%{FACEBOOKSCRIPT}%

サイバーセキュリティお役立ち情報

お役立ち資料
サイバーセキュリティブログ
用語集
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. CODE BLUE 2023 参加レポート その1 |日本発の情報セキュリティ国際会議

CODE BLUE 2023 参加レポート その1 |日本発の情報セキュリティ国際会議

記事一覧
ランサムウェア サイバー安全保障 IoT サイバー攻撃・ハッキング ネットワーク OT ソフトウェア開発 脆弱性 レポート CODE BLUE
  • LINEで送る
  • このエントリーをはてなブックマークに追加
CODE BLUE 2023 参加レポート その1 |日本発の情報セキュリティ国際会議

2023年11月8日~9日にかけて、情報セキュリティに関する国際会議であるCODE BLUE 2023が開催されました。
会議には駐日ウクライナ大使セルギー・コルスンスキー氏やセキュリティ専門家ミッコ・ヒッポネン氏を始めとする様々なスピーカーが登壇した他、コンテストやワークショップも行われました。

SOMPO CYBER SECURITYではインシデントサポートサプライチェーンリスク評価脅威インテリジェンス等様々なサービスを通じてお客さまの支援に取り組んでいます。このため、イベントや会議への参加を通じて、常に最新の脅威や攻撃手法、サイバー空間をめぐる動向の把握に努めております。

本記事では、CODE BLUE 2023を聴講した当社メンバーによるレポートを、2編に分けて紹介します。

>後編はこちら

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

目次

 

認証情報漏洩による被害拡大を防ぐ!
脅威インテリジェンスサービス
Kryptos Logic Platformはこちら

 

 

イベント概要

 

開催概要

CODE BLUE 2023は2014年から開催されている情報セキュリティ国際会議です。「日本発」、「プロ向け」、「ベンダー中立」という方針に基づいたイベントとしてCODE BLUE事務局および株式会社BLUEによって運営されています。

国内外のセキュリティ専門家による講演の他、スポンサーによる出展やワークショップ、コンテスト、ネットワーキング・パーティーといったプログラムがあります。

今回メンバーが参加した英語による講演では、主に以下の領域に関する発表が行われました。

  • 最新の脅威情報や攻撃トレンド
  • ハッキングコンテストに関するトピック
  • 脆弱性調査に関するトピック
  • 国家APTの動向や情報戦(Information Warfare)、国際法、サイバー法規等、安全保障に関わるトピック

CODE BLUE 2023では会場内の2か所でそれぞれ講演が行われましたが、本記事では国外専門家による講演を中心にその概要を紹介します。

 

1. 基調講演|スマートならば脆弱である

著名な情報セキュリティ専門家であるミッコ・ヒッポネン(Mikko Hyppönen)氏による基調講演では、コネクテッドを筆頭とする情報技術の発達に伴うリスクの増大について、事例を踏まえてわかりやすく理解することができます。

20世紀初頭に電力が発明され人間の生活や社会を変えましたが、インターネットを象徴とするITも同様もしくはそれ以上に私たちの文明を大きく変容させています。
現在我々の生活はコネクティビティに依存しています。
例えばかつて腕時計は精巧な機械ではありましたがそれ自体で完結したメカニズムであり外部からの侵害や干渉を受けるおそれはありませんでした。
しかし、現在はスマートウォッチやウェアラブルデバイス等、インターネットと接続された製品が普及しています。そして、このコネクティビティすなわち「スマート」さに起因する様々なリスクが生起しています。
ヒッポネン氏は、コネクティビティや先端技術が恩恵をもたらすだけでなく、様々な脅威やリスクも招くものであると考えています。

このようなテーゼに基づき、ヒッポネン氏は以下のような具体的な脅威にも言及しています。

ビジネスとしてのランサムウェア

ランサムウェアは当初、一般ユーザーのPCを標的にする少額の犯罪でしたが、現在は企業を対象とする一大ビジネスとなりました。
LockBitALPHV/BlackCatPlayといった悪名高いRaaSは、ビジネスアナリストを活用し企業から脅し取る身代金の算定を行っています。
かれらは、サイバー犯罪ユニコーン企業ともいえる存在であり、ブランディングによって「誠実な犯罪集団」イメージの形成に努めます。なぜなら、「かれら(ランサムウェア・グループ)に攻撃されたのは仕方がないが、身代金を払えばしっかりと復号化キーをくれる」というイメージを広めることで、より多くの組織・企業から大金を奪うことが可能となるからです。

ランサムウェアが組織を狙ったビジネスとして発展する一方、一般ユーザーはもっぱら詐欺(フィッシング詐欺、サポート詐欺)の被害を受けています。

Linuxマルウェアの脅威

ヒッポネン氏によれば、現在最も多く存在するマルウェアはLinuxマルウェアであり、悪性トラフィックもLinuxマルウェアのものが最多とのことです。
Linuxはいま最も普及したOSですが、その大部分はスマートデバイスやIoTに組み込まれています。

代表的なLinuxマルウェアであるMirai等を紹介しつつ、IoT、OT、医療機器がこのような悪性プログラムやボットネットの温床となっていることを指摘します。
各メーカーで開発・実運用が進められているコネクテッドカーも、マルウェアのリスクにさらされることが予測されます。

AIとディープフェイク

コンピューティングの高速化を基盤とするAIの発展もまた、正負双方の影響を及ぼします。
我々の生活や経済活動にとって不可欠なインフラとなる一方、AIやディープフェイクを利用した犯罪や非合法活動が社会に対する脅威をもたらすとヒッポネン氏は考えます。
将来的に、悪性(Malicious)AIが到来する日が来るでしょう。

 

 

 

2. サイバーフィジカル攻撃能力のルネッサンス

Google Mandiantで勤務するダニエル・カペルマン・ザフラ(Daniel Kapellmann Zafra)氏によるOTの脅威に関する講演です。
民間セクターからは対岸の火事とみられがちなOT攻撃の脅威が増大していること、ロシアをはじめとする国家サイバー戦力がOT攻撃能力を発展させている事実を知ることができます。

OTに対するサイバー攻撃は、stuxnet等、国家アクターが主に行使する限定的な脅威だと考えられていましたが、ここ数年でOT攻撃の頻度や規模は激変しました。
カぺルマン氏は、ウクライナ紛争は国家アクター、APTだけでなくハクティビストや犯罪集団にも影響を与え、OTマルウェアの開発・運用が活発化したと主張します。

講演では、いくつかの具体的なOTマルウェアに関する技術的な詳細が紹介されました。
例えば2021年に発見されたCOSMICENERGYRTUデバイスを侵害することで電力障害を引き起こすマルウェアですが、ロシアの契約業者がレッドチーム用に開発したプログラムと想定されています。
COSMICENERGYはMSSQLサーバを経由してIEC104デバイス(産業用通信プロトコルIEC 60870-5-104対応のデバイス)に対しコードを実行する仕組みを採用しており、その後ウクライナに対して使用されたINDUSTROYER等との関連が認められます。
このマルウェアは侵害後のネットワーク内部探索機能を持たないため、他のツールと組み合わせて運用することを想定しているようです。

カぺルマン氏は、OTマルウェアの開発リソースとして以下をあげています。

OTマルウェア開発や悪用に対する敷居は低くなってきているため、より身近に迫る脅威として認識すべきとカぺルマン氏は言います。

また、講演最後の質疑応答では、進行中のハマス・イスラエル戦争におけるOT脅威の位置付けが話題となりました。
ハマス側の一部ハクティビストが宣伝しているOTに対する攻撃は、サイバー・フィジカル攻撃というよりは、敵に心理的な影響を与える情報作戦(Information Operation)としての意味合いが強いのではないかとカぺルマン氏は推測しています。

 

 

 

3. Pwn2Ownのターゲットをハッキングした3年間の物語

Sonos製スマートスピーカーをターゲットに繰り返しハッキングを行い、Pwn2Own入賞を果たした経緯を、ユーモアを交えて紹介する講演でした。
スピーカーのオレンジ・ツァイ(Orange Tsai)氏は台湾のセキュリティ企業DEVCOREに所属するスペシャリストです。DEVCOREはレッド・チーミングやペンテストを提供しています。

Webアプリケーション、ファームウェア、メモリ等、デバイスのアタックサーフェスを探すために試行錯誤する取り組みが紹介されました。
ツァイ氏はハッキングに必要なメンタリティとして執念深さ・持続性(Persistence)を挙げています。
また、Sonos製デバイス攻撃の過程で、ベンダーは度々脆弱性を修正しています。このような事象を受けて、作戦保全(OPSEC)もまたサイバー攻撃あるいは防御における重要事項であることが示唆されています。

今回の講演を含めた様々なデータは、ツァイ氏のGitHubにて公開されています。

 

 

 

4. macOSのセキュリティとプライバシーの機構をバイパスする手法について

FFRI所属の中川恒氏のmacOSハッキングに関する講演です。
macOSのセキュリティ・メカニズムと、それらを回避する手法が非常に整理された形で説明されています。

macOSの基本的なセキュリティを構成するGatekeeper、TCC(Transparency Consent and Control)、XProtect、SIP(System Integrity Protection)等のメカニズムについて説明しつつ、このようなメカニズムをバイパスする脆弱性について紹介します。

以下の具体的な脆弱性については、FFRIのGitHub上(外部リンク)でスライドが公開されているのでそちらで確認することができます。

  • GateKeeperのバイパス
  • TCCのバイパス
  • SIPのバイパス

 

 

5. こんにちは!私の名前は [What?]

Akamai所属の研究者であるオリ・デイヴィッド(Oli David)氏による講演です。
テーマは、DHCPの悪用によるDNSスプーフィングの紹介であり、特にMicrosoft Active Directory環境におけるDNSの悪用に焦点をあてています。
Active Directoryは攻撃者が狙うターゲットの1つであり、不要な設定や機能がアタックサーフェスを生んでしまうことが本発表によってよくわかります。

DHCP動的アップデートは、DHCPサーバーがDNSレコードを更新する仕組みですが、この機能を悪用することで、認証されていない攻撃者がDNSレコードを作成することができます。
講演では、LLMNR/NBNSスプーフィングADI DNSスプーフィングなど既存の攻撃手法の特徴を紹介しつつ、DHCPを悪用したDNSスプーフィングの利点や、このような攻撃から環境を保護する手段も言及されました。

 

 

 

6. エンドポイント・セキュリティか、エンド・オブ・セキュリティか?

脆弱性調査を専門とするセキュリティ研究者シィフォン・ペン(Shih-Fong Peng)氏とリン・ウー(Ling Wu)氏によるTrend Micro Apex Oneにおける脆弱性の発表です。
Apex Oneは非常に息の長いエンドポイントセキュリティ製品ですが、その分脆弱性の根本的な修正にも時間を要するとの見解を述べています。
また、高い権限を取り扱うセキュリティ製品の性質上、特に開発に際しては脆弱性の残存に注意を要するべきであるとスピーカーは主張しています。この教訓はセキュリティ・ベンダーだけでなく、組織のシステム管理者・セキュリティ担当者にも生かすことができるのではないでしょうか。
特権アカウントや高権限で動作するプロセスやサービスは、特に注意深く取り扱い、その運用をモニタリングする必要があります。

発表では特にApex Oneのセキュリティ・エージェント(エンドポイントに導入され、サーバーに情報やアラートを送るプログラム)におけるローカル特権昇格の脆弱性に焦点を当てています。

 

  • シィフォン・ペン氏のX(旧Twitter)(外部リンク
  • シィフォン・ペン氏が報告したのApex One等の脆弱性(外部リンク
  • リン・ウー氏の所属する国立台湾大学ネットワークセキュリティ研究室のCTFチームであるBalsn外部リンク

 

 

7.モデム(そして通信事業者)もまたそれほど安全ではない

OTセキュリティ領域に強いベンダーTXOne Networks所属のタルン・イェン(Ta-Lun Yen)氏による、通信事業者が管理するモデム・ハッキングの研究発表です。

台湾の通信事業者であるTaiwanese Telecomをターゲットとして、事業者が提供するGPON(Gigabit Passive Optical Network、受動光ネットワーク)をハッキングする手段を検討します。
GPONは光ケーブルを利用しエンドユーザーにアクセスを提供する重要インフラストラクチャであり、世界の通信事業におけるデファクトスタンダードとなっています。

GPONは以下のコンポーネントから構成されています。

  • OLT(Optical Line Terminal)…「終端装置」。通信事業者施設に設置され、光スプリッタに対する光信号の送信あるいは受信を担います。
  • ONU(Optical Network Unit)…「光ネットワークユニット」、「光回線終端装置」あるいは「ホーム・ゲートウェイ(Home Gateway、HGW)」。分割された光信号を受け取り、電気信号に変換し、あるいは電気信号を光信号に変換します。通常、ユーザーの居住区域やオフィス等に設置されています。
  • Splitter…「光スプリッタ」。1本の光ケーブルを分割し、複数のエンドユーザーに提供します。通常端子箱に格納され通信線路上に設置されます。

スピーカーは、GPONを攻撃するためのアタックサーフェスを検討した結果、ONUに目を付けました。
光と電気の変調を行うONUモデムをリバース・エンジニアリングした結果、複数の脆弱性を発見しました。この脆弱性を悪用することにより、スピーカーは通信事業者が設置しているすべてのモデムにおける管理インターフェースにアクセスすることが可能となりました。

今回研究対象となったGPONのデバイスは、古いデバイスドライバが利用されていたため、メモリ保護のための技術(スタック・カナリアPIE、PIC等)も侵害を防ぐことができなかったと述べています。

通信事業者の管理する重要インフラストラクチャにどのような脆弱性が潜んでいるのか、またどのようにそれらを悪用し侵害していくかを知ることが、国家アクターによる攻撃を阻止する上で重要だという示唆を与える発表でした。

余談ですが、今回イベントに参加したメンバーである髙宮は自衛隊勤務時代にONUの設置調整やONUから先のケーブル敷設、基地内の光LANからの配線工事等を担当していた時期があり(元々有線・無線特技であるため)、本発表を聴いて懐かしさを感じました。

 

 

 

8. シンボリック実行とテイント解析によるWDMドライバーの脆弱性ハンティングの強化

台湾発のセキュリティベンダーであるTeamT5ジージー・リン(ZeZe Lin)氏による発表です。
WDMドライバーに対するシンボリック実行(Symbolic Execution)および汚染解析(Taint Analysis)を用いた脆弱性ハンティングを紹介します。

WDMドライバーはMicrosoftが提供するWindows Driver Modelに準拠し開発されたドライバーです。WDMフレームワークはWindows 98、2000の時代に導入されましたが、現在はユーザーモード・ドライバ(UMDF)のサポート等を追加したWDF(Windows Driver Framework)の利用をMicrosoftは推奨しています。

WDMドライバーは多くの脆弱性を抱えており、こうした脆弱なドライバーを侵害したホストに配送し悪用するBYOVD攻撃に利用されています。本発表では、BlackByteALPHVといったランサムウェア・グループが具体例として挙げられました。

リン氏が紹介したのが、シンボリック実行と汚染解析を利用したIOCTLanceという脆弱性ハンティング・ソリューションです。
IOCTLはI/O Control Codeの略であり、ユーザーモード・アプリとドライバとの間、あるいはスタック上のドライバ内部で行われる通信に利用されます。
IOCTLに対し攻撃者が汚染されたインプットを与えることを想定しテストを行うことにより、以下のような様々な脆弱性を発見します。

  • 物理メモリアドレスの仮想アドレスへのマッピング
  • プロセスハンドルの操作
  • バッファオーバーフロー
  • Nullポインタの逆参照
  • 読み書き可能なアドレス
  • 任意のシェルコード実行
  • 危険なファイル操作

アプリケーション・セキュリティ・テスティングの手法を活用することで、スピーカーは26のドライバーで41個のCVEを発行しました。

発表資料および発表で紹介されたツールIOCTLanceは、リン氏のGitHub上で公開されています。
ドライバーは高い権限で動作するため、前述のBYOVD攻撃を始めとして攻撃者に悪用されるケースがあるため、常に情報収集しておく必要があります。当該ツールについては、当社のラボ環境でも動かしてみることを検討しています。

 

 

 

2日目の講演レポートは「CODE BLUE 2023 参加レポート その2」で紹介します。

 

参考ソース

  1. https://codeblue.jp/2023/en/ 
  2. https://note.com/code_blue 
  3. https://github.com/FFRI/PoC-public/tree/main/cb2023 
  4. https://github.com/kohnakagawa 
  5. https://stl.tech/blog/everything-about-gpon-gigabit-passive-optical-network/#What_is_GPON
  6. https://learn.microsoft.com/en-us/windows-hardware/drivers/kernel/introduction-to-wdm 
  7. https://learn.microsoft.com/en-us/windows-hardware/drivers/wdf/ 
  8. https://www.spiceworks.com/it-security/cyber-risk-management/news/microsoft-windows-drivers-susceptible-takeovers/
  9. https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-abuses-legit-driver-to-disable-security-products/ 
  10. https://learn.microsoft.com/en-us/windows-hardware/drivers/kernel/introduction-to-i-o-control-codes
  11. https://learn.microsoft.com/en-us/windows-hardware/drivers/debuggercmds/wrmsr--write-msr- 
  12. https://vulndev.io/2022/09/24/windows-kernel-exploitation-arbitrary-memory-mapping-x64/ 

 

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

2024_st_portrait
SOMPO CYBER SECURITY
プロダクト推進部 上級研究員
髙宮 真之介(たかみや しんのすけ)CISSP, CEH
2010年に航空自衛隊に入隊後、サイバー・情報通信担当として無線・有線整備、作戦システム管理、SOC設立、米空軍サイバー部隊における交換将校・セキュリティ業務等に従事する。2020年から国内メーカーの脅威脆弱性管理/サイバー演習担当を経て、2022年にSOMPOリスクマネジメント入社後、事業企画やコンテンツ拡充、脅威情報運用等に携わる。
・自衛官時代に言われた一言「レーダー整備にそんな筋肉はいらない」

  • LINEで送る
  • このエントリーをはてなブックマークに追加

新着情報

カテゴリ

すべて表示する

お役立ち情報一覧

タグ

すべて表示する

アーカイブ

アーカイブをすべて表示する

人気お役立ち資料

CONTACT

資料請求・導入に向けたお問い合わせ・ご相談はこちら

FREEサービス紹介やお役立ち資料を
無料でご活用いただけます