スピーカー

/* No speaking simultaneous interpretation is available , however, we try to show the slides in both english & japanese as much as we can. */

/* [en] means English speaker, [ja] means Japanese speaker. */

[en] 趣味と実益のためにradare2を始めてみよう！ -- pancake

pancake

r2は最近人気が高まっており、リバース・エンジニアリング、エミュレーション、バイナリ分析/操作、exploitの開発といったタスクにおいて、重要な選択肢として考えられています。それはオープンソースプロジェクトで移植性が注目されますが、UNIXの哲学に根ざしているものなのです。

この講演では、プロジェクトの能力、長所、短所について紹介します。マルウェア分析とバイナリ自動処理の実用例に焦点を当て、r2初心者向けにも理解しやすい基礎を紹介します。

@unixfreaxjpによるイントロ ( radare2 のワークショップ紹介)

pancake(Sergi Alvarez):

Sergi Alvarez (a.k.a pancake) はradare、radare2の作者で、現在はNowSecureにおいて、モバイルセキュリティの研究開発に従事している。 過去には、フォレンジックアナリストや、自律センサー用の組み込みソフトウェア開発者としてアセンブラでintel、mips、armへの最適化を行った。その他の余暇では、フリーソフトウェアの開発や、DEFCON CTFに3年続けての出場を果たしている。

[ja] デコイになって落とせ！: Exploit Kitをテイクダウンする新たな手法

神薗雅紀,イン ミン パ パ,熊谷裕志,笠間貴弘

近年のExploit KitはプロキシやVDS、ローテータ等複雑な仕組みを使用している。そこでリークされたいくつかのExploit Kitを収集しインフラストラクチャを再構築・分析した。その結果いくつか脆弱な箇所が存在することを発見した。この知見から研究者がデコイとなることでテイクダウンできる可能性があり、その新しい手法を提案する。また、Exploit Kitの特徴的なCode Snippetを使用して関連した不正サイトも検出した。それらも含めて紹介する。

神薗雅紀：セキュリティ研究所所長 (Head of Laboratory, Cyber Security Laboratory)

Yin Minn Pa Pa：セキュリティ研究所研究員 (Researcher, Cyber Security Laboratory)

熊谷裕志：セキュリティ研究所上席研究員 (Senior Researcher, Cyber Security Laboratory)

笠間貴弘：サイバーセキュリティ研究所所属 (Cyber Security Laboratory, Research Organization）

[ja] プリンタの怖い話(1) 〜意外と簡単に盗める〜

Kohki Ohhira (KOH)

オフィスにはたいていプリンタがあるだろう。しかし、そのプリンタはちゃんと管理されているだろうか？プリンタが攻撃を受けた時、被害にあうのは管理者ではなく利用者である。

例えばプリンタを購入した人はプリンタに添付されているソフトウェアを使ってセットアップする。そして人によっては印刷できるようになっただけで満足してしまい、それ以上のケアをやめてしまうかもしれない。

プリンタ管理UIのパスワードを更新していないなど、漫然と運用されるプリンタが危機に瀕しているのは想像にたやすい。

今回そのようなプリンタに対する攻撃を検証してみた。

本セッションではプリンタへの攻撃例と、どう守るか、そしてその先について説明する。

Kohki Ohhira (KOH):

富士通システム統合研究所に所属。

M2Mが好きなセキュリティ屋です。

[ja] サイバー攻撃観測記録 ?彼の名はヨセフ?

熊谷裕志, 神薗雅紀, Yin Minn Pa Pa, 津田侑

NICTが開発したサイバー攻撃誘引基盤「STARDUST」を使用して、攻撃者を模擬環境に誘い込み、攻撃者の行動を観測した。この攻撃者は模擬環境内でツールをダウンロードしたり、PayPalのアカウント情報やクレジットカード番号の有効性を確認したりしていた。さらに観測結果を分析することで、これら情報を使用した攻撃者の行動が明らかになった。これら観測結果から攻撃者の実像を紹介する。

熊谷裕志：セキュリティ研究所上席研究員

神薗雅紀：セキュリティ研究所所長

Yin Minn Pa Pa：セキュリティ研究所研究員

津田侑：セキュリティ研究者

[en] アメイジングツールマン – ツールを修得して２１世紀のハッキング可能なスイスアーミーナイフのフレームワークを提案する

Boik

この講演では、いくつかの便利なツールを紹介し、21世紀のためのハッキング可能な "スイスアーミーナイフ"のフレームワークを提案します。このフレームワークは、burpsuite、dockerなどの既存のツールや、ChromeやFirefoxで頻繁に使用するWeb拡張機能と組み合わせて使用できます。さらに、Web拡張APIを制御・管理することができるため、Web拡張内のスニッチをより簡単に捕えることができます。

Boik：

Syue-Siang Su (Boik) はRailsを使ったWeb開発経験を３年有し、ウェブセキュリティの研究でアプリケーションやガジェットの作成や管理にオープンソースソフトウェアを積極的に使用しています。CTFで幾つかの賞を受賞、Taiwan Modern Web 2017の講演者でもあります。台湾のHITCONトレーニング・ナショナルサイバーセキュリティ技術センターの講師も務めています。

http://boik.com.tw/

[ja] CSIRT設立は難しい？いや、それは孔明の罠だ…

Yamatono = Masahito "Yama"ga + waka"tono"

世の中まさにCSIRT設立ブーム。CSIRTを、インシデント対応のための「銀の弾丸」であるかの如くとらえる向きの話や、CSIRT設立のための準備が大変という話を耳にすることもある。しかし、CSIRTはそんなに大変なものなのか？まて、それは孔明の罠だ。

我々は、CSIRTに似たような営みを紐解き、「CSIRT、意外と現状でもできるのではないか？」と思ってもらうとともに、「どうもならないところをどうするのか」「どうもならないとこをどうにかするための考え方」を示す。

山賀正人：

CSIRT研究家

1994年 - 2001年 千葉大学総合情報処理センター助手

2001年 - 2006年 JPCERT/CC マネージャ等

2006年 - フリーランスのライター、コンサルタント

wakatono:

とある企業のCSIRTに所属する研究者。 業務外の実績のほうが多いのはご愛嬌。 OSやネットワークのセキュリティに早くから注目しはじめる。その延長で、まだサーバやネットワークへのセキュリティ対策が盛んだった時代に、クライアントセキュリティや仮想マシンモニタのセキュリティに不安を持ち、研究に着手。今に至る。2011年3月に、とある大学院の博士課程を修了。博士（情報学）。2014年に技術士（情報工学部門） 登録。

現在の興味の1つは、CSIRTのサスティナビリティ。

詳細は http://www.pfsec.net/ を参照のこと。

Twitter ID: @wakatono

[ja] ドメインにまつわるお話

seraph

ドメイン名を取得する際には、取得する人が情報を登録する必要があります。通常はドメイン名を正規の目的のために取得するため、会社の担当者名や個人の情報が登録されます。しかしながら、悪意のある攻撃者等は、偽の情報を登録していることがほとんどです。偽の情報でどのような情報があるのか調査した結果についてご紹介します。

seraph：

なんちゃってマルウェアアナリストです。tktkセキュリティ勉強会を主催しています。 Twitter: Seraph39

[ja] 薄いハイパーバイザを利用した高効率なリモートデバッグ

木村 廉

薄いハイパーバイザ(Thin hypervisor)はゲストOSの監視、保護を主目的として、通常のハイパーバイザより軽量かつ高速に動作するよう設計されている。

実世界のシステム上での運用も比較的容易に行えるため、解析者はいつでもゲストとして動作しているシステムをハイパーバイザを通して監視できる。

しかしこれらプラットフォームには肝心の解析インターフェースが搭載されていない事が多い。

本講演では私が開発したBitVisor上で動作するgdbserverを利用する事で、薄いハイパーバイザ上でrookitやカーネルを効率的に解析する。

木村 廉：

https://rkx1209.github.io/about/

[en] デジタルウェポンの詳細調査と敵国サイバー軍のケーススタディ

Park Moonbeom a.k.a 朴文範

ソニー・ピクチャーズへの攻撃からATM攻撃まで、地球上で最も閉鎖的で秘密の国の一つであるにもかかわらず、北朝鮮のサイバー軍の攻撃は以前よりも積極的になっている。

我々の観察から、北朝鮮のサイバー軍は標的を韓国から世界へと広がってきている。したがって、北朝鮮と相手国との緊迫した時代に。彼らが攻撃に使用したデジタルウェポンを理解する必要があると考える。

北朝鮮のサイバー軍はここ数年にわたって活動をしている。韓国は毎年約500件の攻撃に苦しめられ、その数は増大している。

これらの攻撃から、使われたウェポンを解析し、攻撃事例を追跡できるようになった。

この講演では、サイバースパイ活動とサイバー犯罪で使われた悪性コードを深く掘り下げる。さらに、使用されたエクスプロイトとC&Cインフラについて分析する。実際のAPT攻撃のケースで、それらのエクスプロイト、C&C、攻撃ツールなどがどのように使われたのかを分析し紹介する。

Park Moonbeom a.k.a 朴文範：

Moonbeomは、韓国のTTPA（Trusted Third Party Agency）の副リサーチャーであり、ハッキング解析、デジタルフォレンジック、ハッキング技術に関する研究、ハッキングソースのプロファイリングに10年の経験を持っています。 最近、北朝鮮のサイバー戦争グループのプロファイリングと監視を行っています。彼はフォレンジック、ハッキング分析、ハッカーのプロファイリング、ハッカーに対する反撃の分野で政府と民間との間を橋渡しする専門家だけではなく、韓国の次世代セキュリティリーダートレーニングプログラム「Best of the Best（BoB）」の指導者でもある 。Ekoparty、HITCON、HITB-GSEC、TROOPERS、VXCONなど様々な国際カンファレンスで講演を行っている。

[ja] 米国のペネトレーションテスト事情（レッドチームサービスについて）

Tomohisa Ishikawa

日本でペネトレーションテスター・セキュリティコンサルタントとして働いていますが、米国のセキュリティチームで１年間働いた経験を踏まえ、米国のペネトレーションテスト事情（Red Team Service / Operation)について解説します。米国のレッドチームサービスでは、脅威が発生する３要素（デジタル・フィジカル[物理]・ソーシャル）を網羅的に診断することを目的としており、その実践さながらの具体的手法などについてご紹介します。

Tomohisa Ishikawa：

セキュリティコンサルタント。専門は、ペネトレーションテスト、インシデントレスポンス、脆弱性管理、セキュア開発、セキュリティ教育。2016年に１年間米国金融機関のセキュリティチームに所属していた経験を持ち、米国最先端のセキュリティ管理手法を学ぶ。。また、SANSFIRE 2011, SANSFIRE 2012, DEF CON 24 SE Village, LASCON 2016, and BSides Philadelphia 2016などでの講演経験を持つ。

ブログ：http://www.scientia-security.org/

[en] 何が起こったあなたの家に？

Soohyun Jin, Kiyong Sim

昨今IoT技術は機械学習やビッグデータと同じように浴びている。インターネットのようにネットワークを通じてコンピュータ化されたモノを接続し、互いに情報をやり取りする。スマートファクトリーにおける製造プロセスの効率化や、遠隔から操作できる機能を持つ電気ヒーターまで、IoT技術はほぼすべての家庭電化製品や産業機械に適用される。

しかし、たくさんのコンピュータ化されたモノが登場し、インターネットに接続されるにつれ、IoTデバイスを使ったインシデントやサイバーテロが急速に増えている。インシデント調査や証拠保全に関して、IoTフォレンジックと通常のデジタルフォレンジックには、IoTデバイスとPCやサーバとのシステム環境の違いに似た違いがある。また、デジタルフォレンジックの世界にはない制約が存在する。

この講演では、IoTデバイス（家庭用電化製品）のハッキング・エクスプロイト方法のほか、IoTフォレンジックについて、サイバーテロで攻撃・利用されたIoTデバイスの証拠保全や、マルウェアに感染したIoTデバイスからアーティファクト（例：ログファイル）を抽出したり、I抽出された証拠ファイルの完全性をそのままに攻撃者の侵入経路を分析する方法について話す。

そして、ゼロデイ脆弱性における攻撃やIoTフォレンジック用に我々が開発した便利ツールの話のほか、IoTフォレンジックの制約について話す。某有名企業の家庭用電化製品（ロボット掃除機）について研究し、エクスプロイトの経験がある。

Soohyun Jin：

ハッキング・セキュリティアカデミー(a.k.a BOB)のリサーチャーの1人であり、また韓国のデジタルフォレンジック研究グループのリーダ。最近は、家庭用電化製品のエクスプロイト技術やフォレンジック技術について研究している。また、Air Force CERTに従事したことがあり、現在は大学に通う学生である。

Kiyong Sim：

Havvim Security及びセキュリティアカデミー（a.k.a BOB）の脆弱性リサーチャー。最近はwindows kernelのエクスプロイト方法を研究している。LeaveCat’s ctfチームのメンバーとしてctf競技にも参加している。

[en] 君達の暗号化されたコンピュータは、全て我々がいただいた。

Tomi Tuominen

10年以上前、研究者らはコンピュータメモリに残された痕跡から一般的なディスク暗号化ツールを無効にする方法を実演しました。これまでのところ、ほとんどの人はこれらの手法が現実の世界では実用的ではなかったと信じていました。そして、今後数年もコンピュータの進歩からみても現実的では無いと考えられてきまいた。

しかし、時にはグラスがすでに半分までいっぱいになっていることもあります。この講演では自分自身のツールキットを構築して、実際のメモリに残る痕跡を攻撃するよくある手法を紹介します。

Tomi Tuominen：

Tomi Tuominen、F-Secureサイバーセキュリティサービスの実践リーダー

Tomiは "InfoSec Swiss Army Knife"として知られています。なぜなら、コンピュータに関して言えば、彼はすべてのことをやっているからです。 業界で20年以上にわたり、彼はWindowsネットワーキング、物理アクセス制御システム、電子投票に関する画期的な研究に参加しました。

F-Secureのテクニカルセキュリティコンサルティングの責任者として、彼は企業を保護することを専門にしています。 t2 infosecカンファレンスの創始者であり、フィンランドのIT界で影響力のある100人に2度選出されています。