表記イベントに行ってみました。
https://connpass.com/event/137685/
1年ちょい前に大阪で開催された分の続編です。
一応、当時のレポート。
https://chocopurin.hatenablog.com/entry/20180308/1520522432
イベントはリサーチャー3人それぞれが気になった話題を挙げて展開していく構成。
既にTwitterまとめ
https://togetter.com/li/1382888
も公開されています。
以下、わからんなりにですが自分の手元メモを公開してみます。
# は自分の感想
(1)piyokangoさん
6月に修正されたFirefoxのコインベース絡みのネタ。
微妙なタイミングで書きそびれたとのこと。
# CVE-2019-11707のことですね
https://forest.watch.impress.co.jp/docs/news/1191724.html
https://www.jpcert.or.jp/at/2019/at190027.html
https://nvd.nist.gov/vuln/detail/CVE-2019-11707
今のご時世で2つのゼロデイ状態になったことは貴重。
攻撃を受けたところが、自らどんな攻撃を受けたか(Indicator情報)を公開した。
https://twitter.com/SecurityGuyPhil/status/1141466335592869888
Objective-See
https://objective-see.com/
マルウェアの中身のstringsに見覚えのあるものがあったので検索してみた。
ラックさんのサイバー救急センターレポートはかなりいい。
https://www.lac.co.jp/lacwatch/report/20190619_001882.html
セキュリティのレポートは多く公開されているが、どう活用するかの言及、
書かれていることの価値が世の中に伝わってないのではないか。
# 技術情報の公開までになってて、だから何?という状態になってるということかな?
# ITに疎い人にまで価値が伝わらなければならないんだろうけど、
# めっちゃ難しい課題だな。
(2)根岸さん
IoTボットを調査してみた話。
34567ポートのスキャンが激増している。
このようなリサーチは何のためにやっているのは、
国内の大規模感染をなくしたいため。
表層解析、動的解析、静的解析
IoTボットで最近多いのはqBot系。
Mirai系は検体が公開されている。
C2通信→スキャン+エクスプロイト→Dos攻撃
UPXでアンパック、stringsコマンド
XORSearch & XORStrings
・Ghidra
https://www.nsa.gov/resources/everyone/ghidra/
https://ghidra-sre.org/
・Shodan
https://www.shodan.io/
・ZoomEye
https://www.zoomeye.org/
カジュアル化する攻撃(者)
Miraiは減少しているが、qBot系が増加傾向にある。
(3)辻さん
2019年3月19日。Norsk HydroがランサムウェアLockerGogaの攻撃を受けた話。
Norsk Hydroの対応について、事項対応の非常にいい事例として紹介したい。
# これのことらしい
https://www.itmedia.co.jp/enterprise/articles/1904/02/news076.html
https://blog.trendmicro.co.jp/archives/20840
3月18日深夜に攻撃を受けて、19日には異常がある旨を公開。
ランサムウェアにやられてサイトが使えないので、Facebookを使って公表した
(組織所有サイト以外のコミュニケーション経路を活用)。
記者会見の模様はWebCastで配信(複数回)。質問もリアルタイムで受付。
国内でも配信業者が会見を生中継することはあるが、自ら配信するのは珍しい
(企業的にはリスクにもなりうる)。
以下を徹底していたのは素晴らしい。
・透明性を確保する姿勢
・頻繁なコミュニケーション
・リーダーシップの可視化
# ここまでの対応は、日本の企業ではようやらんやろなあ・・・
(4)懇親会
「あなたがセキュリティで困っている理由」を購入していたので、
サインいただけないかと持って行っていたのですが、無事に頂戴できました。
ありがとうございました!