2017/4/15に開催された、第24回北海道情報セキュリティ勉強会に参加しました。
https://secpolo.connpass.com/event/53498/
普段、あまりセキュリティに関わる仕事ではないので、情報収集のために参加しました。
またハンズオンではpythonを使いましたが、pythonもほとんど使ったことがないので、
いい経験になりました。
あとおやつがおいしかったです。
今回は、べんべやの焼き菓子でした。
http://www.benbeya.jp/
以下、勉強会のメモです。
https://secpolo.connpass.com/event/53498/
普段、あまりセキュリティに関わる仕事ではないので、情報収集のために参加しました。
またハンズオンではpythonを使いましたが、pythonもほとんど使ったことがないので、
いい経験になりました。
あとおやつがおいしかったです。
今回は、べんべやの焼き菓子でした。
http://www.benbeya.jp/
以下、勉強会のメモです。
セッション1 「標的型サイバー攻撃 ~現在注視すべきキャンペーンとは~」
サイバーに関するG7の原則と行動
我々は、国際連合憲章を含む国際法がサイバー空間において適用可能であることを確認する。
Tallinn Manual
サイバー攻撃と国際法の関係を記載した文書
サイバー攻撃とは、攻撃的であろうと防御であろうと人の負傷ないし
サイバー物理攻撃
広義の意味だと、サイバー空間で行われる攻撃のこと(DDoSとか)
標的型サイバー攻撃とは
重要情報の入手を最終目標、時間、手法、手段を問わず特定の組織を対象に継続的に行われる一連の攻撃
APT 国家が関わらないと言わない
標的型サイバー攻撃対策
rarファイルで圧縮すると中身が何か見ることができない
パスワードダンプツール
WCE
MIMIKATZ
BlackEnergy
DDoS用BOTとして登場
モジュール化され、機能の追加が容易に
Sandworm ロシアの攻撃者集団
Telebot
セッション2 「シン・マルウェア解析」 (ハンズオン形式)
マルウェアの脅威の現況
ファイルを暗号化して金銭を脅し取る Ransomware
ネットバンク利用者をねらう Banking Trojan
標的型攻撃
⇒こうした攻撃に対する対策
パターンマッチング 長所と短所
長所 効率的に高い精度でウイルスの検出が可能
短所 検出パターンがないので、検体をとってパターンを作らないと検出できない
ヒューリスティック方式
長所 実際の不正プログラムの検体を入手していなくても検知できるかもしれない
短所 精度とパフォーマンス
検知したプログラムを不正プログラムだと断言するには解析する必要がある
検出精度を上げても負荷がかかってしまう
ジェネリック検出
既知ウイルスの亜種に迅速に対応するための検出技術、既知のウイルスの共通点を抽出し、既知の亜種と似ているウイルスを検出できる
長所 実際の不正プログラムの検体を入手していなくても検知できるかもしれない
短所 検知したプログラムを不正プログラムだと断言するには解析する必要がある
マルウェア対策のカギは自動化
作成が自動化されているので、対策も自動化する必要がある
自動化してみたいけどどうしたらいいかわからない ⇒ Pythonだ
スクレイピングとは
Web経由で自動で情報収集する技術や手法
マルウェア解析の手法
表層解析 動的解析 静的解析
------------------------------>
問題
専門知識が必要
静的解析は経験やセンスに極度に依存
機械学習によるマルウェア解析とは
特殊な能力なしに検体っぽいものを黒か白と判断できる
特徴量
機械学習アルゴリズムに回帰させたり分類させたりするために使うデータ