Japan Digital Design, Inc.
Senior Security Engineer 唐沢勇輔

2019年11月6日(水)〜9(土)の日程で第22回AVARサイバーセキュリティ国際カンファレンスが大阪で開催されました。一部日程だけでしたが参加してまいりましたので、その内容をご紹介します。
https://www.avar2019.org

皆さんはAVARという団体をご存知でしょうか？正式名称をAssociation of Anti-Virus Asia Researchersといい、1998年に設立した歴史ある団体です。
実は日本人の方が設立した団体で、現在はインドのK7 Computing創業者であるJ Kesavardhananさんが代表(CEO)を務めていらっしゃいます。
アジアのマルウェアリサーチャーが協力し、研究成果の共有やネットワーキングを行うことを目的にした非営利組織で、年に１回AVARカンファレンスを開催しています。カンファレンスは毎年11月頃にさまざまな国で開催されており、日本での開催は10年ぶりでした。私自身も10年ぶりに参加しました。

今回ホストを務めたESETの方の発表では、ペーパーの数が過去最高で、クオリティーが高いものが多かったということでした。
基調講演も含めて44のセッションがありましたが、10年前に比べると攻撃キャンペーン全体についての研究発表が多く、マルウェア単体の解析結果や解析手法についてのセッションは減っていたように感じます。
APTなどはキャンペーン全体を見ないと何も言えないので当然と言えば当然でしょうか。ちなみに、44セッションのうち日本人の発表は4セッション(5名)でした。LAC石川氏、FireEye松田氏（当日は代理の方が講演）、Carbon Black 春山氏、サイバーディフェンス研究所 中島氏およびNTTセキュリティジャパン小池氏（両氏はnao_secとして登壇）です。

個人的に面白いと感じたセッションを２つご紹介します。
(1) The North Korean AV Anthology: A unique look on DPRK’s Anti-Virus Market
　講演者： Mark Lechtik & Ariel Jungheit / Kaspersky Lab GReAT
2002年から2014年に北朝鮮で開発されたマルウェア対策ソフトについての調査結果の発表です。北朝鮮では欧米製（海外製？）のソフトウェアの代替品としてOSやブラウザ、そしてセキュリティソフトが独自開発されてきました。
講演の中では「Songsae」と「KJAV」という２つのマルウェア対策ソフトが紹介されていました。
「Songsae」はKim II Sung大学が2003年から2005年にかけて開発したもので非常にシンプルな構造だそうです(解析が容易)。シグネチャファイルが1994年のNorton Anti-Virusシグネチャファイルと酷似しているというのが印象的でした。
「KJAV」については少し話題になったのでご存知の方も多いかもしれません。
Kim Chaek工科大学が2006年から2017年にかけて開発しており、Themidaを使用して難読化されているそうです。RC4復号化手順やハードコードされた鍵情報、独自のライブラリ関数などから北朝鮮の攻撃グループと目されているLazarusが作成したマルウェアとの関連を指摘していました。

(2) Rich Headers: leveraging this mysterious artifact of the PE format for threat hunting
　講演者：Peter Kalnai & Michal Poslusny / ESET （※）
ESET社による、ファイル構造に着目したマルウェア解析手法についての発表です。
別のマルウェアリサーチャー向けカンファレンスであるVB Conferenceでも同様の発表をされていて、他の研究者からも注目されていました。Visual Studio 97 SP3以降の開発環境ではPEファイルのDOSヘッダーとPEヘッダーの間にデータチャンクが配置されるようになっていて、これは通称「リッチヘッダー（Rich Header）」と呼ばれています。ビルド環境やプロジェクト規模などの情報が埋め込まれているそうです。

この部分に着目してマルウェア解析することにより、マルウェアとしての判定や類似するマルウェアの検出に役立てることができるとのことでした。
例えばカプセル化されたマルウェアパッカーのヘッダーは、通常のPEファイルと比較して明らかに違いがあり、また同じ性質のマルウェアサンプルを容易にクラスタリングできるということです。

彼らの調査した範囲では、誤検知は当然あるものの、200ほどのルールでほとんどのATPツールをカバーすることができたということです。
ファイルレスマルウェアなども問題になっていますが、一時的でもファイルとしてドロップされるものもまだまだ多いので、こうした攻撃をエンドポイントで検知する上では有用な研究ではないかと感じました。
詳細なペーパーが下記のサイトで公開されていますので、ご興味ある方はご覧いただければと思います。
https://www.avar2019.org/files/AVAR2019_Rich_Headers_Kalnai_Poslusny_ESET_.pdf

セキュリティカンファレンスというと、海外ではRSAやBlackhat、国内ですとCODE BLUEなどがあるかと思いますが、実は日本人がつくったAVARという面白いカンファレンスがあるというご紹介でした。
2020年は12月頃にベトナムで開催されるそうです。夏ころには発表者の募集が始まると思いますので、投稿や参加を検討されてはいかがでしょうか？ 新しい情報はAVARのwebサイトをご覧ください。 https://aavar.org

（※）ご講演者の正式なお名前は以下をご覧ください。
https://www.avar2019.org/agenda/day-1/

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

＜ワンクリックアンケートお願い＞
今回のメールマガジン179号の感想をお寄せください。
http://bit.do/fqfR9
※googleアンケートフォームを利用しています。

【事務局からのお知らせ】
★会報誌「JNSA Press Vol.48」を掲載しました。
　https://www.jnsa.org/jnsapress/vol48/index.html

★「Network Security Forum 2020（NSF2020）」の講演資料を公開中です。
　https://www.jnsa.org/seminar/nsf/2020/

★JNSAは今年も「RSA Conference 2020」にて日本パビリオン出展します。
　会員の方には展示会無償コードがありますので御希望の方はお問合せ下さい。
　https://www.rsaconference.com/usa

★「サイバーセキュリティ月間」ポスター、協力機関が公開されました。
　▼「ソードアート・オンライン アリシゼーション」とのタイアップ
　　https://www.nisc.go.jp/security-site/month/sao.html
　▼「協力機関」
　　https://www.nisc.go.jp/security-site/month/partner.html

★JNSAは「black hat ASIA 2020」の　supporting organizationです。
会員の方は15％のディスカウントがあります。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡　<http://www.jnsa.org/aboutus/ml.html>

*************************************
JNSAメールマガジン　第179号
発信日：2020年1月24日
発　行：JNSA事務局　
*************************************