MWS 2012
2012年10月29日から11月1日まで、島根県松江市にて、MWS 2012 が開催されます。MWS はマルウェア対策研究人材育成ワークショップの略であり、マルウェア対策に関する研究成果の発表や、マルウェア対策を行うための人材育成を行うワークショップです。2008年から毎年実施されており、今年で5回目になります。IIJ も第一回から参加するとともにこの活動に賛同し、協賛しています。IIJ は、MWS 2012 の実行委員となり MWS のプログラム作成、MWS Cup の課題作成やハンズオンセッションの実施などに協力しています。また、MITF ハニーポットのデータ (IIJ MITF DATAset 2012) を供出し、研究に役立てていただくなどの貢献もしています。今回は、その MWS について、MWS 2012 で行われる新たな試みを中心に紹介をしたいと思います。
なお、MWS Cup への参加申し込み期限は10月5日までとなっております。研究者や専門家のみならず、通常の企業などで業務としてマルウェアの対策を行う(もしくはこれから行おうとしている)方々にとっても有意義な内容にすべく準備をしておりますので、是非参加をご検討ください。
特別セッション
MWS は従来、研究者の研究成果の発表が主でしたが、MWS 2012からビジネスとしてマルウェア対策を行っている有識者の皆様にご登壇いただき、マルウェア対策についての事例共有や、話し合いが行われます。現在、詳細は調整中ですが、ボットネットを停止に追い込んだ事例や、外国政府のマルウェア対応事例など、非常に興味深い話題が論じられる予定です。
MWS Cup
MWS Cup は MWS 2009 から実施されており、参加チームがマルウェアに関する課題を解き、その得点を競う競技です。課題は、例えばボットや Web 感染型マルウェアの感染前後のパケットキャプチャデータを解析し、攻撃を見つけるものや、マルウェアに感染した VM イメージ解析、Android マルウェア解析などです。IIJ も例年参加しており、昨年は総合優勝することができました。そこで、今回は出題者側にまわり、問題を作成することになりました。お題は「インシデントレスポンス」です。一口にインシデントレスポンスと言っても内容は多岐に渡りますが、今回は MWS ということで、マルウェアに関するインシデントレスポンスを実施します。
では、なぜインシデントレスポンスが必要なのでしょうか? 未来を見据えた研究ももちろん大切ですが、現場にいる我々は、日々マルウェア感染の脅威に直面しています。そのため、マルウェアの感染を予防するにはどうすべきか、マルウェアに感染した時にはどのように対応するのかをあらかじめ決めておく必要があります。また近年、攻撃の高速化、局所化が進んでいるため、数日後、あるいは数時間後に攻撃サイトにアクセスしても、すでに攻撃者が撤退していたり、数ヶ月後に侵入されていたことに気づき、そこからインシデントレスポンスを初めても、ほとんど証拠が残っておらず、事件の全貌を明らかにできないケースが増えています。そのため、防御側も高速化が重要です。一般企業の情シス部門であっても、どのような影響があるかや、その範囲を素早く把握し、もし対策が間に合うのであれば、例えば結果を元に、これ以上被害が広がらないように出口対策を行うなどの必要があります。その際、素早いインシデントレスポンスが重要になるのです。
マルウェア感染事件におけるインシデントレスポンスとは、主に端末のフォレンジック分析やマルウェア解析、および端末周辺に存在するネットワーク機器や DNS サーバ、Proxy サーバ、Firewall、IDS/IPS のログを解析することで、何が原因でいつ侵入され、マルウェアや攻撃者がどこにアクセスし、どのような情報を持っていかれたか、もしくはどのような被害があったかを調査し、対策や再発防止を行うことです。フォレンジックとは、HDD イメージやメモリイメージ内にある時刻情報(例えばファイルシステムのタイムスタンプなど)を元に時系列情報(タイムライン)を作りだし、攻撃者が何を行ったかを把握するための手法で、インシデントレスポンスの核となる技術です。この結果を元に、疑わしい文書ファイルや実行ファイルを取り出して Exploit やマルウェア解析を行って、前述のような対策につなげていきます。
今回、MWS Cup で IIJ がどのような事件について出題するかは問題発表前なのでふせておきますが、近年国内外で問題になっている事象に関するものです。IIJ が今までに経験してきた内容や、リサーチした結果をふんだんに盛り込み、リアルさを追求してゲーム性を極力排除したいい課題になったと自負しています。とはいえ、毎年学生チームの参加もあるため、あまり厳しすぎると時間内に解ききれない可能性もあるので、実際の状況よりは若干甘めに作ってあります。そして、募集案内にはどのようなツールや手法を使って分析を実施すればよいかなどのアドバイスも記載しています。よって未経験者であってもスキルを磨くにはもってこいです。また競技時間も例年は1時間半という短い期間での実施でしたが、今回は当日の競技時間も2時間半に延長し、よりじっくり課題に取り組みやすくなっています。さらに、インシデントレスポンスとマルウェアの静的解析の課題は、当日競技の前に1週間程度を使ってじっくり課題に取り組む「事前課題」を新たに設け、初心者に対してより腰を据えて課題に取り組むことができるように配慮されています。
上記以外にも、今年は以下の問題が出題される予定で、MWS Cup の終了後にはスキルアップしていることは間違いないと思います。
- ドライブバイダウンロードのパケット解析
- マルウェアのリバースエンジニアリングによる静的解析
- Andoroid マルウェアの挙動解析
詳しくは、MWS Cup の募集案内をご覧ください。
企業名が出ちゃうと、成績が悪かったときバツが悪いんだよな……と、二の足をふんでいる方は、匿名での参加も可能です。また、複数の会社合同での参加も認められております。
ハンズオン
MWS Cup の出題以外にも、IIJ ではインシデントレスポンスのハンズオントレーニングを行う予定です。通常、トレーニングと言えば有償のものがほとんどで、その費用も数十万円程度かかるかと思いますが、今回は MWS および CSS の参加者であればどなたでも無料で受講できます。また、静的解析のハンズオンも行われる予定です。MWS Cup 同様に、インシデントレスポンスに必要な技術を習得するいい機会だと思いますので、ぜひ、ふるってご参加ください!
松江でお待ちしています。