Opening talk
Abstract
2020年に起こったセキュリティインシデントをJPCERT/CCの視点で紹介。さらに、JSAC2021の見どころについて紹介。
Speaker
椎木 孝斉
Slides
Japanese
English
When you gaze into the Bottle,...
Abstract
Drive-by Download攻撃は下火だと考えられているが、依然として攻撃は行われており、新たな脅威が登場している。Bottle Exploit Kitは2019年12月に存在が報告された、日本のユーザのみを標的とする極めて珍しいExploit Kitである。2020年も継続して活発に活動しており、日本で最も観測されているExploit Kitの1つとして挙げられる。しかしながら、日本のみを標的としていることから世界的にはあまり知られておらず、最初期の解析結果のみしか公開されていない。 進化し続けているにも関わらず、その差分は未知のままである。また、Bottle Exploit KitはCinobiという日本のユーザを標的としているBanking Trojanを実行するが、これについても最新の解析結果は公に共有されていない。
本講演では、Bottle Exploit Kitの登場から現在に至るまで、バージョンごとに詳細な解析結果を示し、これまでに知られていなかったアップデート内容を紹介する。また、Cinobiについてもバージョン毎の解析結果や、日本のユーザに対する攻撃方法について解説する。加えて、Bottle Exploit KitやCinobiを検知するためのIoCやシグネチャ、暗号化されたデータを復号するためのツールなどを共有する。最後に、我々の解析と調査によって得られた情報をもとに、Bottle Exploit KitとCinobiを用いて攻撃を行っている攻撃者の帰属について、考察した結果を示す。我々は解析・調査の結果を特定の外部組織に共有しており、Bottle Exploit Kitの活動を一時的に停止させるように協力した。その協力内容と結果もここで共有する。本講演によって示される情報は、Bottle Exploit KitおよびCinobiの調査・研究を行っている研究者やCSIRT・SOC担当者が攻撃を理解し、対策を行うための手助けとなる。
Speaker
小池 倫太郎
高井 一
Slides
Japanese
GhostDNSbusters: Tracking and Responding to a Large Scale DNS Hijacking Campaign
Abstract
Before 2020 many companies may not have considered a mostly remote workforce when designing networks and network defenses. Similarly, most workers may not have considered the possibility of a “work from home” situation. The vulnerability of home network devices has probably never been more of a threat to information security.
Attackers continue to compromise vulnerable SOHO routers by taking advantage of default or weak user-defined passwords, as well as the use of publicly available exploits.
GhostDNS is a platform developed to help attackers find vulnerable routers and change the DNS settings of those that are exploitable. Most notably, attackers have used GhostDNS to target Brazilian financial institutions and their customers, with 100,000+ routers compromised to date.
In this presentation, we will explain our methodology for hunting for the various elements of GhostDNS infrastructure, share what we have discovered to date and also speak about our efforts to collaborate with a national CSIRT to mitigate this threat.
Speaker
Josh Hopkins
Manabu Niseki
Slides
English
とあるEmotetの観測結果
Abstract
2020年に一番多く観測されたマルウェアへの感染を狙うメールは、Emotetの感染を狙ったメールではないだろうか。日本国内においても2019年9月から攻撃が確認され始め、感染被害に遭う国内組織も増加の一途を辿っている。
発表者のグループでは、Emotetから送られたメールを長期的に観測することで、Emotetの様々な攻撃情報をオープンに共有し、注意喚起を行っている。具体的には、最新のメールの内容、添付されているファイルの内容、パスワード付きzipファイルの使用の発見、通信先情報、二次感染するマルウェアの情報などである。
本講演では、Eomtetの攻撃キャンペーンの観測結果について、Emotetが日本に本格的に攻撃を行い始めた2019年後半以降の攻撃の観測データをもとに、Emotetの攻撃キャンペーンの特徴と日本に与えた影響を述べる。はじめに、Emotetの攻撃の全体概要、感染拡大のフロー、機能について述べる。次に、Emotetの日本に対する攻撃について、メールや添付ファイルの内容の変遷、国内における感染状況の推移について述べる。更に感染を減らす為に海外のリサーチャーグループCryptolaemusとの協調や感染被害者への通知等の取り組みについて述べる。また、Emotetを用いたキャンペーンと他のキャンペーンとを合わせて分析した結果から、判明した関連性と攻撃者の狙いを明らかにする。本講演によってセキュリティ担当者はEmotetに対して理解が深まり、対策の手助けとなる。
Speaker
佐條 研
笹田 修平
Slides
Japanese
English
Shathakに関する攻撃キャンペーンの全体像
Abstract
本講演ではShathakと呼称されるマルウェアの配信ネットワークを利用した攻撃者グループの活動を取り上げる。これらの攻撃者グループは、バンキングマルウェアの感染を目的としたメールの配信を行なっており、アメリカ、カナダ、イタリア、ドイツ、日本などの国を攻撃対象としている。攻撃は、アメリカ、カナダ、イタリアを中心にSNS等で毎週報告されており、日本でも今年に入って複数の攻撃が観測されるなど活発な状況にある。そのなかで観測された攻撃では、悪性の文書ファイルに日本語を使用しており、明確に日本を狙っていたといえる。
Shathakを利用した攻撃の手口は、何らかの方法で窃取したメール情報を利用して、パスワード付きZIPファイルを添付した返信型のメールを組織に送信するところから始まる。メール本文にはパスワードが記載してあり、ユーザが添付のパスワード付きZIPファイルから悪性の文書ファイルを展開することができる。ユーザがコンテンツを有効にしてしまった場合、最終的にUrsnifやIcedIDに感染する。なお、主に情報収集やダウンローダの役割を果たすValakを使用するケースも確認されており、感染フローが複雑化傾向にある。
個々の攻撃やValakのように新しいマルウェアが度々注目される一方で、全体像の調査報告がないのが現状である。また、日本が攻撃対象に含まれているのにも関わらず、国内での報告事例はこれまでにない。Emotetのように海外で活動が活発になった後に日本で本格化する前例もあることから、世界的に活動する攻撃者グループを押さえておくことは早期に対策を講じる上で重要であると我々は考える。このような背景から本講演では、Shathakを利用した攻撃キャンペーンの全体像を整理し、メールや文書ファイルの例を示しつつ、複雑化しているマルウェアの感染フローなどを共有する。
Speaker
松本 拓馬
浜本 翔太郎
丹羽 祐介
田村 涼
笹田 修平
Slides
Japanese
取引先のセキュリティ侵害から発生するビジネスメール詐欺の実態
Abstract
ビジネスメール詐欺(BEC = Business Email Compromise)は、多額の資金が窃取される可能性のあるサイバー犯罪の一つです。FBIの調査では、米国内で被害額は年々増加しており、昨年は日本円で1,900億円に達したと報告されています。日本企業やその海外拠点においても、被害の全体像が見えていないものの、被害額は相当額に上ると推定されます。洗練されたビジネスメール詐欺の多くは、取引先のメールアカウントの侵害から発生しています。つまり、自組織において高度なセキュリティ対策が実装されていても、取引先で発生したメール内容の盗聴により、攻撃者は高度なソーシャルエンジニアリングを仕掛けることができるのです。本セッションでは、弊社が実際に対応した「取引先の侵害から発生したBEC」の事案を取り上げ、攻撃者の手口、インシデント対応の勘所などについて共有いたします。
Speaker
勅使河原 猛
政本 憲蔵
Slides
Japanese
NanoCoreHunter: NanoCore C&Cサーバの追跡と180日間のRATオペレータの行動監視
Abstract
リモートアクセス型トロイの木馬(Remote Access Trojan: RAT)の1つにNanoCoreがある。NanoCoreは、2013年に登場したRATであり、2020年現在でも人気が高い。実際にDHL(国際宅配便)や請求書に偽装したメール、新型コロナウイルスに便乗したメールなどを用いたNanoCoreの配信を多数確認している。現在広く出回っているNanoCoreは、バージョン1.2.2.0であり、このバージョンのクラック版が Hack Forums 等でリークされている。このリークされたNanoCoreについて解析したところ、設定の不備があることを発見した。今回この設定の不備を利用した NanoCore C&Cサーバの起動検知システムを開発した。本講演では、まずNanoCore C&Cサーバの検知手法について紹介し、その手法を用いた長期観測結果について報告する。2020年10月末時点で、1,787件(ポート数: 3,160件)のC&Cサーバの検知に成功しており、アメリカやヨーロッパを拠点とするサーバが多いことが分かっている。また、サーバの稼働時間からUTC+1の国を狙った攻撃に多く利用されていると推測している。さらに、C&Cサーバの検知システムから得られた情報を用いたNanoCoreオペレータの誘引実験を行った。彼らがNanoCoreを用いて侵入した後、どのような行動を取るのかを観測した。現時点で88件の侵入を確認しており、メール、ファイル、アカウント情報などの窃取、2次感染用にNanoCore以外のRATに感染させるなどの行動を確認した。実際に観測したオペレータの行動や使用されたツール・マルウェアについて共有する。
Speaker
松本 隆志
Slides
Japanese
English
Accelerating the Analysis of Offensive Security Techniques Using DetectionLab
Abstract
While offensive security professionals enjoy the luxuries of having entire Linux distributions like Kali and endless code repositories dedicated to their craft, incident responders often find themselves building and rebuilding entire lab and malware analysis environments by hand in order to analyze attack techniques. This process is time consuming and repetitive. DetectionLab is an open source project that automates the process of building an Active Directory based lab environment on many different platforms and configures the lab hosts for maximum telemetry collection using tools like Sysmon and osquery. This talk will provide an overview of DetectionLab, show how it can be used to analyze modern attack techniques such as Zerologon, and discuss how it can be used to build detections for new and existing offensive security techniques.
Speaker
Chris Long
Slides
English
Knock, knock, Neo. - Active C2 Discovery Using Protocol Emulation
Abstract
Cobalt Strikeは、標的型攻撃をシミュレーションするための商用ソフトウェアであり、レッドチームの業務で用いられている一方、攻撃者にそれを悪用されるケースが近年増えてきている。IoCとして重要となるマルウェアのC2サーバのアドレスは、通常検体の解析によって得ることができるが、Cobalt Strikeの検体(Beacon)はファイルレスにメモリ上のみで実行されることが多く、その取得自体が難しい。また、検体を取得・解析するのは、既にある程度の侵害を受けた後であり、攻撃者に対して後手に回っている感は否めない。
本プレゼンテーションでは、稼働中のCobalt Strikeのチームサーバを、インターネット上から直接発見する手法について発表する。本手法は、Cobalt Strikeが用いるHTTP/HTTPS/DNS/ExternalC2といった複数のプロトコルをエミュレーションし、チームサーバの発見のみに止まらず、そこからのBeaconの取得およびコンフィグのパースを実施する。その結果、本手法は従来手法に比べ、HTTP/HTTPSのプロトコルに限定されない、誤検知がない、単なるIPアドレス以上の脅威情報の収集が可能等の利点を持つ。なお、本手法では、認証のようなセキュリティ機構の回避は一切行っていない。
本プレゼンテーションでは、まず最初にCobalt Strikeがサポートする各プロトコルの詳細を解説する。その上で、本手法に至るアプローチおよび実装のポイントを示す。その後、収集したチームサーバのIPアドレスをコンフィグの情報に基づいてグルーピングする方法を紹介し、Cobalt Strikeが用いられていた公開事例において、同じ攻撃者が使っていたと推測される非公開のIoC情報を明らかにする。また、約1年間の観測で得られた、サーバの設定の傾向等についても触れる。
正規のレッドチームと攻撃者の区別がつかないため、本手法によって得た脅威情報を全て共有することは難しいが、本リサーチの過程で得られた知見は、標的型攻撃と戦うアナリスト、および進行中の(時には準備中の)脅威を検出するためのExternal Detectionの可能性を模索するリサーチャーにとって、有益な内容になると確信している。
Speaker
春山 敬宏
Slides
Japanese
A41APT case ~Analysis of the Stealth APT Campaign Threatening Japan
Abstract
日本を狙う標的型攻撃の攻撃者は、セキュリティレベルを向上させつつある国内企業にあわせて、様々な手法を駆使している。我々は、情報窃取を目的として日本の製造業をはじめとする複数業界に対し、国内拠点だけでなく海外拠点に至るまで幅広く侵害を広げる攻撃キャンペーンに着目し、この全容について分析を行った。
この攻撃者グループは、今回のキャンペーンの初期侵入の際に「DESKTOP-A41UVJV」というホスト名を使用し続けていることから、我々は「A41APT」と呼称している。A41APTの活動は2019年3月から2020年11月まで長期間観測しており、継続的でかつ執拗な攻撃を行うグループと考えられる。
A41APTが使用しているマルウェアはいずれも新種であり、SodaMaster(別称: DelfsCake, dfls, HEAVYPOT)をはじめとするP8RAT(別称:GreetCake)、DESLoader(別称:SigLoader)やFYAntiLoader等を含め80以上の検体を操っていることが判明した。
しかしながら、本攻撃キャンペーンに関する公開情報が非常に少ないため、その実態はほぼ知られておらず、これらの攻撃の被害に気が付いていない組織も多数あることが危惧される。
そのため、これらマルウェアの解析結果、およびその動作履歴から推定される侵入経路から内部の浸透手法まで攻撃の一連の流れを明らかにすると同時に、攻撃者グループの帰属に関する考察も行う。
A41APTは使われるマルウェアの特徴、慎重な浸透活動などから非常にステルス性が高く、侵害を検出することが非常に困難であるが、決して見つからない攻撃者ではない。マルウェアの特徴から侵害の手法まで、ユーザ企業だけでなくセキュリティベンダにも、この攻撃キャンペーン・攻撃者グループによる侵害発見・対策に資する情報を提供する。
Speaker
丹羽 祐介
柳下 元
Charles Li
石丸 傑
佐藤 元彦
Slides
Japanese
English
LuoYu, the eavesdropper sneaking in multiple platforms
Abstract
We will present our most recent research on a new Chinese APT group Luoyu, which has not yet been grouped by the public. Luoyu is originally a Chinese mythological creature which was a fish with wings. The creature can swim in the river and fly in the sky, similar to the group which can intrude multiple platforms.
We have first found attacks from Luoyu against China in 2014, and kept following the group. Later in 2017, we found this group starting to attack Japan, South Korea, and Taiwan. We believe the attacks were from China because the TTPs they used were popular among Chinese APT groups. However, instead of attacking government agencies, which are usually Chinese actors’ favorite target, the group aimed at messaging apps. We believe this indicates the group might try to censor the people who are using these messaging apps.
In this presentation, we seek to shed a light on Luoyu’s campaigns and provide an analysis on the tool they used. We will provide case studies of their attacks, showing different TTPs they deployed in various attacks. We will also introduce their self-developed malware, ReverseWindow, which can be found on multiple platforms. We hope our findings can help related industries to develop a better defense against the APT group.
Speaker
Shui Lee
Leon Chang
Slides
English
仮想通貨事業者を標的とした攻撃キャンペーンに関する脅威情報のハンティング
Abstract
本講演で取り上げる仮想通貨事業者を標的にした攻撃キャンペーンは2019年7月にJPCERT/CCにより報告されたもの(https://blogs.jpcert.or.jp/ja/2019/07/shorten_url_lnk.html)と同様のキャンペーンである。2020年現在もマルウェアのファイル名やdecoyファイルの文章に日本語を用いるなど、日本企業を標的にしているとみられるものが確認されている。本攻撃キャンペーンに関する脅威情報(マルウェアや攻撃者サーバに関する情報)は外部のレポートやSNSで公開されることもあるが、公開される頻度は多くはなく、また公開された頃には既にマルウェアやサーバが攻撃に使用されなくなっており、リアルタイム検知などをさせる場合には活用できないことがある。そのため、外部からの脅威情報の公開を待つのではなく、現時点で有効である可能性が高い脅威情報を能動的に取得する方法を検討する必要がある。その方法の一つとして考えられるのが、インターネット上のサービスを利用した脅威情報のハンティングである。例えば、Yaraルールを用いてファイルを検索したり、アップロードを監視したりすることが可能なサービス(例:Virus TotalやHybrid Analysisなど)を活用したマルウェアのハンティングや、インターネット上に公開された機器の検索が可能なサービス(例:Censys, Shodan, BinaryEdgeなど)を活用した攻撃者サーバのハンティングなどが挙げられる。本講演では、このようなサービスを活用して本攻撃キャンペーンに関する脅威情報をハンティングする手法について紹介する。また、実際にハンティングを行った結果、同攻撃キャンペーンで利用されるマルウェア(lnkファイル)を24件(期間:2020年3月頃~11月頃)、攻撃者サーバ(IPアドレス)を12件(期間:2020年3月頃~11月頃)発見することができ、攻撃者サーバやマルウェアの変化を早期に把握できたことについて示す。
Speaker
小寺 建輝
Slides
Japanese
Malware Analysis at Scale ~Defeating EMOTET by Ghidra~
Abstract
近年散布されるマルウェアの数は増加の一途を辿るばかりである。解析者は、膨大な数のマルウェアを解析し、C&CサーバなどのIoCを即座に、かつ的確に抽出する必要がある。このような状況において、解析者に必要となるスキルは、単なるリバースエンジニアリング能力だけでなく、解析を自動化させ、作業をスケールさせる能力も必要となっている。加えて、近年のマルウェアは、文字列の暗号化やコードの難読化など、耐解析機能と呼ばれる手法を実装し、検出回避や解析の複雑化を図るものがほとんどである。そのため、実践的なマルウェアの解析には、これらの手法に対しても、自動化によって対抗する術も必須である。
本ワークショップでは、近年猛威をふるっているEMOTETというマルウェアを対象として、Ghidraを使用した解析および自動化を実践する。具体的には、難読化された文字列の復号やハッシュ化されたAPIの解析、そしてC&Cサーバリストの取得をおこない、さらにそれらの作業を自動化する手法を学ぶ。
※本ワークショップは、マルウェア解析の経験を有する者、またPythonでのプログラミング経験を有する者を対象としています。
Speaker
中島 将太
原 弘明
Requirements
- ノートPC
- 仮想化ソフトウェア(VMWare Player/Fusion, VirtualBox, etc)
Skills
- リバースエンジニアリングの経験
- Pythonの利用経験
- Windows OSの基本的な理解
Slides
Japanese
Shuffle the SOC - automating anything, anytime, anywhere
Abstract
Shuffle is an automation platform for and by security professionals, built to make it easy for anyone to automate their daily tasks. Our primary goal is to elevate the security community as a whole by getting everyone up to the level of the best. This workshop will explore all areas of Shuffle from getting started, to collaboration, architecture, app creation, python migration, how it's built for service providers, and the future of Shuffle.
Stuck doing the same thing day in, day out? Don't know where to focus your attention next? Jumping between 12 different windows during an investigation? Can't enrich your dataset with your new shiny threat intel provider? Are you "collaborating" using Outlook and Excel? Got a customer that doesn't know why they need the shiny new EDR? Did the SOC manager buy a new tool without thinking about integration?
Shuffle fixes all of these issues. You'll be able to automate anything within minutes, rather than days, weeks or months. Our community of automation enthusiasts is a growing, collaborative and helpful bunch. The silent heroes that make everything run smoothly behind the scenes. Join us by taking this four hour crash course in everything security automation!
Speaker
Fredrik Oedegaardstuen
Requirements
- Level - Beginner to expert
- Hardware - A laptop with 10GB+ disk space and 8GB+ RAM
- Minimum Software to Install - Linux, MacOS or Windows Subsystem for Linux 2 (WSL2) installed to be able to run Docker
Skills
- Be able to set up a Docker environment
- Basic understanding of JSON
- Basic understanding of API’s
- IF you want custom integrations possible: Python3
Slides
English
小池 倫太郎
NTTセキュリティ・ジャパン株式会社
NTTセキュリティ・ジャパンで脅威情報の収集・分析やマルウェア解析に従事。また、チームnao_secで研究者として活動している。これまでにJSACやVBなどで講演。JSACでの登壇発表は4回目で、自称ベテランスピーカー。
高井 一
NTTセキュリティ・ジャパン株式会社
ソフトウェア開発者からセキュリティ技術者に転身。SOCアナリストとして、セキュリティデバイスのアラート監視やマルウェア解析を担当。これまでにJSACやVBで講演。
Josh Hopkins
Team Cymru
Josh has been a member of Team Cymru’s threat intelligence team for the past 3.5 years, seeking to further the company’s mission of making the Internet a more secure and safe space. Prior to Team Cymru, he spent time working with BAE Systems, as well as 8 years in UK law enforcement.
Manabu Niseki
Manabu works as an engineer in a company in Japan and also he researches some cyber threats topics, mainly focusing on OSINT, in his free time. He made presentations in several security conferences such as HITCON, JSAC, OBTS and Botconf.
Fredrik Oedegaardstuen
Fredrik is a software engineer and entrepreneur with industry experience in DFIR, Automation, Pentesting and Open Source tool creation and collaboration. He started out in an MSSP environment, learning the secrets of the blue team, before quickly moving to a FinTech company to secure their assets from within. With this knowledge he set out on a mission to put all his knowledge to good use by building Shuffle. He's currently residing in Japan, integrating into the culture through language, travel and startups. Get in touch @frikkylikeme
佐條 研
一般社団法人JPCERTコーディネーションセンター
金融系企業でのセキュリティ監視業務を経て、現在はインシデント対応やマルウェア分析、脅威情報分析の業務に従事。傍ら、個人の活動として「ばらまきメール回収の会」のbomccssとしてばらまきメールの情報発信・分析を行っている。JSAC2020スピーカー。
笹田 修平
株式会社サイバーディフェンス研究所
株式会社サイバーディフェンス研究所の分析官。脅威情報の収集・分析に加え、フォレンジックやインシデント対応業務に従事。前職では、国内セキュリティ系企業にてセキュリティ製品の導入やマルウェア調査業務を経験。また、個人でばらまきメールの観測環境を構築し、収集したデータの分析や情報発信を行っている。
松本 拓馬
株式会社ラック
2015年に株式会社ラックに入社。ネットワークフォレンジック業務に従事した後、SIEMによるログ監視サービスの立ち上げに携わる。ログ分析やアラートの作成、統合分析システムの開発などを行ってきた。現在は脅威情報の収集・分析を行うとともに、マルウェア等の解析業務に従事している。
浜本 翔太郎
NECソリューションイノベータ株式会社
2014年にNECソリューションイノベータ株式会社に入社。2015年からグループ外の組織に出向し、マルウェア解析業務やログ分析業務を経験。帰任後はサイバー空間における脅威情報の収集・分析やCSIRT運用支援等の業務に従事している。
丹羽 祐介
伊藤忠商事株式会社
ITCCERT サイバーセキュリティ分析官。伊藤忠商事、及びグループ会社のサイバーセキュリティの確保、及び脅威分析に従事。前職では金融系企業、セキュリティベンダーでのセキュリティ監視分析業務を経験。JSAC2020講演共著。
田村 涼
株式会社セキュアブレイン
ユーザー系企業でインフラエンジニアとCSIRT業務に従事。その後、セキュリティベンダーを経て2018年より現職。現在はSOCアナリストとして業務に従事している。
勅使河原 猛
マクニカネットワークス株式会社
2008年マクニカネットワークスに入社。以降、ネットワーク製品やネットワーク及びエンドポイントにおけるセキュリティ製品の販売及びサポートに従事。2019年度からはセキュリティサービス室にて、ビジネスメール詐欺を含めたセキュリティ脅威、最新のセキュリティソリューションの調査を行うとともに、お客様のセキュリティ全般における支援業務や講演を行う。
政本 憲蔵
マクニカネットワークス株式会社
各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の担当を経て、セキュリティインシデントの調査・分析に携わる。標的型攻撃やビジネスメール詐欺の対処や調査、海外におけるセキュリティ対策技術のトレンド調査、マクニカグループのインシデント対応などを実施。現在は、官公庁サイバーセキュリティアドバイザー、笹川平和財団サイバーインテリジェンス研究会の研究員も務める。
松本 隆志
国立研究開発法人 情報通信研究機構
NICT サイバーセキュリティ研究室 解析チームのメンバーとして、主にマルウェア検体の収集や解析、ログ分析やフォレンジック等の業務に従事している。
Chris Long
Netflix
Chris Long is a Senior Security Engineer at Netflix who has been specializing in Detection Engineering for the last decade and is the creator of DetectionLab. Although he's primarily focused on detection, he is an OSCP and OSCE certification holder and does his best to stay up to date with offensive security tooling and techniques. He is passionate about enabling defensive security practitioners to build more effective and robust countermeasures to protect against well known attack vectors.
中島 将太
株式会社サイバーディフェンス研究所
株式会社サイバーディフェンス研究所でマルウェア解析、インシデントレスポンス業務、脅威情報の収集・分析業務に従事。JSAC、HITCON CMT、AVAR、CPRCon、Black Hat EUROPE Arsenal、CodeBlue BlueBoxなどで発表経験あり。技術系同人サークルAllsafeのプロデューサー。
原 弘明
トレンドマイクロ株式会社
トレンドマイクロ株式会社にて、マルウェア解析やインシデントレスポンス、スレットリサーチ、レッドチームなどに従事。技術系同人サークルAllsafeの澤村・スペンサー・英梨々 (アートディレクター) 。
春山 敬宏
VMware
春山敬宏は、VMware Carbon BlackのThreat Analysis Unit (TAU)に所属するSr. Threat Researcherであり、主にサイバーエスピオナージを目的とした標的型攻撃の分析を行っている。マルウェア解析とフォレンジック解析の分野において10年以上の経験を持つ。以前はIIJのCSIRTチームでインシデントレスポンス、Symantecの脅威インテリジェンスチームでリバースエンジニアリングに従事していた。リサーチの成果をこれまでVirus Bulletin、REcon、HITB、DFRWS、SANS DFIR Summit、BlackHat Briefings USA/EU/Asiaなどのセキュリティカンファレンスで発表している。
柳下 元
マクニカネットワークス株式会社
セキュリティ研究センター所属。ソフトウェア開発・サポート業務を経た後、EDR製品を用いて顧客のインシデント対応支援を行う。現在は、マルウェア解析、脅威情報分析と侵害調査サービスに従事。
Charles Li
TeamT5
Charles is the chief analyst of TeamT5. He leads the analyst team in TeamT5 for threat intelligence research. He has been studying cyber-attacks and campaign tracking for more than 10 years. His research interests include vulnerability research, reverse engineering and APT attacks. He often published researches and gives training courses in security conferences.
石丸 傑
株式会社カスペルスキー
2008年、日本の研究員としてカスペルスキーに入社。マルウェア、スパム、フィッシングといったサイバー空間における脅威情報・検体の収集および分析を担当する。その後、Kaspersky Labのグローバル調査分析チーム(Global Research and Analysis Team)にマルウェアリサーチャーとして参画、グローバルでのAPTを含む最新の脅威動向の調査に従事。
佐藤 元彦
伊藤忠商事株式会社
IT 企画部 ITCCERT 上級サイバーセキュリティ分析官/国立大学法人 千葉大学
運営基盤機構 情報環境部門 准教授/文部科学省 サイバーセキュリティアドバイザー/JPCERT/CC 専門委員/JASA 特任研究員 伊藤忠商事のCSIRTでサイバーセキュリティに関わる全てのドメインと全てのライフサイクルの実務を担当している。趣味はAPT分析に特化したドメインシンクホール。
Shui Lee
TeamT5
Shui is a cyber threat Analyst working for TeamT5. Holding a master’s degree from Johns Hopkins SAIS, she has a keen eye for international affairs. She mainly works on Cyber Espionage campaign tracking and involves in the underground market research.
Leon Chang
TeamT5
Leon Chang is a cyber threat analyst in the Cyber Threat Intelligence team at TeamT5, His major areas of research include APT campaign tracking, malware analysis. he has participated in information security diagnosis services for government and financial institutions and research on vulnerabilities in IoT devices in the past.
小寺 建輝
株式会社インターネットイニシアティブ
IIJ SOCのメンバとして、インシデントの検知ルールを作成する業務や脅威情報の収集・分析業務に従事している。セキュリティ情報について発信しているブログ「wizSafe Security Signal」の定期観測レポートの執筆にも携わっている。