複数のマルウェアに同時感染するリスクがある点などが紹介されており、マルウェアの挙動を長期視点で理解できる良い講演でした。特にAmadeyとRedlineが協調して動いている分析は興味深い発表と感じます（資料のp.30前後を参照）。

詳細は、こちらに資料がありますのでご参照ください。
https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_1_1_kasuya_en.pdf

Unveiling TeleBoyi: Chinese APT Group Targeting Critical Infrastructure Worldwide

（TeamT5, Yi-Chin Chuang氏およびYu-Tung Chang氏）

JSAC常連の台湾のセキュリティベンダーTeamT5からは中国のAPTグループTeleBoyiに関する調査内容が共有されました。

TeleBoyiは発足当初、APAC（Asia-Pacific）に標的を絞っていました。発表者によると2023年には日本国内企業に関心を窺わせる攻撃インフラが確認されたとのことです。また、業界で見ると主に通信事業を主とした重要インフラを攻撃しており、一昨年あたりからエネルギー業界にも手を出し始めていることは注目に値します。

攻撃者の使うテクニックには目新しい印象はなく、マルウェアも中国系アクターの利用が多いPlugXなど多岐に渡っているとのことです。TeleBoyiも漏れなく他の中国系APTとの関連について講演で言及されていましたが、一方でTeleBoyiの特徴としてKCPプロトコルを使うユニークなマルウェアの使用も取り挙げられました。

台湾へのAPTの時期や対象は日本へのAPTと共通するケースがあります。台湾のベンダーの調査は日本の有事の際に正確なアトリビューションを行うための貴重なインプットとなりました。

詳細は、こちらに資料がありますのでご参照ください。
https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_1_8_yi-chin_yu-tung_en.pdf

Workshop: Infrastructure Tracking With Mihari

（Manabu Niseki氏）

本ワークショップは、shodanやCensysなどを利用したモニタリングツールであるMihariの作者である二関氏によるものです。 Mihariのコンセプトや利用方法、Mihariを使った実際のトラッキングの手法について学習することができました。

ワークショップ用のRepositoryが用意されており、参加者はドキュメントを参照しながらMihariのコンセプトを学んだり、実際にMihariを使ったトラッキングを実践することができました。 Shodan/Censysを利用した情報収集、Nuclei と連携した調査など、ツールの使い方に留まらない充実したコンテンツが用意されていました。本ワークショップの内容はVSCodeのDev Containersを利用して容易に環境を構築できるようになっているため、誰でも簡単に実習に取り組めます。興味がある方は下記の資料よりぜひ試してみてください。

こちらが当日の資料ですのでご参照ください。
https://ninoseki.github.io/jsac_mihari_workshop/

Workshop: Investigation Techniques and Practice on External Attack Surface

（MACNICA, Inc., Kenzo Masamoto氏およびTakeya Yamazaki氏, Yutaka Sejiyama氏, Takeshi Teshigawara氏）

株式会社マクニカからEASM（External Attack Surface Management）についての解説と、実践ワークショップが開催されました。

EASMとはネットワーク機器や公開サーバ等の外部から攻撃される可能性がある領域（Attack Surface）を把握・対処するための取り組みであり、Attack Surfaceを起点としたインシデントの発生が確認されている昨今において、EASMが重要であることとその具体的な手法について解説されました。特に製品別にそのOSのバージョンを推測する方法については興味深く、貴重な情報であると感じました。

また本ワークショップでは、参加者が複数のツール・サービスを実際に使用して、社内の外部公開資産の調査およびリスク評価を実践するパートがあり、特にここでは重要なスキルを習得できたと考えています。それに加えて、外部から特定組織への調査が可能であることを再認識することでEASMの重要性を骨身にしみて理解できたという点においても、本ワークショップは貴重な経験となりました。