Time Table

（第一部）
多層防御をすり抜ける脅威
～突破されるセキュリティ、突破させない企業へ～

【概要】
サイバー攻撃の高度化が進む中、多くの組織では、EDR・NDR・WAFといった強力なセキュリティ製品を導入し、多層的な防御体制を築いています。しかし、そのような環境下においてもセキュリティ事故は後を絶たず、従来の防御策だけでは十分でないことが明らかになっています。 その背景には、攻撃者が「Living off the Land（LotL）」や「ファイルレス攻撃」など、従来の検知を回避する高度な手法を巧みに用いていることがあります。これにより、振る舞い検知や既存の防御網をすり抜けるケースが多く確認されています。 本セミナーでは、こうした高度な攻撃手法の実例を紹介しながら、「なぜ最新のセキュリティ製品を導入していても被害が発生してしまうのか」という疑問に迫ります。また、実際に存在する脆弱性を題材に、迅速なアップデート対応の重要性についても具体的に解説します。本セミナーを通じて、参加者の皆さまが自社のセキュリティ対策を見直すきっかけを得るとともに、最新の攻撃動向を理解し、実効性のあるセキュリティ戦略の構築方法を学んでいただけます。 そして、こうした巧妙な攻撃の最初の突破口となりうる、サプライチェーンに潜む広大なリスクの正体について、第二部でデータと共に明らかにします。

======================================
（第二部）
OSSエコシステムの潜在的リスクーー
実稼働2万件のPURL分析が明らかにする、広大な「放置アタックサーフェス」の実態

【概要】
第一部で紹介されたような巧妙な攻撃は、多くの場合、見過ごされてきたソフトウェアの脆弱性を起点とします。 ソフトウェアサプライチェーンのセキュリティは、既知の脆弱性(CVE)管理に焦点が当てられがちですが、我々の足元にはより広範で静かなリスクが 広がっています。それは、公式なEOL(End-of-Life)や、事実上のメンテナンスが停止した「休眠状態」のオープンソースソフトウェア(OSS)コンポー ネントです。これらのコンポーネントは、ひとたび新たな脆弱性が発見されれば、修正パッチが提供されることのない永続的な攻撃経路となりえます。

本講演では、机上の調査ではなく、脆弱性管理クラウドサービス「FutureVuls」を通じて収集した、実稼働環境で実際に利用されている2万件のPURL(Package URL)というユニークなデータセットに基づき、OSSエコシステムの健全性を大規模に分析した結果を報告します。 分析にあたっては、最終リリース日や公式EOL情報といった静的なデータだけでなく、OSSF Scorecardの各種メトリクス、リポジトリのコミット頻度、リリース間隔といった動的な「開発活発度」を示す複数の指標を複合的に評価しました。

その結果、調査対象の約半分が長期間更新されておらず、5～10%が公式にEOLを宣言済みであるという、サプライチェーンの深刻な実態が明らかになりました。本発表は、この定量的なデータを示し、これらの休眠・EOLコンポーネントが攻撃者にとって如何に魅力的なターゲットとなりうるかを考察します。さらに、防御側の視点から、従来の脆弱性スキャンを補完し、潜在的なリスクを可視化・定量化するための実践的なOSSライフサイクル管理フレームワークを提案します。これにより、多くの組織が見逃している真の「静かな侵入口」を塞ぎ、持続可能な防御体制を構築するための具体的な道筋を示します。

Speakers:
Masato Watanabe（渡邉 正人）フューチャーセキュアウェイブ株式会社 サイバーセキュリティユニット REDTEAM リーダー
Kouta Kanbe（神戸 康多）フューチャー株式会社 サイバーセキュリティイノベーショングループ シニアアーキテクト