Japan Security Analyst Conferenceとは

日々発生するサイバー攻撃は、刻々と変化しており、そのようなインシデントの分析・対応を行う技術者もそれに応じてスキルアップが求められています。 一方で、インシデント分析・対応に関連した技術や知見が共有される場が国内で少ない現状を踏まえ、日本国内のセキュリティアナリストの底上げ行うために、 国内のセキュリティアナリストが一同に介し、インシデント分析・対応に関連する技術的な知見を共有し、日本全体でサイバー攻撃に対抗することが必要であると考えます。

JPCERT/CCでは、その思いからセキュリティインシデントを日々対応する現場のセキュリティアナリストが集い高度化するサイバー攻撃に対抗するための情報を共有することを目的にセキュリティインシデント分析・対応のための技術情報共有カンファレンス「Japan Security Analyst Conference」 (JSAC)を開催します。

本カンファレンスに参加してご自身の知見・技術・情報を日本国内のセキュリティアナリストと共有してみませんか?

twitter flickr youtube

開催概要

Japan Security Analyst Conference 2019 は終了いたしました。
ご参加いただきまして、誠にありがとうございました。

名称 Japan Security Analyst Conference 2019 (JSAC2019)
日時 2019年1月18日(金)
9:50~17:30(9:20受付開始)
会場 御茶ノ水ソラシティカンファレンスセンター
〒101-0062 東京都千代田区神田駿河台4丁目6 御茶ノ水ソラシティ
https://solacity.jp/cc/access/
主催 一般社団法人 JPCERT コーディネーションセンター
対象者 マルウエア分析者、フォレンジックアナリスト、SOC アナリスト、ネットワークセキュリティアナリスト、インシデントハンドラー、インテリジェンスアナリスト、セキュリティ研究者
参加費 無料
定員 300名
申込方法 お申し込みありがとうございました。
※満席のため参加受付を終了いたしました。
なお、事前のご登録無く当日の受付はお受けできません。ご了承ください。


※現在決定している講演内容につきましては、 講師紹介・講演概要をご覧ください。
※個人情報はカンファレンスの連絡目的以外には利用いたしません。
お問合せ先 Japan Security Analyst Conference 2019 受付窓口
E-mail:jsac-regist@e-side.co.jp

プログラム

9:20 受付開始 / Registration
9:50 開会挨拶 / Opening
JPCERT/CC 代表理事 菊池 浩明
9:55 - 10:10 オープニングトーク / Opening talk
JPCERT/CC インシデントレスポンスグループ部門長 椎木 孝斉
PDF (JP) / PGP
10:10 - 10:50 週末なにしてますか? 忙しいですか? DbDを解析してもらっていいですか?
日本電気株式会社 小池 倫太郎、株式会社サイバーディフェンス研究所 中島 将太
Detail
PDF (JP) / PGP
10:50 - 11:00 休憩 / Break
11:00 - 11:40 A lesson that should be learned from the cyber-attack in Korea
AhnLab CHA Minseok (Jacky)、AhnLab LEE Myeong-Su
Detail
11:40 - 12:20 Deep Dive Into The Cyber Enemy : Various Case Study
Trusted Third Party Agency 朴文範(Park Moonbeom)
Detail
12:20 - 13:20 お昼休憩 / Lunch
13:20 - 14:00 セキュリティログ分析のフィールドはエンドポイントへ ~Windows深層における攻防戦記~
NTTセキュリティ・ジャパン株式会社 林 匠悟
Detail
PDF (JP) / PGP
14:00 - 14:40 仮想通貨を要求するセクストーションスパム
株式会社カスペルスキー 大沼 千亜希
Detail
PDF (JP) / PGP
14:40 - 15:10 コーヒーブレーク / Coffee break
15:10 - 15:50 APT10による ANEL を利用した攻撃手法とその詳細解析
SecureWorks Japan 株式会社 玉田 清貴
Detail
PDF (JP) / PGP
15:50 - 16:30 公開サーバを狙った仮想通貨の採掘を強要する攻撃について
株式会社ラック 西部 修明
Detail
PDF (JP) / PGP
16:30 - 16:50 休憩 / Break
16:50 - 17:30 C&C 完全に理解した
標的型攻撃に使用されたマルウェア xxmm から学ぶ、HTTPを用いたコマンド&コントロール実装

SecureWorks Japan 株式会社 中津留 勇
Detail
PDF (JP) / PGP
PDF (EN) / PGP
17:30 閉会挨拶 / Closing
JPCERT/CC 専務理事 歌代 和正

※プログラムは都合により変更になる場合があります。


講師紹介・講演概要

講演タイトル:週末なにしてますか? 忙しいですか? DbDを解析してもらっていいですか?
Drive-by Download攻撃は依然として行われており、特に2018年後半にはUnderminer Exploit KitとFallout Exploit Kitという新たなExploit Kitが登場しました。そうした新たなExploit Kitは、CVE-2018-4878やCVE-2018-8174を悪用します。また、公開鍵暗号で処理の一部を隠したり、HTMLを用いて悪性コードを生成するなど、様々なテクニックを使って巧妙に活動を行っています。しかし、それらの詳細な情報はほとんど報告されておらず、特に日本での最新の脅威情報は公開されていません。
本講演では、まず昨今の日本で観測されたDrive-by Download攻撃について、攻撃キャンペーンという観点からその活動を紹介します。また、新たに観測されたUnderminer Exploit KitとFallout Exploit Kitについて、それらがどのように解析を妨害し、攻撃を行っているのか、細部まで解析を行った結果を共有します。また、そこで用いられたマルウェアのファミリや挙動について説明します。さらに、キャンペーン毎やEK・地域毎に現れるマルウェアの特徴を明らかにします。

日本電気株式会社 小池倫太郎
2018年、日本電気株式会社に入社。学生時代からチームnao_secにてDrive-by Download攻撃やマルウェアのトラフィックの調査・解析、脅威情報の収集などを行っている。Japan Security Analyst Conference 2018 スピーカー、BlackHat USA 2018 Arsenal プレゼンター。
株式会社サイバーディフェンス研究所 中島将太
フォンジック、マルウェア解析業務に従事。さらにnao_secに所属し、シェルコードやマルウェアなどのリバースエンジニアリングを担当している。Japan Security Analyst Conference 2018 スピーカー、BlackHat Europe 2018 Arsenal プレゼンター。
講演タイトル:A lesson that should be learned from the cyber-attack in Korea
Many Korean public institutions, defense industries and corporations are under APT attacks. Even a cyber-attack occurred in international sports events held in South Korea. The attack lead to an IT network failure interrupted IPTV image transmission at the main press center, operation of the official website for sales and issuance of entrance tickets, wi-fi services, etc. At first, a DDoS attack was suspected, but then the internal system was infiltrated and files on the server deleted. In most cases, the attacker meant to steal confidential information. It was an interesting incident, in that it provided evidence that a cyber-attack could happen against a sporting event. The media and many security companies were interested in this incident and commented about it, but it became a typical example of false attribution.
Some threat actors active in Korea are also active in Japan, meaning that Japanese security experts should also pay attention to what’s happening in Korea.
Through the presentation, I will describe the main attack vectors of the attacker and the lateral movement to grasp the internal system through cyber-attacks in Korea. Lastly, I will introduce the lessons from this incident that security managers must be aware of.
We hope that this presentation would be of little help to Japanese officials who are working to successfully hold the 2020 Summer Olympics as well as Japanese security officers.

AhnLab CHA Minseok (Jacky)
He is a Senior Principal Malware Researcher at AhnLab. He joined AhnLab as a malware analyst in 1997. He has been appointed as a member of the Private/Public Cooperative Investigation Group and Cyber Expert Group in South Korea. He is a reporter for the WildList Organization International. He is a member of the boardof directors of AVAR (Association of Anti-Virus Asia Researches) since 2018. He was awarded the ISC2 ISLA Asia-Pacific Information Security Practitioner Award in 2018. He is a speaker at security conferences, including AVAR, AVTOKYO, CARO Workshop, CODE BLUE, CodeEngn, CODEGATE, ISCR(International Symposium on Cybercrime Response), SECUINSIDE, Virus Bulletin Conference and so on. When he has free time, he enjoys old video games and old anime.
AhnLab LEE Myeong-Su
He is currently working as an incident analyst at AhnLab in South Korea. He started as a software developer in 1999. He left the IT field in 2003 and put up his own business such as pizzeria and PC cafe. He experienced, at an early age, the arduousness of being self-employed so he came back to the field of IT again. He taught hacking and security to students, private companies, military, police and public institutions for 5 years. He joined AhnLab's A-FIRST (AhnLab Forensics & Incident Response Service Team), that was established in 2011, where he analyzed various APT incident cases. He likes to play musical instruments as a hobby. He started to learn the violin 3 years ago, finished seventh volume of Suzuki Violin School book, and is currently practicing Mozart Violin Concerto No.3.
講演タイトル:Deep Dive Into The Cyber Enemy: Various Case Study
One dark country has been using the Internet only for military purposes. Especially, that country has cyber warfare organization, and there are several sub groups under cyber warfare organization. Each sub groups has cyber warfare activities with different purposes. I will explain not only structure of the cyber warfare organization of dark country, but also as well as the types of cyber weapons they use and how they are used. I will explain it all with case analysis of real APT incidents.
Each sub groups of dark country cyber warfare using similar attack vector and malicious codes and similar attack tools. And each groups purpose and target depend on each agency character. For example, there is a group of dark country which has attacked oversea government agency, nuclear power plant, defense industry, airport. Another group has targeted dark country defector to gather information, and other group has hacked financial sector to earn USD.
In my presentation, I will explain dark country's agencies which order commands to group and purposes. Additionally, this talk takes a deep-dive into APT attacks associated with dark country, why they hacked the targets, which IPs they used while attack, and also many logs remained on real systems.

Trusted Third Party Agency 朴文範(Park Moonbeom)
He is working in cyber security and incident response sector of South Korea as a general researcher and cyber investigation advisory member of the national investigation agency. Also he is responsible for research on hacking methods, analyze hacking incident also, profiling the relationships. And he has been talking and presentation at many international hacking & security conference as AVTOKYO, Ekoparty, FIRST, HITCON, HITB-GSEC, Swiss Cyber Storm, TDOH Conf, TROOPERS.
講演タイトル:セキュリティログ分析のフィールドはエンドポイントへ ~Windows深層における攻防戦記~
日々巧妙化するサイバー攻撃においてマルウェア自身もアンチウィルス,IPS/IDS,サンドボックスといったセキュリティ製品からの検知を逃れるためにファイルレス化、C&C通信の暗号化、C&C通信先に正規サイトを利用するなど進化を遂げており、ネットワークセキュリティ製品による監視のみでマルウェア感染を見つけることは困難になってきています。そこでこれまでのネットワークログの監視にプラスしてホスト内の挙動ログを監視することに注目が集まってきています。
本講演では、まずエンドポイントログ分析の利点や課題点、弊社SOCでのネットワークログと比較した際のエンドポイントログによるインシデント発見割合などについて簡単に紹介します。その後、弊社SOCで観測された複数の攻撃グループによるサイバー攻撃の具体的な事例紹介とともに、プロセス・コマンドライン・ファイル操作・レジストリ操作等のログを利用してマルウェア感染・感染元ファイル・漏えい情報などの調査を行う際の分析のコツを紹介します。また、コードインジェクションが利用された場合など分析時の注意点についてもを紹介します。最後にファイルのエンコードやコピーによるプロセス名の置換など実際に攻撃者によって利用されたさまざまなWindowsコマンドを駆使したエンドポイントログ監視の回避テクニックとその対策事例について紹介します。

NTTセキュリティ・ジャパン株式会社 林 匠悟
NTTセキュリティ・ジャパンのSOCアナリスト。SOCの運用チームに所属して10年目。アラート監視・デバイス設定変更・分析・カスタムシグネチャ作成等を幅広く経験。また、日本SOCアナリスト情報共有会(SOCYETI)の立ち上げメンバーとして積極的に情報共有活動を実施。
講演タイトル:仮想通貨を要求するセクストーションスパム
2018年9月、仮想通貨を要求するセクストーションのスパムメールが世界中で拡散した。 一般的に、セクストーションとは個人の性的なコンテンツを盾に取り相手を脅す行為を指す。今回利用された攻撃メールの大きな特徴は、メッセージの受信者を焦らせる巧妙なソーシャルエンジニアリングとBitcoinを利用した金銭要求である。
同様のスパムメールは同年7月にも観測されていたものの、9月以降このスパムメール拡散は本格化し、多様な言語での拡散と攻撃手法の変化は現在もなお続いている。
スパムメール送信という単純な攻撃ではあるものの、攻撃に利用されたBitcoinアドレスにはスパムメールで要求された金額に近い額のトランザクション記録が存在するものがある。高度なマルウェアを利用しなくとも、スパムメール配信というごくシンプルな攻撃手法で攻撃者が収益を上げており、人々が騙されて金銭被害や心理的被害を受けているという事実がある。それは日本でも例外ではない。
海外ではこのスパムメール拡散について多くの企業や公的機関がブログ記事や注意喚起を出しているが、日本語で出ている情報は少ない。本発表は攻撃の概要を掴むとともに、他国の状況と日本について比較し、日本を狙った攻撃について考察する。
今回のセクストーションのスパムメールは、海外から拡散が開始し、遅れて日本でも拡散が開始された。様々な言語を標的にしたセクストーションのスパムメールを早期に把握することで、日本を狙ったスパムメールを早期に検知できる可能性がある。上記の調査によって得られた技術情報を参加者へ共有することで、自組織におけるスパムメール判定やユーザーへの注意喚起等早期の対応に役立てていただきたい。

株式会社カスペルスキー 大沼 千亜希
IT関連企業での勤務を経て2008年カスペルスキー入社。カスペルスキー製品の日本市場向け製品開発および検証、グローバルでの製品テストに携わる。2013年より情報セキュリティラボの一員として、フィッシングや偽ショッピングサイトの調査、カスペルスキー製品への脅威情報の反映、ブログ執筆、情報セキュリティ啓発活動での講演などを担当。
講演タイトル:APT10による ANEL を利用した攻撃手法とその詳細解析
APT10 (別名:ChessMaster, StonePanda, menuPass, etc…)は近年活発に国内組織を標的としたサイバー攻撃を行っている攻撃者グループの1つである。APT10がこれまでに利用しているマルウェアで代表的なものはRedLeaves、Cobalt Strike、ChChes、ANELなどが挙げられる。
これらのマルウェアの内、ANELは2017年9月下旬から現在にかけて攻撃者がマルウェアのバージョンを頻繁にアップデートし、バックドア機能や検出回避機能を改良しながら攻撃に利用している事が確認されている。
本講演では、APT10が用いるマルウェアの中でも特にANELに焦点を当てて、ANELを詳細解析した結果得られた特徴や機能を解説する。
特に、ANELのアンパックの方法や、バージョンアップによるANELの機能進化の推移として、通信の暗号化手法の改良部分やバックドアコマンドの機能増加などの情報を、作成したツールを用いて解説する。
また、ANELを用いた攻撃から自組織を守るために必要な情報として、標的型メールに添付されるファイルの特徴や通信の特徴などから、攻撃を検知・対処するための情報を共有する。

SecureWorks Japan 株式会社 玉田 清貴
セキュリティベンダーにて、企業・官公庁に対するインシデントレスポンスサービスの中で、端末調査、マルウェア解析およびフォレンジック分析業務を経て、2018年7月から現職。現在も、マルウェア解析およびフォレンジック分析業務に従事するとともに、主に国内を標的にした脅威情報の収集・分析に従事。
講演タイトル:公開サーバを狙った仮想通貨の採掘を強要する攻撃について
昨今、インターネットにおいて公開サーバを狙った仮想通貨の採掘を強要する攻撃活動が行われています。このような攻撃活動は少なくとも2017年4月から確認しており、終息の兆しは見受けられません。攻撃の観測だけでなく実際の状況として、攻撃者は数千万円単位の収入を得ていることも分かっています。
従来お金を稼ぐという目的の活動は、その手段としてバンキングトロイやランサムウェアなどが代表的でした。しかし仮想通貨の普及から、攻撃者の活動傾向に変化がありました。
仮想通貨の採掘に必要なのは単純な計算リソースです。ゆえに攻撃者は脆弱な公開サーバに対し採掘を強要させることで、金銭価値のある仮想通貨を直接かつ継続的に得ることが出来るようになりました。さらに採掘の強要行為は本質的には任意コード実行であるため、攻撃者はこれまで使われてきた攻撃コードやボットネットなど、様々な資産を流用することができます。このように、悪意を持つ者はお金を稼ぐという単純な動機で、容易に攻撃活動を実施できる現状があります。
また、攻撃者の多くは仮想通貨Moneroを採掘させています。Moneroは匿名性の高い仮想通貨として知られているものの、ウォレットアドレスを特定することにより、収入状況の確認が可能な場合があります。攻撃者の収入状況と、採掘を強要する攻撃を観測した時期や狙った脆弱性には関係が見受けられました。

本セッションでは仮想通貨の採掘を強要する活動に関して、攻撃者がどのように仮想通貨を採掘しているのかと、収入の傾向についてを調査法とあわせて紹介します。

株式会社ラック 西部 修明
2015年に株式会社ラック入社。セキュリティセンターJSOCのアナリストとしてリアルタイムセキュリティ監視、インシデント分析に従事する。その他に、脆弱性の検証やカスタムシグネチャの作成、JSOCの検知傾向からレポートの執筆などを務める。
講演タイトル:C&C 完全に理解した - 標的型攻撃に使用されたマルウェア xxmm から学ぶ、HTTPを用いたコマンド&コントロール実装
標的型攻撃で使用される RAT マルウェアの解析結果は、検知のみならずインシデント対応における攻撃者の行動を把握するために非常に重要な情報となる。しかしながら、標的攻撃マルウェアの解析記事では機能全般についての説明や、一部の特徴的な処理についての説明に終始しているケースが多く、インシデント対応に活用ができない場合もある。特に、ネットワーク検知からインシデント対応まで広く活用が可能な通信実装の詳細を解説した記事は国内では少ないのが現状である。
本発表では、過去標的型攻撃に使用された RAT であり HTTP 通信を利用し且つ独自のデータ構造を持つ xxmm を題材とし、その通信がどのように実現されているのかを完全に解説する。具体的には、xxmm の C2 通信における、暗号化や圧縮といった技術とそのデータ構造の解説、C2 の命令および結果を格納するデータの構造とそこに格納される値とその意味などを詳細に解説することで、マルウェア解析者をはじめとしたアナリスト・研究者それぞれにとって有益な情報を提供すること目指す。

SecureWorks Japan 株式会社 中津留 勇
セキュリティインシデント対応支援業務、マルウェア分析・対策研究業務を経て、2016年3月から現職。Secureworksのリサーチチーム、Counter Threat Unitの一員として、最新のサイバー攻撃の調査研究を行うと共に、インシデント対応および関連するマルウェア等の解析業務に従事している。セキュリティ啓蒙活動にも力を入れており、WASForum Hardening Project実行委員、Internet Week プログラム委員、セキュリティ・キャンプ全国大会講師などを務める。

※プログラムは都合により変更になる場合があります。

Call for Presentation (受付終了)

CFPの募集は終了いたしました。
ご応募いただきまして、誠にありがとうございました。

JSAC2019の開催に際して、本カンファレンスにおいての講演を広く募集いたします。
講演をご希望の方は、以下の募集要項をお読みいただき、講演概要と共に必要事項をカンファレンス事務局まで送付してください。
皆様のご応募をお待ちしております。

募集要項

講演テーマ 以下のテーマに当てはまる技術発表を募集します。
[A] マルウエア関連 (分析手法、分析事例、検知・分析ツールなど)
[B] フォレンジック関連 (調査手法、分析ツールなど)
[C] インシデント調査・対応事例・攻撃手法
[D] 脅威動向・インテリジェンス (攻撃キャンペーン、OSINT など)
講演言語 日本語(英語も可。ただし講演時の同時通訳はございません。)
講演時間 40分 (質疑応答時間を含む)
申込み方法 必要事項を記入のうえ、電子メールにてお申し込みください。(日本語(英語も可)でご記入ください。) [必要事項]
  • 講演タイトル
  • 講演者名
  • 講演者の所属
  • 講演概要(2,000文字以内)
  • 講演内容のアウトライン (講演資料、講演に関する参考資料などがある場合は、添付してください)
  • 「講演テーマ」に記載された項目から講演内容に近い分野を選択
  • [A] マルウエア関連 (分析手法、分析事例、検知・分析ツールなど)
    [B] フォレンジック関連 (調査手法、分析ツールなど)
    [C] インシデント調査・対応事例・攻撃手法
    [D] 脅威動向・インテリジェンス (攻撃キャンペーン、OSINT など)
  • すでに公開済みもしくは事前に公開予定の内容か
  • 公開済みの場合は、既存発表からのアップデート内容
  • 聴講者にこの発表から伝えたいポイント (具体的に3つ程度上げてください)
  • ツールの公開有無
  • 講演者のプロフィール
  • 連絡先メールアドレス
応募締切 (2次) 2018年12月3日(月) 23:59 JST

選考方法

JSAC2019プログラム選考委員が応募内容を審査の上、講演を決定いたします。選考結果は、応募された方に後日電子メールにてご連絡いたします。
以下のような発表についてはCFP選考で優先されます。
  • 新しいツールの公開
  • 発表された情報を実際の分析などに活用しやすい
  • 新規性があるもの

また、応募の時点で具体的な発表資料ドラフトなどを添えているものに関しても優先的に評価されます。

詳しい選考基準や選考結果の詳細などについてはお伝えいたしませんので、あらかじめご了承願います。
なお、プログラム選考委員自身および所属組織の方がCFPを応募した場合は、該当者を除く委員によって評価します。

以下は、CFPの例です。作成の際にご参考ください。
CFP例

プログラム選考委員 (以下、五十音順)


新井 悠 (トレンドマイクロ株式会社)
石川 芳浩 (株式会社ラック)
石丸 傑 (株式会社カスペルスキー)
鈴木 博志 (株式会社インターネットイニシアティブ)
中津留 勇 (SecureWorks Japan株式会社)
春山 敬宏 (Carbon Black, Inc)
朝長 秀誠 (JPCERT/CC)

2次募集について


本CFP募集以降に発生した最新のインシデント情報などを発表いただくため、2018年10月頃よりCFPの2次募集を行います。
2次募集に関しては、採用数は1~2件程度と少なくなっておりますので、すでに発表いただける内容がある場合は、1次募集に応募いただくことをお勧めします。

注意事項


特定企業のサービスや、製品等の宣伝に資する内容はお断りいたします。

応募いただいた資料につきましては、プログラムの選考にのみ使用し、プログラム選考後は廃棄いたします。
講演資料については、後日公開を予定しておりますが、非公開を希望する場合は、対応させていただきます。


アーカイブ

JSAC2018レポート1 / レポート2