サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【セミナーアウトプット】「エフスタ!!勉強会 サイバー攻撃最新動向」に参加して…

12月1日(土)に「エフスタ!!勉強会 サイバー攻撃最新動向」に参加させていただきました。なんでもブログに記事を載せることで「ブログ割」というものがあるらしく(まだ誰も申請したことがないとのことでしたが…)、ぜひ活用しようと言うことで、今回は「ブログ割」目的の記事になります(本当は自分用のメモです)。

 

仮想通貨に関連したサイバー攻撃の最新動向(根岸氏)

仮想通貨のセキュリティといえば、根岸さんが最も情報通何じゃないかなぁと思います。私がOWASP Nagoyaに所属するきっかけとなった恩人の講演ということでも、今回の講演は楽しみにしていました。

仮想通貨とセキュリティの組み合わせで考えられるのは、攻撃者への支払いに使われるという点と取引所からの強奪、あと、マイニングですね。

今回のご講演は、主にマイニングに関する内容が主題でした。私も過去に記事を取り扱っていましたので、なんとなくわかっていたつもりですが、記事に上げたのはだいぶ前で、それ以降、マイニングしていた攻撃者が逮捕されたり等々、いろいろな変化がありました。

tk-secu.hateblo.jp

改めて見てみると、約1年前に書いた記事ですね。この当時と比べると、不正なマイニングは非常に増加しています。それだけ収益が得やすい攻撃になっているのでしょう。

①現在の主流

 現在、Moneroの採掘が主流になっているとのこと。攻撃方法は、ファイルタイプとWeb埋め込みの2パターンがある。

②ファイルタイプのマイニング

 63万のマルウェアが利用したマイニングプールで集まったMoneroは、175万ドル相当の価値があるとのことで、マルウェアタイプのマルウェアの脅威がわかります。

③Web埋め込みのマイニング

 私も記事に取り上げた「Coinhive」の話が出ていました。一時期は、Webの広告代わりになると言われていましたが、やはり当初考えていたとおり、攻撃者が攻撃のための使用するケースが非常に多くなりました。日本でも故意にCoinhiveを仕掛けて逮捕者が出た事例でもあります。サイトの管理者が気づかない間にCoinhiveを埋め込まれる、Webの改ざんや乗っ取りがあるため、サイト管理者は注意しなければならなさそうですね。

 ただ、Webによるマイニングは、そこまでマイニングの成功率は高くないとのことです。やはり、Webサイトにアクセスしている間しかマイニングできないのが関係しているのかもしれませんね。

④防止策

 ・CPU等のリソース監視による検知

 ・Moneroの主要なマイニングプールへのアクセスをブロック

 ・CSP+SRIの活用

⑤その他の話題

 ブロックチェーンベースで名前解決(DNS)を行うマルウェアが発生している。うロックチェーンを使うと、匿名性が高いため、テイクダウンが難しい。しかし、アクセスも難しい。OpenNIC DNSを活用してブロックチェーンのノードに接続されるため、OpenNIC DNSへの通信をブロックしたいところ…。

 

セキュリティパネルトーク

学生視点やエフスタのスタッフさん、根岸さんをパネラーとしたパネルトークで、「セキュリティとはなにか」から始まって、ゆるい感じのパネルトークでした。

雰囲気はゆるいのですが、出てくるセキュリティの話は結構しっかりしており、ためになる話が聞けました。中でも、参考になったなぁと感じたのは以下の2点でしょうか。

・クローズネットワークのセキュリティ

 USBメモリ経由で感染することがあった。

 繋がっていないつもりで実は繋がっていた。 

・今後のセキュリティ業界の需要は? 

 セキュリティエンジニアの需要はこれからも高くなるだろう。

 ただ、セキュリティだけを考えると頭でっかちになって嫌われるだろう。利便性とセキュリティをともに高めていくのが理想。

 利用者がセキュリティを気にしなくてもいいような環境を作っていきたい。今はセキュリティについては過渡期なので、利用者もセキュリティに意識しなければならない。そのため、どのような分野にも必要とされる需要は高い。

ハニーポットの観測からわかるIoTボットの最新動向(根岸氏)

このブログで取り上げているハニーポットは、もちろん個人で運用しているハニーポットですが、ここではIIJが運用している規模の大きいハニーポットのお話ですので、また、違った傾向が出そうで期待大な内容です。

①オリジナルmiraiの特徴

 ・ランダムな23/TCP,2323/TCPにスキャン(Cowrieで検知できる理由)

 ・SYNスキャンでポートを確認した後にフルコネクト

 ・61種類の認証情報を使ってログイン試行(ハードコーティング)

②2017年11月〜国内からスキャン通信が100倍以上に増幅

 ・RealtekSDKの脆弱性(52869/tcp)、Huawei脆弱性(37215/tcp)、GoAheadの脆弱性(81/tcp)を利用

 ・JPCERT/CCNICT警察庁などから注意喚起

 ・miraiの亜種「satori」 もしかして日本のアニメ好き??

③3大IoTボットファミリー

 ・mirai

  ソースコードが公開されているため、大量に亜種が存在する。

 ・qBot

  miraiがでる前に主役を張っていた。今でも現役で使用されている。

 ・Hajime

  miraiよりも洗練されたコードで作成されている。

 

他にも、学生VS社会人のLT大会など、盛り上げの仕掛けがうまいなぁと…。

ぜひ、また参加してみたいですね。次は仙台で…。