Results

[録画講演]
10年以上前から、形式検証（formal verification）のワークフローは、悪用可能なバグのないソフトウェアを作成するのに十分であることが知られており、また必要であるようにも見える。AIシステムは、これらのワークフローを支援する能力が急速に向上しており、より専門性の低いエンジニアでもこれらのワークフローを利用できるようになっている。AIは他の多くのワークフローも支援可能だが、サイバーセキュリティにおいて実益をもたらすほどに信頼性を高めるためには、依然として何らかの形式検証が必要であると考えられる。また、AIは機能正確性のレベルだけではなく、分散システムの並行処理からハードウェアの電磁気学にいたるまで、他の抽象化レベルでの形式検証も使用できる。数年以内に、形式検証が「実用的」と見なせる範囲は飛躍的に拡大し、サイバー攻撃の多くの形が過去のものとなるだろう。同時に、形式検証とサイバーセキュリティは、ますます強力になるAIシステムが暴走して世界的な惨事を引き起こさないように保証し、確実にする上で重要な役割を果たすことになる。われわれの未来は明るいかもしれないが、そのためにはコミュニティが協力して取り組む必要がある。

WebブラウザのAI機能はユーザーにとって便利だが、攻撃者にとってはどうだろうか？ この講演では、Microsoft Edgeブラウザに搭載されたAI機能であるEdge Copilotによって発生した複数の脆弱性を紹介する。例えば、あらゆるサイトの情報を盗む方法や、ユーザーの許可なしにマイクやカメラへのアクセスを行う方法などである。 さらにこの講演では、比較的安全なシステム（Edge）と安全なシステムではない（Bing）の統合により、安全なシステムに実装された緩和策が安全ではないシステムを介してどのようにバイパスされるかを説明する。さらに、従来のセキュリティ緩和策では防げない、LLM（大規模言語モデル）固有のリーク手法も解説する。

過去数十年にわたり、イン・ザ・ワイルド（インターネットに放たれた状態）で発見される脆弱性の攻撃対象はWin32kからCLFS（Common Log File System）へと徐々に移行してきた。Microsoftはこれらの脆弱性を一貫して積極的に修正している。次の標的は何か？ 昨年、MSKSSRV.sysがハッカーの新たなターゲットとなったが、これはカーネル・ストリーミングの一部に過ぎない。
本講演では、長年見過ごされてきた、Windowsカーネルにおける特権昇格のためのアタックサーフェスを紹介する。われわれは、このアタックサーフェスを利用して、わずか数ヵ月で20以上の脆弱性を発見した。2024年のPwn2Ownバンクーバーで成功したWindowsのローカル特権昇格（LPE）は、実はこれらの脆弱性の1つであり、氷山の一角に過ぎなかった。また、この脆弱性により、Windows 7からWindows 11までのシステムを横断して侵害することが可能となった。さらに、新たに発見されたプロキシベースの論理バグクラスについても掘り下げる。このバグクラスは、Pwn2Ownで使用され、検証を回避してカーネルへのアクセスを可能にするものである。このようなバグクラスが深刻な結果を招き、容易に悪用できることも実演する。
本講演では、このアタックサーフェスとバグクラスの発見について共有し、これらの脆弱性の威力と優雅さを示すいくつかの事例研究を紹介する。また、類似の脆弱性パターンを発見し、調査するための手法も紹介し、Windowsエコシステムにおける将来のセキュリティ問題の発見と軽減に役立てられるようにする。

ゲーム機は、市場で最も保護が厳しい消費者向けデバイスの1つである。同時に、これらの保護を破ることへの関心も非常に高い。それに対抗するため、ゲーム機メーカーはセキュリティに多額の投資を行い、脆弱性報告に対して報酬を提供している。
この講演では、私がどのようにしてPlayStationコンソールのTLSネットワーク暗号化を突破し、最も高額な報酬である5万ドルを受け取ったかを紹介する。また、この脆弱性が原因で、SONYが全PlayStationコンソールに対して全世界で強制アップデートを実施する事態にもなった。
この脆弱性により、攻撃者はPlayStationのネットワークトラフィックを気づかれることなく解読し、ユーザーの機密情報を盗んだり、敵の位置などのゲームデータにアクセスしたりすることが可能となる。また、トラフィックを改ざんすることで、オンラインゲームで不正に優位性を得たり、PlayStationコンソール自体をさらに攻撃したりすることも可能である。
TLSは通常、ネットワーク通信を保護する唯一のレイヤーであり、あらゆる場所で利用されているため、TLSの実装における脆弱性は特に危険だといえる。適切なセキュリティテストも、適切なツールがなければ困難だ。昨年、私はこの脆弱性や他の数百の脆弱性を発見するために使用した「certmitm」というツールをリリースした。certmitmを使用すれば、一般的な脆弱性に対するTLS実装のセキュリティテストが簡単に行えるようになり、ネットワーク・ペネトレーションテストにおいて必須のツールである。

大規模なサンプルから、専門家が分析する労力に見合う少数のユニークなバイナリを特定するには、自動サンドボックス・エミュレーションやAI検出エンジンなど、インシデント対応の限られた期間内に人的コストを削減するために、重複の多いプログラムファイルを除外するフィルタ技術が不可欠である。
VirusTotalが2021年に報告したように、15億サンプルのうち90%は重複しているが、難読化のためマルウェアの専門家が検証する必要がある。
本研究では、未知のAPIコールの中のUse-defineチェーンのテイント分析など、専門家の分析戦略をシミュレートするために、新しいニューラルネットワークベースのシンボリック実行LLMであるCuIDAを提案した。本手法は、APIのコンテキストを自動的理解し、(a.)動的APIソルバー、(b.)シェルコードの動作推論、(c.)アンパックなしの商用パッカー検出など、最も困難な検出ジレンマにおいて難読化された動作を発見することに成功した。

自動列車停止装置（ATS）は、世界中で広く展開されており、地域や国ごとの技術に合わせてさまざまなアプローチが採用されているが、その多くは数十年前に確立された旧式のシステムを統合している。本講演では、これらのシステム内の脆弱性に焦点を当て、日本のATSやヨーロッパ、特にスペインのASFAシステムを中心に、ライブデモを通じて紹介する。内部メカニズムを分析し、低コストの部品で構築したデコイ装置がどのようにして不正な信号を生成し、列車の運行を操作できるかのデモを紹介する。

レッドチームは、成熟したセキュリティ組織にとってスパーリング・パートナーのような存在である。適切に活用すれば、インシデントの防止、守備側の対応時間の短縮、そして製品やシステム、さらには組織全体のセキュリティ態勢の向上に寄与する。現実の脅威インテリジェンスに基づいて実際の攻撃者をシミュレートすることにより、敵の視点から世界を見渡すユニークな機会を提供する。また、実際のインシデントが発生した際に迅速かつ決定的に対応すべきことを、冷静で安全な環境下で練習することができる。
レッドチームの構築・維持・成長には、非常に興味深い課題が伴う。最も関連性の高い脅威アクターを選んでシミュレートするという明白な課題から、インプラントやその他の繊細なツールを安全に管理するという微妙な課題、さらには高度な技術的知見を経営幹部やステークホルダーに効果的に伝える方法にいたるまで、さまざまな難題が存在する。
この講演では、これらの課題に焦点を当て、それがなぜ難しいのかを掘り下げ、Googleのチームのケーススタディや、世界中の内部レッドチームの構築を支援した多くのチームとの対話に基づいて、それらをどのように解決していくべきかについて考察する。

GoogleはPixel 6以降、Google Tensorシリーズのシステム・オン・チップ（SoC）を基にPixelスマートフォンを製造しているが、そのセキュリティ・アーキテクチャや安全なAndroidデバイスを構築する方法については、あまり詳細が公開されていない。Pixelのセキュリティコンポーネントの一部、特にTitan M2セキュリティチップは、独立系セキュリティ研究者やGoogleの内部Red Teamの注目を集めているものの、Pixelのセキュリティハードウェアがソフトウェア・スタックとどのように連携し、最新のAndroidデバイスを支えるかについての全体像はこれまで提示されていない。
本講演では、Google Tensor G4 SoCの主なセキュリティ機能とコンポーネントから始まり、Tensor Security Core（TSC）やTitan M2で動作する信頼されたソフトウェアを紹介し、最近のセキュリティ強化および監査の取り組みについて詳細を説明する。また、Trusty Trusted Execution Environment（TEE）、TSC、およびTitan M2で動作するソフトウェアが、Android Verified Boot（AVB）、StrongBox（安全なユーザー認証と鍵管理）、ハードウェアで保護された鍵を使用したファイルベースの暗号化（FBE）といった主要なAndroidセキュリティ機能の安全な実装を、どのように可能にしているかを説明する。
本講演では、セキュアなモバイルデバイスを構築するためには、ハードウェアとソフトウェアの協調動作が必要であり、両者の間で継続的なフィードバックループが存在し、SoCから高レベルオペレーティングシステム（HLOS、PixelではAndroid）に至るまで、複数の層にわたる設計と実装プロセスが求められることを示す。また、各セキュリティ機能やコンポーネントについて、詳細に入る前に簡単な導入を行うが、最新ののモバイルデバイスやAndroidに関する基本的な知識が前提とされる。
本講演では、監査、SDLC（ソフトウェア開発ライフサイクル）、およびセキュリティ強化の取り組みを含む、Pixelのハードウェアおよびソフトウェア・セキュリティ・アーキテクチャについての詳細について説明する。これらのセキュリティ・アーキテクチャ、SDLC、およびセキュリティ強化の詳細は、モバイルやIoTデバイスを設計・構築するメーカーやエンジニア、これらのデバイスのセキュリティを確保するために取り組んでいるセキュリティ・エンジニア、さらには自分のAndroidデバイスのセキュリティ・アーキテクチャをより深く理解したい高度な技術者にとって有益であると考えている。

マルウェアの作成者は、しばしばアンチデバッグ技術を用いて解析を妨害する。デバッガ上で実行されると、マルウェアはデバッガの存在を検出し、その後の動作を停止するか、通常とは異なる動作を行うため、解析が困難になる。アンチデバッグの実装方法は、マルウェアごとにさまざまである。
特に、大規模なメール送信キャンペーンで拡散されるマルウェアや、組織に影響を与える人気のランサムウェアには、複数のアンチデバッグ技術が確認されている。たとえば、アンチデバッグ技術には、デバッグ環境を検出するためのVM検出、デバッグ中にプログラムの実行を一時停止するブレークポイントの検出、デバッガを使用してマルウェアを解析する際の実行時間の違いを利用する時間差検出などが含まれる。
「AntiDebugSeeker」は、解析者によく利用されるバイナリ解析ツールIDAとGhidra用のオープンソース・プラグインであり、Windowsマルウェアに組み込まれたアンチデバッグ技術を自動的に識別することで、マルウェア解析プロセスを効率化する。アンチデバッグ機能に関連するコードは、例えば、マルウェアが使用するプロセスインジェクションの準備ステップとも重なる。したがって、検出ルールを柔軟にカスタマイズすることで、アンチデバッグ機能を特定するだけでなく、マルウェアの機能を理解することも可能である。さらに、このツールは、これらのアンチデバッグに対する説明やデバッグする際のサポート情報を提供し、アナリストが理解し、回避するための対策を講じる能力を向上させる。
本講演では、マルウェア解析を実演し、このツールの機能をどのように使用するかを説明し、実際の脅威シナリオでこれらの機能がどのように応用できるかを実践的に理解する。

検索拡張生成（RAG：Retrieval-Augmented Generation）システムは、検索メカニズムを組み合わせて大規模言語モデル（LLM）の推論能力を強化し、学習データを超えた応答を可能にする。しかし、RAGシステムのロバスト性（頑健性）は未解決の課題である。われわれのRAGシステムは、さまざまな攻撃に対して有害または無意味な応答を回避するのに十分なロバスト性を持っているのだろうか？
本研究では、RAGシステムの広範なアタックサーフェスに焦点を当て、攻撃者が検索フェーズやLLM生成フェーズをどのように操作できるかを探る。例えば、攻撃者が情報をあいまいにして検索器（Reriever）のミスリードを誘い、LLMに誤った回答を生成させたり、LLMの選好を悪用して有害な情報を参照させたりすることが考えられる。不正確な回答にとどまらず、フィッシングリンクを参照リンクに偽装するなど、悪意ある指示を配信する方法も実証する。機能呼び出しが関与するシナリオでは、これらの技術がリモートコード実行（RCE）につながる可能性もある。
これらの脅威に対処するために、われわれはRAGロバスト性を評価する初のオープンソースの包括的なフレームワーク「BullyRAG」を紹介する。BullyRAGは、誤情報の提供、悪意ある指示の実行誘導、RCEの3つの主要な攻撃目標に対応する。10を超える攻撃手法（不可視制御文字による難読化や嗜好特化など）を含み、2つのRAG使用シナリオ（質問応答と機能呼び出し）をサポートし、3つの推論エンジン（Hugging Face、Llama Cpp、OpenAPI）と統合されている。
正確な評価のために、最新のニュース記事やArXivから自動更新される新しいデータセットも提供し、どの言語モデルのトレーニングデータにも含まれていないことを保証する。
最後に、BullyRAGを使用して、多くの強力なLLMの評価結果を示し、モデルを選択する際に精度以外の視点を提供することを目指す。
結論として、本研究はRAGシステムの脆弱性を明らかにし、柔軟な評価フレームワークを提供し、包括的な評価を目的とした最新のデータセットを提供することで、RAGシステムのロバスト性を強化することに寄与している。

Echidnaは、チームや初心者がペネトレーションテストを実施する際の支援を目的として設計されたツールである。ペネトレーションテストを支援または自動化するツールは数多く存在するが、それらを習得するには多くのコマンドや技術の知識が必要であり、初心者がペネトレーションテストを学び、実施するのは困難である。さらに、チームでペネトレーションテストを実施する際には、各メンバーが独立して作業する傾向があり、作業の重複や進捗状況の可視化が難しく、マネージャーや初心者にとっては把握が困難になることがある。
そこで私は、ペネトレーションテストを行う者のターミナルコンソールを可視化して共有し、各状況に応じて次のコマンドを推奨するEchidnaを開発した。Echidnaは、機械に対してクリックだけで攻撃を行うことができるため、学生や初心者でも攻撃手法を学ぶことが可能である。
このツールには2つのバージョンがあり、WebアプリケーションであるEchidnaと、個人利用向けに特化したiPadアプリケーションであるEchidnaTermAppがある。デモセッションでは、使いやすさ、機能性、パフォーマンスが向上した新しいEchidnaTermAppを主に紹介する予定である。

ETW(Event Tracing for Windows)は、Windows OSの機能であり、アプリケーションやドライバーなどの動作に関するイベントを集約し、記録するための仕組みである。現在、ログ管理やセキュリティ監視に広く利用されている。しかし、昨今のセキュリティインシデントの調査において、Event Logに記録されるログだけでは十分な情報が得られないケースが増えている。そこで、より詳細なWindows OS上の情報を記録できる仕組みが求められている。
ETWは、Event Logよりも多くのアクティビティを記録する可能性を持っており、多くのEDR製品でETWを用いた監視が行われている。一方で、攻撃者はETWをバイパスする機能をマルウェアに組み込むことでEDR製品を回避する動きも見られる。
本講演では、ETWに焦点を当てて、ETWを利用したインシデントレスポンス手法やETWの機能をバイパスする方法について詳しく解説する。プレゼンテーションでは、まずETWの仕組みやファイルフォーマット、ETW構造体について説明する。次に、ETWを利用して不正なアクティビティを検知する方法、ETWを用いたフォレンジック手法について紹介し、現在マルウェアに利用されているETWバイパス手法についても解説する。最後に、われわれが作成したETWを使用したフォレンジックツールも紹介する。
このプレゼンテーションを通じて、ETWの深い理解とその活用方法を学び、システムやネットワークのセキュリティ向上に役立てることを目指す。

本講演では、従来のセキュリティ・ツールでは対処できない複雑な脅威の状況に対応するため、現代のサイバーセキュリティにおけるSOC（セキュリティ・オペレーション・センター）の不可欠な役割に焦点を当て、SOCの有効性を高めるための実践的なツールを提供する。現代の課題に対する洞察を共有し、実用的なツールを提供することで、サイバーセキュリティコミュニティがSOC運用を改善し、企業環境をより適切に保護できるようにすることを目指している。さらに、現代のSOCの目標や目的についての議論を開始するだけでなく、サイバーセキュリティ業界が直面している現在の問題に対する効果的な解決策（ツールやPoCも提供予定）についても議論する。

この講演では、Team Hashcatのメンバーであるevilmogが、NTLMv1ｰmulti toolを用いて、DESキーをクラックすることでNTLMv1のチャレンジレスポンスをNTLMへの復帰する方法を実演する。

2023年9月27日、警察庁及び内閣サイバーセキュリティセンター（NISC）は、米国家安全保障局（NSA）、米連邦捜査局（FBI）及び米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに合同でBlackTechに関する脅威への注意を喚起した。BlackTechは2017年頃から日本で攻撃を開始し、DbgPrint（別名WaterbearまたはDeuterbear）といったRATツールを進化させ続けている。BlackTechの攻撃に対抗するため、多くのセキュリティベンダーがこのAPTグループに関連するレポートを公開している。これらのレポートは、マルウェアの挙動に関する詳細を示しており非常に有用であったが、DNS悪用に関しては全く分析されていなかった。APTグループはDNSの挙動に痕跡を残すことが少ないため、セキュリティベンダーはDNS悪用に注意を払う必要がなかったのかもしれない。一方で、われわれは8つのAPTグループにおけるDNS悪用の比較研究を行い、2023年8月以降にDbgPrintに関連するBlackTechの攻撃で独自のサブドメイン悪用を確認した。この活動は興味深いものであったが、1つの疑問が浮かぶ。それは、BlackTechによるサブドメイン悪用が進化したのかということである。 一般的に、防御者がAPTグループの攻撃を検知することは困難である。BlackTechがRATツールを進化させ続ける一方で、このAPTグループはDNSの運用も戦略的に変更してきた。ここでわれわれは、BlackTechがDNSに関連する攻撃インフラの構築効率を優先していることに気付いた。防御者がBlackTechの不意を突くチャンスがあるかもしれない。実際、APTグループは常に気づかれないように万全を期しているわけではない。検出が困難なRATツールよりむしろ、セキュリティベンダーが注目していなかったDNS悪用を検知することの方が有効かもしれない。われわれは、時系列に沿った戦略の変化やAPTグループ間のDNS悪用の違いを詳細に分析し、試行錯誤の結果として脅威インテリジェンス、Passive DNS、WHOISに基づいた分析のノウハウを聴衆に提供する予定である。さらに、APTグループの戦略の変化と違いを検知するために、過去のCODE BLUEで発表した技術も紹介する。

Googleが2016年に開始したOSS-Fuzzプロジェクトは2023年8月時点でさまざまなソフトウェアのバグを3万6000件以上見つけている。このプロジェクトでは「ファジング」という自動的にソフトウェアのバグを検出する技術が中核として使われている。ファジングは、自動的なバグ検出技術と言われるが、実際にファジングを実施するためにはハーネス（検査対象ソフトウェアを呼び出すプログラム）の作成、ファジング用バイナリの生成、コマンドライン引数の調整、初期シードの準備、などの人手による作業が必要である。特に、異なる複数のソフトウェアをファジングする場合、これらの作業が障害（自動化阻害要因）となり、ファジングワークフロー全体を自動化できない。このため、効率的に多種多様なソフトウェアのファジングを行うことが難しい。

われわれは、これら自動化阻害要因を解消し、ファジング・ワークフロー全体を自動化するシステム、PkgFuzzを開発した。PkzFuzzでは、ソフトウェア・パッケージのビルドプロセスを監視し、ファジング可能なパッケージを選び出す。また、同時にファジングに必要な情報を収集する。このPkgFuzzを利用したファジングキャンペーン、PkgFuzz Projectについて発表する。PkgFuzz Projectでは、多種多様なソフトウェアが含まれるUbuntu 23.10のDebianパッケージに対するファジングキャンペーンを実施したところ、人間の介在なしに、265のパッケージから、6万4658件のクラッシュを得た。これらを精査したところ、攻撃に利用可能な4件の脆弱性を発見した。これらをIPAへ報告し、3件のアドバイザリとCVEの発行へとつなげた。

PkgFuzzがファジングを自動実行した265のパッケージのうち、OSS-Fuzzでもファジングが実施されていたOSSプロジェクトはわずか32件（12％程度）であった。これは、PkgFuzz Projectが、OSS-Fuzzが今までファジング対象としていなかったOSSをファジングできていることを示している。PkgFuzz Projectではファジングの準備を自動化できる。つまり、OSS-Fuzzとは異なり、ハーネスの作成やコマンドライン引数の調整など、OSS開発者によるファジングのためだけの開発コストを要求しないため、ファジング導入のハードルが低い。そのため、今までファジングによるセキュリティテストを導入できていなかったOSSプロジェクト（特に今までOSS-Fuzzの恩恵をあまり受けていない小規模なOSS）に対してもファジングキャンペーンを実施することができる。PkgFuzz Projectにより、バグを発見、修正していくことで、より多くのOSSプロジェクトに対してセキュリティレベルの向上を促進し、安心なソフトウェア基盤の実現を可能にすると考える。

近年、アジア太平洋地域における衛星・航空宇宙産業の成長は著しく、それに伴い関連する脅威も増加している。本講演では、近年のアジア太平洋地域における衛星および航空宇宙産業が直面しているサイバーセキュリティの脅威について紹介する。特に、中国と北朝鮮のハッカーグループの攻撃行動に焦点を当て、その動機・標的・手法を分析する。研究によれば、北朝鮮のハッカーは主に米国およびアジアの航空関連機関を標的にしており、衛星開発計画を支援するための技術を盗むことを目的としている。一方、中国のハッカーは、米国・ロシア・日本といった技術先進国や、中国と政治的対立を抱えるインドや台湾を主な攻撃対象としている。本講演では、これらの攻撃活動を時系列に沿って説明し、中国および北朝鮮のハッカーグループ間の攻撃動機・標的選定・手法の違いを比較する。また、いくつかのマルウェアを事例研究として共有する。

2024年は史上最大の選挙の年を迎えようとしており、すでに中国の影響力工作（IO：Infulence Operations）が影を落としており、民主主義システムを不安定化させようとしている。2023年以降、中国の脅威アクターは複数のIOキャンペーンを選挙を標的として展開しており、その中でも進化した手法として、ハック・アンド・リークとIOキャンペーンを組み合わせた戦術が見られるようになった。

講演の前半では、中国の脅威アクターが開発した新しい戦術、特にハック・アンド・リークとIOキャンペーンの組み合わせについて紹介する。2024年の台湾大統領選挙における実例を基に、中国がいかにしてロシアの戦術を学び、流出したとされる文書を利用して選挙に影響を与える技術を発展させたかを詳しく説明する。

同時に、生成AI技術の急速な普及が脅威アクターの能力を強化している。講演の後半では、中国の脅威アクターがどのようにAIを活用して、ハック・アンド・リーク、そしてIOキャンペーンを展開しているかを実演する。AI、ハック・アンド・リーク、そしてIOを統合することで、脅威アクターはより幅広い対象に対して容易に偽情報（ディスインフォメーション）を流布できるようになっている。

2024年内は、数十億の人々が投票を控えている。特に11月に行われる米国大統領選挙が控えているため、その影響は非常に大きい。驚くべきことに、強化された能力を持つ中国の脅威アクターは、標的を大統領候補者から議員にまで拡大している。これは、特に個々の議員が影響工作に対抗するためのリソースを欠く場合に、重大な警告となる。講演の最後には、この脅威に早期に対処するための緩和策や政策提言を提示する。

[録画講演]

ソフトウェアに何が含まれているのかを知るというアイデアは、急進的な考えから「SBOM（Software Bill of Materials）」という流行語に変わった。しかし、SBOMはどこへ行こうとしているのだろうか。また、セキュリティにおける他の動き、特に政策や規制に関する動きとどのように関わっていくのだろうか。本講演では、SBOMがどこから来て、どのようにして世界的なコミュニティになったのかを振り返り、現在のギャップを明示し、コミュニティがどのようにそれらに対処しようとしているのかを説明する。しかし、もちろんSBOMだけですべての問題が解決するわけではない。SBOMの前に、より多くのCoordinated Vulnerability Disclosure（CVD）が必要である。SBOMが整備された後は、新しいCVE標準を含む質の高い脆弱性データと、より優れたソフトウェア識別子が必要になる。そして、情報過多にならないためには、プロプライエタリ・ソフトウェアとオープン・ソース・ソフトウェアの両方について、VEX（Vulnerability Exploitability eXchange）と機械可読なアドバイザリが必要となる。 これらすべてを見渡し、ソフトウェアセキュリティと対応の未来について、より良い計画を立てるための全体図を描こう。

ランサムウェア・グループは、さまざまな業界に甚大な被害をもたらす手法において、非常に巧妙になっているが、われわれも反撃することができる。これらの攻撃者に対抗するための新たなアプローチとして、彼らのWebパネルに対する積極的な攻撃がある。本講演では、ランサムウェア・グループが攻撃活動を管理するために使用するWebパネルや、データの初期流出時に使用されるAPIに侵入し、掌握するための戦略と手法について詳しく解説する。

ランサムウェア・グループのWebパネルの脆弱性を利用し、不正アクセスを得る方法を実演する。このアクセスは彼らの作戦を妨害するだけでなく、諜報活動を行い、そのAPT（高度持続的脅威）攻撃者の背後にいるオペレーターを特定する手がかりを得ることにもつながる。われわれがランサムウェア・グループの指揮統制（C2）センターを標的とし、サイバー脅威に対する戦いにおいて反撃に転じ、彼らに大打撃を与える最前線を探求しよう。今度はわれわれの番である。

現代のデジタル環境において、Webやモバイルアプリケーションの公式チャット機能を利用したフィッシング攻撃は、重大な脅威をもたらしている。ユーザーやプラットフォームを守るためには、これらの脅威を理解し対策を講じることが最も重要である。本講演では、2つの疑わしいチャットメッセージを受け取った個人的な経験を起点に、広範なフィッシング・キャンペーンの調査にいたった経緯を詳しく解説する。

その疑わしいメッセージにより、フィッシング・キャンペーンの性質と規模を深く探ることとなった。この調査により、攻撃者が使用した戦術・標的・手法が明らかになり、特に旅行業界での攻撃が顕著であったことが判明した。また、情報窃取（InfoStealer）マルウェア攻撃の発見により、公式旅行アカウントから顧客情報が盗まれたことが明らかになった。

このフィッシング・キャンペーンが拡大し、eコマース・プラットフォームを標的にし始めたことで、戦術は適応したが、その中に共通する特徴も残されていた。さらなる調査により、類似のフィッシング攻撃で狙われた他のプラットフォームに関する発見もあり、キャンペーンの広範な影響が確認された。

フィッシング・プラットフォームのソースコードを詳細に分析した結果、その機能が明らかになり、特にイタリア語圏を含むヨーロッパ諸国が主な標的となっていること、信憑性の高いフィッシングページの生成、チャット機能の統合、取引の検証メカニズムなどが確認された。さらに、Telegramとの統合や複数のオペレーターの存在により、フィッシング・プラットフォームのビジネスモデルや運用戦略が浮き彫りになった。

このフィッシング・プラットフォームは、Telekopye Telegram詐欺の管理プラットフォームとして機能している可能性が高く、これらの攻撃の背後にあるネットワークと動機が明らかになった。

最後に、ユーザー、取引業者、プラットフォームのセキュリティ・エンジニアがセキュリティ体制を強化し、フィッシング攻撃の被害を防ぐための実践的な推奨事項を提供する。継続的な警戒と協力の重要性を強調し、調査から得られた主要な発見と洞察をまとめて本講演を締めくくる。

NFCリレー攻撃は理論上は何年も前から議論されてきたが、実際の成功例は依然として稀である。今回紹介するのは、2024年初頭にチェコで被害者から数千ドルを盗んだ、NFCリレー攻撃を利用してリモートATM引き出しを実行した最初の公に知られるイン・ザ・ワイルド（インターネットに放たれた）のAndroidマルウェア「NGate」である。この攻撃には、ソーシャルエンジニアリングやフィッシングの手口も利用されていた。

この攻撃は2023年11月にチェコで始まり、当初はプログレッシブWebアプリ（PWA）を利用した。PWAは本質的にモバイルアプリのように機能するWebサイトであるが、攻撃者は次第にWebAPKというより高度な形態のPWAを使うようになった。そして最終的にNGateマルウェアの配布に至る攻撃手法が確立された。

さらに、NGateマルウェアに基づいている合法的なオープンソースのNFCリサーチツール「NFCGate」についても解説し、このツールを使用して実現可能な2つの追加攻撃シナリオを説明する。プレゼンテーションでは、NFCを利用した非接触決済攻撃やNFCトークンのクローン作成をデモンストレーションする予定である。攻撃者がスマートフォンを使って公共の場所で非接触カードをスキャンし、遠隔端末で同時に支払いを行う方法や、MIFARE Classic 1k NFC非接触スマートカードのUIDをクローンして制限区域へのアクセスを取得する手法を実演する。

最近、「Snowflakeキャンペーン」として知られる重大なセキュリティ・インシデントが発生し、165以上の顧客の機密データが漏えいした。

この侵害はクラウド・データ・プラットフォームにおける深刻な問題を浮き彫りにし、強固なセキュリティ対策の必要性を強調している。本講演では、Snowflakeキャンペーンを知った経緯、攻撃者がどのようにアクセスしたのか、どのように情報を流出させたのか、そしてこのような脅威を軽減するために組織が講じるべき対策について解説する。この講演では、この侵害の構造、クラウドやSaaSの可視性がインシデントの特定と対応においていかに重要であるか、そしてクラウド・セキュリティを強化するための実践的な検知戦略についての洞察を得ることができる。

特に、われわれはこの侵害について最初に公表した組織であり、サイバーセキュリティ・コミュニティにおける迅速で透明性のあるコミュニケーションの重要性を強調している。この講演では、新たに進化するSaaSセキュリティ脅威の現状を理解し、それに対抗する方法を模索しているセキュリティ専門家に向けて、実践可能な検知手法を提供する予定である。

Windows OSは、個人ユーザーから産業用アプリケーションまで幅広いデスクトップ環境で使用されており、信頼性の高いドライバー動作に依存している。本講演では、Windowsドライバーの脆弱性を体系的に発見するために、シンボリック実行とカーネルファジングを活用した高度なツール「MS-Fuzzer」を紹介する。

Windowsドライバーは、一般的にInBufferLengthやOutBufferLengthのような特定の制約を持つIOCTL（Input Output Control）コードを通してユーザーとやりとりする。これらの多くのIOCTLコードを分析することは、その数と複雑さゆえに非常に細心の注意を要する作業である。われわれは、Angrベースのシンボリック実行を使用して、各IOCTLコードの制約を自動的に解析し、この自動化により手作業の労力を大幅に削減し、ファジング中のコードカバレッジを向上させている。

さらに、組み込みドライバーにはカスタムファジングハーネスが必要である。効率的なハーネスの作成方法についても議論し、これらが脆弱性発見に果たす役割を紹介する。1ヵ月の分析期間中に、例えば「usbprint」などの複数のドライバーで脆弱性が発見された。これらの脆弱性を発見した手法を紹介するケーススタディを発表する。

100日間にわたる取り組みの結果、100件の脆弱性を発見し、Microsoft、AMD、Siemens、MSI、三菱、Sophosなどの主要ベンダーに関連する21件のCVEおよび10件のKVE（韓国のCVE）をカタログ化した。セキュリティ研究コミュニティにとって重要なケースのいくつかも紹介する。

また、継続的なセキュリティ研究の支援として、使用したツールや主要な脆弱性のPoC（概念実証）例（NDAに準拠したもの）、ファジングハーネス用のサンプルコードをすべてオープンソースとしてhttps://github.com/0dayResearchLab/msFuzz で公開する予定である。

このセッションは、Windowsカーネルドライバーの動作原理を解明し、Windowsドライバーにおける脆弱性を発見するための包括的なガイドをセキュリティ研究コミュニティに提供することを目指している。

ブラウザーは複数のコンポーネントが統合された複雑なソフトウェアであり、個々のコンポーネントとそれそれの統合レイヤーはバグの潜在的な原因となり得る。しかし、すべてのバグが同等に危険であるわけではなく、初期のバグの悪用可能性が疑わしい場合もある。また、完全に任意のコード実行を実現するためには、しばしば緩和策の回避が必要となる。Chromeでは、この緩和策がV8サンドボックスとして知られており、V8サンドボックス領域内で発生するメモリ破損が他のメモリ領域に影響を与えないようにすることを目的としている。これにより、初期のバグを任意のコード実行にまで発展させることが非常に困難になる… と考えられてきた。

本講演では、WebAssembly（WASM）が依然として強力な攻撃ベクターであり、初期のバグおよびV8サンドボックスの回避策を提供する優れた手段であることを示す。まず、TyphoonPWN 2024でWASMのバグを見つけ、それをV8でのVariant Analysisを通じて悪用した経緯を紹介し、このバグの修正がv8CTFでさらに簡単に悪用できるvariant-of-a-variant bugを明らかにした過程を説明する。また、無害なタイプミスにより発生したWASM TurboFanコンパイラの別のバグを紹介し、一見悪用不可能に見えるバグが、特定の構成やプラットフォームでは重大な悪用可能性を持つことを示す。さらに、WASMにおける10件以上のV8サンドボックス回避事例をリストアップし、これにより完全な修正が困難な新しい回避技術のパラダイムが開かれたことを示す。この研究は約2ヵ月という短期間で行われたが、複数のハッキングコンテストやVRP（Vulnerability Rewards Program）で合計25万ドル以上の賞金を獲得することができた。

講演を通じて、ChromeのWASM実装におけるバグの発見方法や、最新のChrome環境でそれらを悪用する手法について、全体像と技術的な詳細を提供する。ブラウザーのバグは「発見が難しい」という一般的な誤解に挑戦し、実際にはいくつかのバグが簡単に発見され、悪用可能であることを示す。講演の締めくくりとして、他の主要ブラウザーにおけるWASM実装に関する今後の研究やエクスプロイトのデモンストレーションを紹介する。