38th Annual FIRST Conference 登壇発表レポート

セキュリティ情報統括室では暗号技術に関する研究開発、脆弱性情報の収集、インシデント発生時の対応、最新の脅威情報の収集および分析など、多岐にわたる活動を実施しています。更に、これらの活動から得られた情報や成果をIIJ Security Diary (本サイト) 、セキュリティカンファレンス、業界団体、学会等で積極的に発信することで、インターネット全体の安全に寄与することを目指しています。

このような活動の一環として、2026年6月に開催された38th Annual FIRST Conferenceにて登壇発表を実施しました。この記事ではカンファレンスの様子とともに発表内容について紹介します。

FIRSTについて

FIRST (Forum of Incident Response and Security Teams) は世界中のCSIRTやPSIRTなどに所属する専門家が相互の情報交換や協力関係を構築する目的で設立されたフォーラムです。毎年FIRSTは複数の会合 (カンファレンス) を開催しており、そこでは最新のセキュリティ技術等に関する講演が実施されています。

中でもAnnual FIRST Conference (FIRSTCON) は世界中のセキュリティ専門家が最新の脅威動向やインシデント対応に関係する指針・技術等を議論する世界最大級の国際カンファレンスです。毎年6月に世界各地のどこかで開催されており、2026年は6月14日から19日までの間、米国のデンバーで開催されていました。

筆者の発表内容

近年、国家に支援されたAPTアクターを含む多くの攻撃者が著名な脅威シミュレーションフレームワークであるCobalt Strikeを攻撃活動で悪用しています。拡張性やステルス性などの観点で優れたCobalt Strike Beaconと呼ばれるペイロード (エージェント) は、攻撃者による侵入後の活動 (Post-Exploitation) を秘匿・効率化します。

攻撃者がCobalt Strikeの悪用を繰り返すのと同時に、研究者や専門家たちはCobalt Strikeに対抗するための様々なツール開発や研究を行ってきました。Cobalt Strike Beaconの検知ルールや設定情報の抽出ツールはその代表的な例だといえるでしょう。検知ルールやツールを活用することで、セキュリティ従事者はCobalt Strike Beaconを使用した攻撃を、非常に効率的に検知・分析できるようになりました。

この動きに対抗して、近年、Cobalt Strike Beaconの改変版3やRustおよびGoといった他のプログラミング言語に移植したバージョンを攻撃者が利用していることを我々は観測しています。既存のセキュリティ製品はRustやGoで実装されたマルウェアの検知に課題を持っている場合があり、更にRustやGoで開発されたプログラムのリバースエンジニアリングに必要なノウハウを有する専門家も少ないため、攻撃者にとってこれらの再実装版は非常に魅力的だといえます。

これらの再実装版は、既にGitHub等にオープンソースで公開されているものをベースに改変して (あるいは改変せずそのまま) 使用されている場合が多く、元となったプロジェクトを検知するための指標や分析手法を理解しておくことで、実際の攻撃で使用されたペイロードも効率的に検知・分析することが可能です。

この講演では、オープンソースで公開されているCobalt Strike BeaconのRustやGoによる再実装版について解説および分析を行い、脅威を発見する上で有効な検知ルール、設定情報の分析手法などを共有しました。

カンファレンスの様子

インシデントの対応事例からセキュリティ人材の育成方針に至るまで、テクニカルな内容に限らず、幅広い講演が実施されていました。

筆者が過去に参加した他カンファレンスと比較すると、特にネットワーキングに重きが置かれたカンファレンスだったと感じました。トラックによって異なるものの、セッションの合間には30分程度のアイスブレイキングが入っている場合が多く、そこで軽食やコーヒーとともに交流している参加者の方が多かったです。昼食 (ランチ) の時間も約1時間30分とられており、立食形式で意見交換や情報共有が行われていました。

筆者も他国のナショナルCSIRTの方など、普段あまりお話しする機会がない専門家の方と交流させていただきました。また、日本からの参加者も100名近くいたため、日本国内の他社や他組織のCSIRTの方々と交流できた点からも、非常に有意義なイベントだったと感じています。

カンファレンスの開催地であるデンバーはコロラド州の州都であり、標高1マイルに位置していることから「マイル・ハイ・シティ」とも呼ばれています。年間を通して湿度が低く、特にカンファレンスが開催された夏季 (6月~8月) は温暖で過ごしやすい時期でした。

さいごに

我々は今後も最新の脅威やセキュリティ技術についてリサーチを続け、積極的に情報発信していきます。

  1. 特定のActive Directoryドメインに参加しているコンピュータでのみCobalt Strike Beaconが実行されるような実装となっていた。
    SHA256: 4078905b6f1810a913a7204c320a31bce644376a72ebe1f54cf324db9afa3ecd
    C2: cloudmanagernetapp[.]nl:443 ↩︎
  2. Didier Stevens氏が開発したCobalt Strike Beaconの設定情報の抽出ツール。
    https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py ↩︎
  3. 設定情報を独自方式でエンコード・暗号化していたり、オリジナル版のCobalt Strike Beaconに存在しない機能が実装されていたりする。 ↩︎
  4. https://github.com/b1tg/cobaltstrike-beacon-rust ↩︎

シェアする