日本最大のサイバーセキュリティ国際会議「CODE BLUE 2023」が、11月8日から9日に東京にてリアルイベントで開催されます。TeamT5は台湾本社と日本支社を持っており、このアジアトップの国際サイバーセキュリティイベントに参加できることを光栄に思います。
今年は、弊社のサイバー脅威アナリストとサイバーセキュリティ研究者が「シンボリック実行とテイント解析によるWDMドライバーの脆弱性ハンティングの強化」、「金儲けかカモフラージュか? APT41によるランサムウェア活動の解析」、「内部からの勝利: 海外のディアスポラ(移住者)をターゲットにした中国の情報作戦」について、最新の研究を発表いたします。
CODE BLUE 2023でのイベントのハイライトについては、以下をご覧ください。
シンボリック実行とテイント解析によるWDMドライバーの脆弱性ハンティングの強化
- 時間:11月8日 16:25 – 17:05
- 特別ゲスト: Che-Yu Lin - チェ・ユーリン (Security Researcher)
WDM ドライバーの脆弱性検出は、ドライバーがクローズドソースであること、そしてドライバーをカーネルにロードするには特定の環境でなければならないことから、困難な場合があります。シンボリック実行とテイント解析は、ソフトウェアセキュリティにおいて一般的な手法ですが、プログラムの複雑さに応じて、実行可能なパスと潜在的に汚染された入力(Tainted inputs)が指数関数的に増加する、パスの爆発(Path explosion)とテイントの爆発(Taint explosion)の問題が発生する可能性があります。
本講演では、WDMドライバーの脆弱性を検出するために、シンボリック実行とテイント解析を用いた「 IOCTLance」というソリューションをご紹介いたします。対象の入力バッファを汚染(Tainting)し、パスの爆発問題を緩和するカスタム可能なオプションを開発することで、IOCTLanceはWDMドライバーの様々なタイプの脆弱性を検出することができます。また、26のドライバーで117の未知の脆弱性を発見し、サービス拒否、不十分なアクセス制御、権限昇格の脆弱性を含む41のCVEが特定されました。
金儲けかカモフラージュか? APT41によるランサムウェア活動の解析
- 時間:11 月 9 日 13:35 - 14:15
- 特別ゲスト:Che Chang - チェ・チャン (Cyber Threat Analyst), Charles Li - チャールズ・リー (Chief Analyst)
APT41は、中国における最も複雑で洗練された国家支援グループの一つであると言っても過言ではありません。2020年の米国による起訴は、APT41の新たな攻撃が阻止、緩和されることがなく、その標的範囲と攻撃手法が拡大し続けていることが確認されています。APT41は、中国のAPTグループでは珍しく、金銭目的のサイバー犯罪を行うことで知られています。特筆すべきは、弊社の研究により、APT41が2019年の早い段階からランサムウェア攻撃に積極的に関与しているということが判明したことです。
本講演では、APT41のランサムウェア攻撃への関与に関する最新の調査結果を発表します。弊社は過去3年間にわたり、アジア、ヨーロッパ、アメリカの11カ国において、10以上の業界でAPT41によるランサムウェアの活動痕跡を発見しました。
また、「APT41 はなぜランサムウェアを運用に導入し始めたのか?偽装のため?金儲けのため?」という質問にも答えていきます。
APT41のスパイ活動とランサムウェア活動を比較したところ、C2と戦術が重複しているにもかかわらず、マルウェアの使用状況と洗練度の点でいくつかの違いがあることがわかりました。特に、技術指標(Technical indicators)からは、APT41 が Hades ランサムウェアギャングに関連している可能性が示唆されています。
APT41が中国当局に代わって活動する民間請負業者のグループであることを考慮すると、APT41 は異なる目的を持つ複数のチームで活動している可能性があり、つまりはランサムウェアの使用目的も異なると考えています。
彼らの最新の活動は、このグループが依然として世界中の組織に重大なリスクをもたらしていることを改めて証明しています。弊社は、脅威インテリジェンスとアトリビューションが、APT41による攻撃が再び仕掛けられる前に、防御するためのより良い戦略を立てることに役立つと考えています。
内部からの勝利: 海外のディアスポラ(移住者)をターゲットにした中国の情報作戦
- 時間:11 月 9 日 14:25 - 15:05
- 特別ゲスト:Chih-yun Huang - チーユン・ファン (Cyber Threat Analyst), Che Chang - チェ・チャン (Cyber Threat Analyst)
中国とアメリカの政治情勢が激化する中、ソーシャルメディアは依然として中国の脅威アクターが世論に影響を与えるための主な拠点となっています。中国は影響力作戦(IO、情報作戦)において、中国のボットネット、マーケティング会社、海外支社など、様々なリソースを組み合わせていたことが指摘されています。
特に、IOの内容が華僑向けに調整されています。弊社は、中国がディアスポラを活用し、他国民の支持を獲得するために有利なシナリオを考案していると見ています。
講演の前半では、中国のボットネットの最近の進化について解説します。2022年末に汎用AIが高い関心を集める中、中国のボットネットも関連コンテンツを作成する活動にAI技術を採用しました。「OperationWhitePaper」では、中国のボットネットがVTuberのアバターを使用し、中国の厳格な新型コロナウイルス対策に対する2022年の抗議運動である「白紙革命(White Paper Revolution」を批判する動画を共有しました。
後半では、中国のボットネット、マーケティング会社、海外支社の緊密な連携を示す3つの注目すべき活動をご紹介します。はじめに、中国の国家警察が「912プロジェクト」の下、同じボットネットを活用して米国で偽情報キャンペーンを展開している様子を詳しく解説します。次に、英国を拠点とするPR会社に関する独占調査をご紹介します。最後に、台湾での最近の事例について詳しく説明し、脅威アクターがどのようにして現地のPR会社を潜在的に利用し、より関連性の高い内容のIOキャンペーンを実施するのかについて提示します。
中国のIOキャンペーンは、その政治的課題に沿ったものであり、地政学的に重要な出来事の際に急増します。講演の最後では、弊社の評価と今年中に起こりうる脅威の状況について解説します。特に、2024年1月に台湾で次期総統選挙が行われることから、今後起こりうるIOキャンペーンについての予測と、潜在的な影響を軽減するための政策提言をご紹介します。
CODE BLUE のご紹介
CODE BLUEは日本最大のサイバーセキュリティ国際会議です。CODE(技術)を駆使し、BLUE(大洋)を超えて人々を繋げることで、インターネット世界をより良くすることを目指しています。毎年、世界最高レベルの専門家や研究者が一堂に会し、最新の調査結果を発表、そして最先端のトピックについて話し合います。即ち、情報セキュリティの課題を解決するために、全ての参加者が情報を交換し、協力し合う場です。
詳細情報は CODE BLUE 2023の公式ウェブサイトをご覧ください。
*画像のソース: CODE BLUE
Related Post
イベント
2022.10.12
【TeamT5 x CODE BLUE 2022】セキュリティは常に重要です
Japan, seminar