昨今の標的型ランサムウェア攻撃における正規ツールの悪用傾向とその分析/対策手法
Abstract
昨今の標的型ランサムウェア(Human Operated Ransomware)では、一般のIT運用でも使われ得る「正規ツール*」が攻撃の過程で悪用されている。本講演では「正規ツール」の中でも、一般運用目的に商用開発/販売されているツール(特にリモート管理ツールやクラウド型ファイル共有ツール等)が悪用されたケースに焦点を当て、下記3点を解説する。
1. 弊社が対応を支援したインシデントレスポンスのケースのうち、当該ツールが悪用された実例を紹介すると共に、これらのツールがどのように動作するのか、また具備する機能について紹介する
2. 当該ツールが攻撃に悪用された際に残る痕跡を解説し、実際のインシデントレスポンスにおける調査に役立てていただく
3. 当該ツールを悪用した攻撃に対する効果的な対策手法を解説することで、インシデントレスポンスの際の封じ込めや、インシデントの未然防止のための設定値として活用いただく
*「正規ツール」の定義: Microsoft社のツールや、ペネトレーションテスト等で利用されるツールが攻撃に悪用される事例については悪用された際の痕跡残り方、またその対策についてはある程度知見が蓄積されているが、今回は「一般運用目的に商用開発/販売されているツール」(リモート管理ツールやクラウド型ファイル共有ツール等)にフォーカスを当てる。これらのツールあ企業の運用で使用されることの多いツールであるが故に、セキュリティ対策製品では検知/防御が困難になる可能性が高く、さらに攻撃を完遂する上で高機能なものが増えてきているため攻撃者に好んで悪用される傾向が増えてきている。また、当該ツールの悪用が確認された事例紹介は取り上げられることが多くなってきたが、これらが持つ機能や、実際に悪用された際にどのような痕跡が残るのか、またその対策について体系的にまとめた知見は多くない。
Speaker
山重 徹
中谷 吉宏
田中 啓介
Slides
English
Catching the Big Phish: Earth Preta Targets Government, Educational, and Research Institutes Around the World
Abstract
Over the past few months, Trend Micro monitored and detected a large wave of spear phishing attacks targeting governmental, educational and research institutes around the world. Based on the lure documents we have observed in the wild, this is a large-scale cyberespionage campaign. We saw the first incident around this May, and we believe that it is an outbreak of targeted attacks all over the world after months of threat hunting and investigation. The victim countries include but not limited to Japan, Taiwan, Philippines, Myanmar, and Australia. The targeted industries consist of political entities, universities, research institutes and foundations. Moreover, we analyzed the malwares used in this campaign, and it can be attributed to a notorious APT (Advanced Persistent Threat) group, Earth Preta, which is also known as Mustang Panda. Some TTPs and infection chains also resemble what Earth Preta leveraged in previous incidents.
Speaker
Nick Dai
Sunny W Lu
Vickie Su
Slides
English
JITHook - from .NET JIT Compilation Hooking to Its Packer / Unpacker
Abstract
Recently, .NET Malware are more often to be used. To understand the details of our implementation, some background knowledge is required. First in the presentation, We’ll introduce basic .NET concepts, includes CIL, CLR, … and a technique called CLR hosting.
Then we’ll talk about JITHook. In the .NET framework, an important compilation method is responsible for compiles CIL to mechine code. JITHook is a technique that hooks the compilation method. Based on the JITHook, we implemented JITPacker that utilizes JITHook. And JITUnpacker, which against JITHook-based packers.
To verify the feasibility of JITUnpacker, we prepared two samples. One is packed by JITPacker and the other is packed by .NET Reactor, which is widely used in the real world malware. Then, we compared JITUnpacker with three other existing unpackers, namely de4dot, .NET Reactor Slayer and JITM. Only JITUnpacker was able to unpack these two samples successfully.
Implementations of JITPacker and JITUnpacker will be open source to provide ongoing development for interested researchers.
Speaker
Shu-Ming Chang
Slides
English
The Rule for Wild Mal-Gopher Families
Abstract
2012年に最初のGolangマルウェアが発見されて以降、Golangマルウェアのファミリは年々増加している。Golangマルウェアの解析の効率化のために、私たちはgimpfuzzyを提案した。gimpfuzzyはGolangバイナリにインポートされる関数名の一部を抽出し、Fuzzy Hashを計算することで、抽出された関数名を基にした検体の類似度を調査することができる。
本講演では、gimpfuzzyを、実際のオペレーションや解析で使用することに焦点を当て、以下の発表を行う。
①gimpfuzzyを用いた分類が可能になるYARAモジュールの紹介
②解析済み検体の分類による精度評価
③実際にVirusTotalに投稿された、良性検体を含む未解析の検体に対して手法の適用と考察
本講演によって、解析者はGolangマルウェア解析においてgimpfuzzyを活用し、実際に分類を行うことができるようになる。
Speaker
野村 和也
平尾 早智澄
Slides
Japanese
English
Fighting to LODEINFO: Investigation for Continuous Cyberespionage Based on Open Source
Abstract
LODEINFO は日本/台湾をターゲットとした標的型攻撃に使用されているRAT(Remote Access Tool)タイプのマルウェアであり、2019年以降のメディア/製造/シンクタンクなどを狙った攻撃キャンペーンでの使用が確認されている。LODEINFO は初観測以来、機能や挙動が継続的にアップデートされており、そのTTPsは公開されているレポートから時々刻々と変化している。我々はオープンソースのIoC, レポートをもとに LODEINFO が使用された攻撃キャンペーンの観測を継続的に行ってきた。本講演では、2022年度以降に観測された LODEINFO の解析から得られたTTPsとそれに基づく攻撃者への洞察について発表する。特に、従来までの LODEINFO マルウェアに関わる攻撃者像の考察については、LODEINFO の本体ファイルそのものに焦点が当たっていた。我々はマルウェア本体だけでなくドロッパーとして利用されるデコイドキュメントにも焦点を当てて調査を行い、結果として過去に日本を対象として行われた攻撃キャンペーンとの奇妙な共通点を発見した。この共通点に関わる考察を、アトリビューションに対する新たな視点として提供する。
また本講演は、より多くのアナリストがオープンソースを基に分析を行い、自組織の防御に役立ててもらうことを一つの目的としている。LODEINFO というマルウェアの解析結果に留まらず、ベンダーレポートをもとにしたハンティングルールの作成方法および具体的な脅威ハンティングの手法についても共有する。
最後に、講演で紹介したデコードツールや検体のIoCの一覧は、インシデントレスポンス業務への活用のために一般公開する予定である。
Speaker
皆川 諒
雜賀 大輔
窪川 拓紀
Slides
Japanese
English
Demystifying China’s Supply Chain Attack Targeting Financial Sector
Abstract
In the past two years, we have observed a number of cyberattacks targeting Taiwan’s financial sector. Today, we share our findings on three incidents due to high impact, the financial damage caused, and attributing these attacks to China threat actors. We will also take a deep dive into the TTP and malware deployed.
The first incident disrupted online trading, causing an uproar in the Taiwan financial industry. This attack has been attributed to China-linked threat group TA410 with a medium-degree of confidence. The second incident resulted in the leakage of credit card information. In the last one, the financial sector was compromised, and the source code of their trading system was stolen.
These three incidents highlight the importance of supply chain security in the financial sector. We categorize supply chain attacks into three categories: island hopping attacks, data leaks from third parties, and supplier system vulnerabilities. The incidents we mentioned cover all three forms of attacks This shows how critical supply chain security is to financial sectors. We conclude by hearing from the security teams in the Taiwan financial sector and their thoughts on the general security posture currently used by the Taiwan financial sector.
Speaker
Shih-Min 'Minsky' Chan
Chung-Kuan 'Bletchley' Chen
Slides
English
公開情報により攻撃動向の予測を行う新たな試みと調査手法の共有
Abstract
ここ数年、重大なセキュリティインシデントが発生し続けています。その勢いは従来の標的型攻撃に加え、ランサム攻撃を仕掛ける攻撃者の相次ぐ参入、活動の活発化により留まる事がありません。これらの重大なインシデントの発生原因として、従来頻繁に見られたメールに添付された不正ファイルではなく、外部に公開された管理不十分なアセット(サーバ/NW機器)が侵入経路として多くなっていることが、様々なセキュリティベンダ、関係組織からも公表され、特に2019年頃から強く警鐘が鳴らされ繰り返し注意喚起が行われて来ましたが、約3年が経過した現在どのような状況となっているのでしょうか。
本講演では様々な公開情報から調査した以下データや調査手法自体を共有します。
1:現在のインシデント発生状況
ランサム攻撃者のリークサイト、企業から出されるセキュリティインシデント発生のプレスリリース、セキュリティベンダのレポート等の公開情報から昨今のインシデントの発生状況を振り返り、被害発生件数や侵害原因に関するデータを俯瞰的にレビューします。
2:日本企業の外部公開アセットの管理状況
日本に設置されたサーバや日本企業が所有するサーバをShodan等を用いて公開情報から観測できた情報を共有します。SMBやRDP等のハイリスクポート、サポート切れOSが多く利用され、脆弱性対処スピードも遅く、企業の外部公開アセットに対する管理実態は未だ大きく改善の余地があることがわかります。今後しばらくは攻撃者にとって侵入経路が供給過多の状態が続きインシデントは減少しない事を示唆しています。
3:公開情報を用いた攻撃動向の予測
インシデントが発生した企業の外部公開アセットをShodan等を用いて継続的に調査することで、攻撃者側の攻撃傾向の変化を捉えることができました。この手法はいまだ発展途上であるため、調査手法を広く共有して今後更に発展させたいと考えています。
Speaker
瀬治山 豊
Slides
Japanese
English
「アクティブ・サイバー・ディフェンス」事始め ~攻撃者プロファイリングの意義について~
Abstract
2022年のいわゆる「安保3文書改訂」を通じて、サイバーセキュリティにおける「アクティブ・サイバー・ディフェンス/積極的サイバー防御」に注目が集まりました。発表者は2022年9月にJPCERT/CCのブログにて、この用語の定義やその変遷に関する解説記事を掲載しましたが、本発表では「具体的にどういうオペレーションをやるのか」という点にフォーカスします。
本発表は、注目されがちな”攻撃的”オペレーションの法的論点や政策的意味合いを検討するものではなく、「オペレーショナルな問題点」を議論するためのものであり、現場対応を行っている様々な関係者、特に攻撃活動/攻撃者を追跡しているアナリストが今後どのように「アクティブ・サイバー・ディフェンス」の議論に関わる可能性があるのか、また、どのような役割を今後担う可能性があるのか、ポイントを示します。
具体的には、
- 用語/概念に関する論点整理
- 攻撃者に「コストを課す」アプローチ
- パブリックアトリビューションの効果と課題
- 通信遮断オペレーションの効果と課題
- ”攻撃的”オペレーションの効果と課題
- 脅威毎に効果的な対抗手段の選択方法
- 情報共有の意義の再認識/再定義
について、国内外のケーススタディや先行研究を元に論点を示しながら、これらのオペレーションやその課題に対して、アナリストの活動がどう関係するのか、またはどのような役割が今後求められるのか示していきます。特に、APTグループを始めとした攻撃グループのプロファイリング(アトリビューションや攻撃傾向の分析)が「アクティブ・サイバー・ディフェンス」の中核となることについて示します。
Speaker
佐々木 勇人
Slides
Japanese
English
Track Down Stealth Fileless Injection-based Nginx Backdoor in the Attack
Abstract
Nginx is a widely used Web Server in the industry, during an incident response, we found a Nginx-based backdoor stored in the server, which used a previously unseen attack vector: Injection, to achieve the fileless effect, and we called the backdoor - NginxStealth and NginxSpy.
In this presentation, we will introduce how the attacker gained initial access to the Nginx server, and how the malicious payload works. Furthermore, we will explain how the backdoor NginxStealth and NginxSpy are skillfully hidden in the system in detail, and compare the techniques used by NginxStealth with the existing Nginx-based backdoors.
Finally, we developed a Nginx module based on the hook method of the NginxStealth. This module can list the addresses of the hook. If the address does not exist in the normal Nginx memory space or the module memory space, there is a high possibility that the Nginx process is injected with NginxStealth.
Speaker
Peter Syu
Jr-Wei Huang
Slides
English
Localization of Ransomware, New Change or Temporary Phenomenon?
Abstract
Many ransomware gangs are incapable of carrying out the entire attack process on their own, so these groups operate via RaaS (Ransomware as a Service). They subdivide the roles into malware development, distribution, money laundering, etc. as their partners (affiliates) distribute the ransomware. These IABs (Initial Access Brokers) were well-versed in the target location's language and culture and were able to effectively distribute the ransomware. This was not an exception for Korea, where IABs composed of Koreans or people who know the country well have been active, causing much damage.
This presentation explains the characteristics and techniques of ransomware active in certain regions, locally active affiliates in Korea, and Gwisin and Masscan ransomware which are active only in Korea. It also includes a summary of ransomware used by threat actors suspected of government support, and damages from ransomware which do not seem to have connection to any previous cases.
The specific-region activity of some ransomware gangs could be a new change, but it may be possible that cybersecurity researchers have not found traces of their activity in other locations. Past cases have proven that Threat Actors that were only active in certain regions expand their scope of activity to other countries, indicating that ransomware gangs that are currently only active in some regions may become active in other areas in the future. Thus, users must be cautious about ransomware active in marginal countries as well.
Speaker
CHA Minseok
Slides
English
進化するGo言語製マルウェアとどう戦うか?: 解析能力向上に向けての実践的テクニック
Abstract
近年、Go言語が開発効率の高さや複数プラットフォームへの攻撃の容易さなどの利点から、マルウェア開発言語として多く使用されている。2022年にもChaosやNerbianなどの新たなGo言語製マルウェアが発見されており、今後もGo言語が使用される傾向は続く可能性が高い。我々がGo言語製マルウェアを解析する機会も増えていくと思われるため、Go言語製マルウェアを効率的に解析する技術が重要になってくる。
しかしながら、Go言語で作成されたバイナリは関数量が膨大であり、データ構造や呼び出し規約がC/C++のバイナリとは異なる等の理由から、とても解析がしづらい。このため、Go言語製マルウェアの効率的な解析に役立つ、関数名などを解決するツールが存在する。しかし、Go言語ではバージョンアップにより既存ツールが参照するデータ構造が変更されることがあり、ツールを長い間使い回すことが難しい。また、Go言語製マルウェアの中には、Go言語特有の難読化手法を利用する検体があり、既存ツールでの解析が困難なケースが存在する。Go言語製マルウェアにはこうした解析を困難にする課題が多くあるため、解析手法や知見が広く共有されるべきだと考えているが、不十分なのが現状である。
講演では、マルウェア解析者を対象にGo言語製マルウェアの解析方法について紹介する。まず、Go言語製マルウェアの解析経験が少ない方向けに基本的な解析フローやテクニックを共有する。その後、すでに解析の経験がある方向けに、高度なGo言語製のマルウェアへの継続的な対応について紹介する。ここでは既存ツールが参照しているバイナリの構造情報を盛り込みつつツールの改造方法などを解説する。
この講演がGo言語製マルウェアと今後戦っていく解析者の解析能力向上につながれば幸いである。
Speaker
桑原 翼
Slides
Japanese
English
Invitation to Secret Event: Uncovering campaigns targeting East Asia by Earth Yako
Abstract
2022年に明らかにされた「Operation RestyLink」は、日本をターゲットとした標的型攻撃キャンペーンとされている。我々は、当該キャンペーンを実施する脅威アクターを既存のアクターに明確に帰属せず、新たに「Earth Yako」としてクラスタリングし追跡している。Earth Yakoによる攻撃キャンペーンに関して、初期侵入に使用されるTTPsや不正プログラムについては、すでにMacnica社とNTT Security Japan社からブログが公開されており、いくらか明らかになっているが、十分な数のインシデントが共有されているとは言えず、侵入後の活動についても明らかにされていない。
本講演では、まずは2022年に我々が観測した複数のインシデント事例の紹介を通じて、日本および台湾の学術機関の関係者やシンクタンク研究者が標的とされていたことを明らかにする。次に、3つのインシデントを例に挙げ、侵入後に使用された不正プログラムの詳細な解析結果を共有する。具体的には、それぞれ個別のインシデントで観測した2種類のローダMIRRORKEYとPULINK、そしてDropbox APIを利用した不正プログラムTRANSBOX、PLUGBOX、SHELLBOXについて触れる。合わせて、観測したTTPsや不正プログラムのコードの共通点から、Earth Yakoと関連する可能性のある既存の脅威アクターについても言及する。
最後に、インシデント調査を通じて得られたIoCを共有することで、各組織におけるスレットハンティング・インシデントレスポンスでの一助となることを期待し、本講演を締める。
Speaker
原 弘明
東 結香
庄子 正洋
Slides
English
LIGHTNING TALK
Slot #1
Title: コード署名変革の前夜
Speaker: 木村 仁美
PDF(Japanese)
PDF(English)
Slot #2
Title: Memory Forensics with VolWeb
Speaker: Félix Guyard
Slot #3
Title: 複数拠点のハニーポットを活用した新たな脅威の検出と分析手法の共有
Speaker: 芳村 涼介
PDF(Japanese)
Slot #4
Title: Brief History of MustangPanda and its PlugX Evolution
Speaker: Still Hsu
PDF(English)
Slot #5
Title: APT41関連のinfoOpsにおける最新の傾向・考察
Speaker: 吉田 美咲
PDF(Japanese)
PDF(English)
Slot #6
Title: Azure AD への不正サインインとリアルタイム遮断の考察
Speaker: 安藤 翔一
PDF(Japanese)
Slot #7
Title: Digging for Coper: Unseen findings of infamous Android malware
Speaker: Fernando Diaz Urbano (ディアスウルバノ フェルアンド)
PDF(English)
Surviving the hurt locker: or How I Learned to Stop Worrying and Love the Bom
Abstract
Log4jの脆弱性(CVE-2021-44228)をきっかけに、SBOM(Software Bill of Materials)に注目が集まっています。SBOMとは、食品の原材料表示をソフトウェアに適用したようなもので、ソフトウェアが使用しているライブラリ・コンポーネントなどを表すデータのことです。SBOMを生成するためのツールがいくつも公開されていますが、それらのツールがどういうロジックでSBOMを生成しているのか理解をしていないと、誤検知や検知漏れに苦しむことになります。講演者は、毎日15万台以上のサーバー上で内製したスクリプトを動かし、SBOMを収集することで、日々の脆弱性対応に活用しています。そこから得られた知見を元に、SBOMに関するワークショップを行います。本ワークショップでは、PythonとJavaを題材に、(ほぼ)スクラッチでSBOMを生成するプログラムを作成するハンズオンを行います。ハンズオンを通じて、参加者は以下の事柄を学ぶことができます。
SBOMとは何か
SBOMの生成方法
SBOMの種類
Speaker
Simon Vestin
二関 学
Requirements
- ラップトップ (Windows, Macなど下記に示すセットアップが可能なもの)
Advance Preparation
- VS Code
- Docker
- Python
- Git
Skills
- 基本的なLinuxに関する知識
- 基本的なPythonに関する知識(演習としてPythonでスクリプトの作成を予定)
Repository
https://github.com/ninoseki/jsac2023-sbom-workshopDetection engineering with Sigma: Defend against APT targeting Japan
Abstract
本ワークショップでは、直近1年間ほどで報告された日本の企業・組織を狙ったAPT事例を題材に、その検知方法について学習する。一般的に参照されがちなファイルのハッシュ値や通信先などのような、Pyramid of Painで定義されている痛みの少ないIoCではなく、より上位で攻撃者が変更しづらいTTPsに着目した検知を試みる。
ワークショップの受講者は、各アクターの利用するTTPsを検知するSigmaルールを各自で作成してもらう。ルールの作成方法や必要なツールの最低限の使い方はワークショップ内で説明するため、未経験者でも歓迎する。しかし、EDR製品の検知ロジック作成経験者やマルウェア解析経験者であれば、より発展的な課題に挑戦可能である。
演習は用意したログに対して、各自が作成したルールがFalse Positive/False Negativeなく正しく検知可能であるかを確認しながら、トライアンドエラーを繰り返していく。演習の最後に、回答例のルールと、そのルール作成に至った理由の解説を行う。演習ではSysmonで取得したイベントログに対してSigmaルールを適用するが、これは様々なセキュリティ製品の検知ルールに変換可能であり、より広く受講者が自社環境に転用可能であることを目指している。
本ワークショップを受講することで、セキュリティ監視やインシデント対応におけるSigmaの活用方法、インシデント対応における解析者の着眼点を学ぶことができる。
Speaker
中島 将太
小池 倫太郎
Requirements
- インターネットに接続可能なWindows PC
Advance Preparation
以下のツールをインストール
- VS Code
- Timeline Explorer
- EvtxECmd
- Chainsaw
Skills
- インシデント対応経験やマルウェア解析経験があることが望ましい
- 必須ではないがEDR製品やSigmaルールの作成経験があると良い
Slides
Japanese
山重 徹
トレンドマイクロ株式会社
トレンドマイクロに入社後、セールスエンジニアの経験を経てインシデントレスポンスチームに在籍し、ランサムウェアをはじめセキュリティインシデントの被害にあってしまったユーザの復旧支援に従事。インシデント対応と並行して、そこから得られた攻撃手法等の知見を元に、EDR製品の検出ロジック開発にも取り組んでいる。
中谷 吉宏
トレンドマイクロ株式会社
前職ではWeb系プログラマーとして働いていたが、2007年にトレンドマイクロへ入社し、サポート業務を経た後、スレットリサーチやマルウェア解析に従事。現在は主に日本国内におけるインシデントのログ分析やフォレンジック業務を担当している。
田中 啓介
トレンドマイクロ株式会社
2007年に新卒社員としてトレンドマイクロに入社。個人製品及び法人製品のサポート業務を経て、2012年より中央省庁担当のアカウントマネージャとして脅威監視、インシデントレスポンス、対策提言を実施。脅威リサーチチームのマネジメント業務を経て、2019年よりインシデント対応支援サービスの統括を担当。2021年9月より立命館大学 情報理工学研究科 博士後期課程(上原研究室)に入学。
Simon Vestin
LINE株式会社
主にネットワークセキュリティ分野やセキュリティインフラを中心としたデベロッパーとして活動中。現在はLINEの膨大なインフラに潜む脆弱性や設定ミスを発見するシステムを構築中で、文字通り干し草の中から針を探すような作業を行っている。
二関 学
LINE株式会社
HITCON、Botconf、OBTS、JSACスピーカー。現職では不正対策やサーバーサイドのSecCM、脆弱性監査システムの開発に従事。
Nick Dai
Trend Micro Inc.
Nick Dai is a threat researcher in Trend Micro. He is devoted to tracking and detecting APT attacks within APAC region by malware analysis and threat intelligence. He also develops tools for threat hunting and malware analysis. He has published several publications regarding targeted attacks and malwares.
Sunny W Lu
Trend Micro Inc.
Sunny W Lu is a threat researcher at Trend Micro. She has been engaged in tracking and hunting APT malwares and attacks in APAC region.
Vickie Su
Trend Micro Inc.
Vickie Su is a threat researcher in Trend Micro. She is in charge of handling targeted attack cases around the Asia-Pacific region by malware analysis, performing correlating intelligence during the investigation, figuring out threat actors' Tactics, Techniques and Procedures (TTPs).
Shu-Ming Chang
National Yang Ming Chiao Tung University & CyCraft Technology
Shu-Ming Chang (@LJP-TW) is currently pursuing a master’s degree in cybersecurity at National Yang Ming Chiao Tung University, with an interest in binary exploitation and reverse engineering. He is a member of 10sec / TSJ CTF team and an intern at CyCraft.
野村 和也
NTTセキュリティ・ジャパン株式会社
NTTセキュリティ・ジャパン株式会社のSOCアナリスト。主な業務はIPS/IDS/EDRでのアラート監視。 NTTセキュリティ・ジャパン においてマルウェア解析とデータ可視化の記事を投稿している。MWS2020論文賞受賞、SecHack2020優秀修了生。
平尾 早智澄
NTTセキュリティ・ジャパン株式会社
NTTセキュリティ・ジャパンのSOCアナリスト。元金融系インフラエンジニア。SOCではNW/EDRのアラート監視の他マルウェア解析なども担当している。
皆川 諒
株式会社エヌ・エフ・ラボラトリーズ
NFLabs. で脅威インテリジェンスの生成やマルウェア解析業務に従事。NTTコミュニケーションズの NA4Sec プロジェクトと一緒に標的型攻撃やその脅威インフラを追いかけていたりする。
雜賀 大輔
株式会社エヌ・エフ・ラボラトリーズ
NFLabs. にて脅威インテリジェンスの生成やマルウェア解析などの業務に従事している。最近はアクティブサイバーディフェンスの Deception 分野に興味があり、個人の趣味で環境を作って遊んだりしている。
窪川 拓紀
株式会社エヌ・エフ・ラボラトリーズ
現在NFLabs.にて脅威インテリジェンス、マルウェア解析並びに開発業務に携わっており、お客様への価値創出を念頭に置いて日々活動している。最近は開発力と解析力の向上に重点を置いているが、今後はオフェンシブセキュリティにも手を伸ばしていきたいと考えている。
Shih-Min 'Minsky' Chan
CyCraft
Shih-Min Chan is currently a senior security analyst in CyCraft, mainly focuses on incident response, APT research, malware analysis and threat intelligence analysis. He has been the speaker in various training for practitioners and presented technical presentations in technical conferences, such as Infosec in the City, CodeBlue OpenTalk and FIRST.
Chung-Kuan 'Bletchley' Chen
CyCraft
Chung-Kuan Chen is currently a senior researcher in CyCraft, and responsible for organizing the research team, and Adjunct Assistant Professor in Soochow University, Taiwan. He earned his PHD degree of Computer Science and Engineering from National Chiao-Tung University (NCTU). His research focuses on cyber attack and defense, machine learning, software vulnerability, malware and program analysis. He also dedicates to security education. As the founder of NCTU hacker research clubs, he trained students to participate in world-class security contests, and has experience of participating DEFCON CTF (2016 in HITCON Team and 2018 as coach in BFS team). Besides, he has presented technical presentations in technique conferences, such as BlackHat, HITCON, HITB, RootCon, CodeBlue, FIRST and VXCON. As an active member in Taiwan security community, he is the chairman of HITCON review committee as well as a director of Association of Hacker In Taiwan, and member of CHROOT - the top private hacker group in Taiwan.
瀬治山 豊
株式会社マクニカ
株式会社マクニカ セキュリティ研究センター所属。日系企業のサイバー攻撃による被害を1件でも減らすため主にランサムウェアや脆弱性関連の脅威動向リサーチとAttack Surface Managementによる対策の情報発信活動に注力。日々公表される脆弱性情報の確認とOSINT(頻繁にShodanを利用)によるサーバの調査を日課とする。Twitterでは@nekono_nanomotoniとして活動。
中島 将太
株式会社サイバーディフェンス研究所
株式会社サイバーディフェンス研究所でマルウェア解析、インシデントレスポンス業務、脅威リサーチ業務に従事。JSAC、HITCON、Black Hat EUROPE Arsenalなど国内外のカンファレンスでの登壇経験あり。セキュリティ・キャンプやJSACなどで複数回ワークショップを実施。最近は、ソーシャルエンジニアリング技術を勉強中。
小池 倫太郎
NTTセキュリティ・ジャパン株式会社
NTTセキュリティ・ジャパンで脅威調査やマルウェア解析に従事。また、チームnao_secで研究者として活動している。これまでにVBやSAS、HITCONなどで講演。猫が好き。
佐々木 勇人
JPCERT/CC
早期警戒グループマネージャ/脅威アナリスト。(独)情報処理推進機構(IPA)勤務後、2013年に経済産業省情報セキュリティ政策室(当時)に出向。その後2016年よりJPCERT/CCにて勤務。注意喚起などの情報発信のほか、インシデント対応支援、官民間の情報共有活動に従事。2022年大変だったのは「サイバー攻撃被害に係る情報の共有・公表ガイダンス」づくり。
Peter Syu
TeamT5
Peter is a security researcher at TeamT5. Peter's research mainly focuses on incident response and malware analysis. Some of his work has been presented at international security conferences.
Jr-Wei Huang
TeamT5
Jr-Wei Huang is a product developer at TeamT5. His research interests are in the area of system security and threat hunting.
CHA Minseok
AhnLab
He is a Senior Principal Threat Intelligence Researcher at AhnLab. He joined AhnLab as a malware analyst in 1997. He research mainly focuses on cyberattacks and threat actors in East Asia. He has been appointed as a member of the Private/Public Cooperative Investigation Group and Cyber Expert Group in South Korea. He is a reporter for the WildList Organization International. He was a member of the board of directors of AVAR (Association of Anti-Virus Asia Researches) from 2018 to 2022. He was awarded the ISC2 ISLA Asia-Pacific Information Security Practitioner Award in 2018. He is a speaker at security conferences, including AVAR, AVTOKYO, CARO Workshop, CODE BLUE, HITB GSEC Commsec, JSAC, SECUINSIDE, Virus Bulletin. When he has free time, he enjoys old anime and video games.
桑原 翼
株式会社FFRIセキュリティ
株式会社FFRIセキュリティにて、NGAV製品のマルウェア検出ロジックの開発に従事。その後、セキュリティエンジニアとしてマルウェア開発環境構築やマルウェア解析などを実施。SecHack365、セキュリティ・キャンプ全国大会2019修了生。セキュリティ・キャンプ全国大会2021講師。
原 弘明
トレンドマイクロ株式会社
He focuses on threat intelligence research in Asia-Pacific region. He specializes in threat hunting, incident response, malware analysis and targeted attack research. He spends most of time to work out funny name for newly found malwares. He has previously presented at JSAC 2021/2022 and HITCON 2022.
東 結香
トレンドマイクロ株式会社
She specializes in the leverage of machine learning and data science for the cybersecurity field. She applies this expertise to Threat Hunting using a variety of data to find traces of attacks that are difficult to find using existing methods.
庄子 正洋
トレンドマイクロ株式会社
He focuses on threat intelligence research and information sharing in Japan. He specializes in incident response, forensics, and attribution research related to intrusion set targeting Japanese organizations.
Name
Details
Details