インターネットイニシアティブ(IIJ)は9月11日、エンジニア向けの勉強会イベント「IIJ Technical NIGHT vol.9」を開催した。9回目となる今回は、IIJが誇るセキュリティーオペレーションセンターのアナリストたちが、実際にインシデントを発見・分析するためにどのような取り組みをしているかの紹介がされた。
エンジニア向けの勉強会として、いつもディープな内容が語られるTechnical NIGHTだが、今回は昨今の新型コロナウイルス流行もあって、初のオンライン開催となった。今回は3人の講演者がそれぞれ録画で講演を行い、後半に生中継で質疑応答を兼ねた座談会という流れになった。
司会はいつもの堂前清隆氏…と思いきや、なんとVtuberノリのバーチャル美少女姿で登場。これには視聴者も大ウケだったようだ。
-
おなじみ堂前氏、まさかのバ美肉(バーチャル美少女受肉おじさん)で登場。ちゃんと声もボイスチェンジャーを使っているあたりが本格的だ。事前にIIJから「今回はオンライン開催なので趣向を凝らしています」と聞いていたが、さすがに予想の斜め上をはるかに行かれた感じ
さて、IIJの社内には、セキュリティ本部 セキュリティビジネス推進部の下に「セキュリティオペレーションセンター」(SOC)と呼ばれる部署があり、24時間・365日体制でアナリストが駐在し、IIJが提供しているネットワークサービスに対する攻撃やマルウェアなどの監視と分析を行っている。今回はこのSOCに勤務するアナリスト3人が登場して、実際にどのようにインシデントを見つけ、解析するのか、またどんなツールを使っているかを解説してくれた。
一番手に登場したSOCの古川智也氏は、「あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて ~」と題して、マルウェア「Emotet」を例に、実際の発見手順を紹介してくれた。
-
最初に登壇した古川氏は、主にSOCでは分析ルールの管理を担当してらっしゃるとのこと
マルウェアを検出するにあたり、基本的には各サービスやそこで使用されている機器のログを調べていく。どんなマルウェアでも、マルウェアが指令を受けるためのC2サーバ(指令サーバ)のドメインだったり、マルウェア自身のハッシュ値などの痕跡(IoC)を残す。こうした痕跡を探していくのがリアルタイムでの分析だが、マルウェアは改変も頻繁に行われるので、残す痕跡も変わりやすい。だが必ず複数の痕跡を残すし、改変されても一部はそのまま残されることも多いため、そういった痕跡を見逃さないこと、またあらかじめ複数の分析ルールを作成しておき、検知漏れを防ぐのが重要だという。ここで実際にマルウェア「Emotet」を検出する際に、どのような偽装をしているかや、その見分けかたなどが紹介された。
-
「Emotet」は、2014年頃に登場し、今年7月ごろから再び活動を再開したマルウェアだ。最近は自身をC2サーバからダウンロードさせる際にBASE64でエンコードして難読化しており、アンチウイルスシステムから検出されにくくするように進化している
また外部の脅威情報を収集し、最新のIoC情報にアップデートするのが重要だが、これについては脅威情報サイトのほか、Twitterでの脅威報告が最も速いという。1日のうち、大半をこうしたIoC情報の収集に費やすこともあるそうだ。
