久しぶりの更新＆今更の案内*1で大変恐縮なのですが、この度、セキュリティ・キャンプ全国大会2023の脅威解析クラスにて『脅威・攻撃手法を読み解こう：脅威インテリジェンスの活用・作成技法』という講義を行うことになりました。

www.ipa.go.jp

この記事では、どんな講義を想定しているか、講義内容を紹介します。

セキュリティ・キャンプとは？

セキュリティ・キャンプは、デジタル人材の発掘と育成を目的としたイベントです。セキュリティ業界で活躍しているエンジニア・専門家が講師になり、参加者に講義を行います。無償で、最先端で活躍しているエンジニアの話から直接講義を受けられる絶好の機会です。また、IPA（独立行政法人情報処理推進機構）によって主催、経済産業省が共催として入っています。

実は、私もセキュリティキャンプ2007の卒業生で、パケット解析、フォレンジック解析、マルウェア解析などを学びました（当時の「解析コース」）。このイベントは、「セキュリティエンジニアとして働こう」と決めたきっかけになったイベントなので、個人的には非常に思い出深く、また講師をさせていただくことをい非常に楽しみしています。

応募方法・開催される講義について

私が講師を担当させていただく「セキュリティ・キャンプ全国大会2023」は、2023年8月7日（月）〜11日（金）に開催されます。応募・課題提出の日程は以下の通りで、まだ応募は間に合います（この情報はあくまで参考で、公式ページの記載を正としてください）。

とりあえずエントリーしないと始まらないので、興味がある人はとりあえずエントリーしましょう！

• エントリー締め切り　2023年5月15日（月）
• 課題回答締め切り　2023年5月22日（月）

詳しくは以下のエントリーを参照ください（公式ページの情報が正しいです）。

www.ipa.go.jp

開催される講義一覧は、講義一覧をご覧ください。私が実施する「脅威解析クラス」は、以下の講義が開催されます。

• C1・C5『トリアージ技術を活用したバグ・脆弱性情報の分類および解析の自動化』
• C2『手を動かして理解する Linux Kernel Exploit』
• C3『脅威・攻撃手法を読み解こう：脅威インテリジェンスの活用・作成技法』
• C4『ポートスキャナ自作から始めるペネトレーションテスト入門〜Linux環境で学ぶ攻撃者の思考〜 』
• C6『 Malware Analysis Crash Course for Against the Cyber War』
• C7『Event Reconstruction in Digital Forensics』

C4『ポートスキャナ自作から始めるペネトレーションテスト入門〜Linux環境で学ぶ攻撃者の思考〜 』を実施する小竹さんも自身の講義について詳細を説明していますので是非参考にしてください。

tech-blog.sterrasec.com

どんな講義をするの？

講義紹介ページでは、『脅威・攻撃手法を読み解こう：脅威インテリジェンスの活用・作成技法』について以下のように記載しています。

高度な攻撃グループが行う攻撃を未然に防いだり、類似した攻撃を受けないようにするためには、攻撃グループや攻撃手法について様々な情報を収集・分析し、予防・検知に役立てる技術「脅威インテリジェンス」が重要となります。また、分析・作成した脅威インテリジェンスを組織内外に共有することにより、早期警戒を促すことも可能です。

一方、攻撃手法の分析といえば、マルウェア解析、脆弱性分析、フォレンジック分析などが思い浮かぶかもしれませんが、ここから得られた情報をどのように予防・検知に役立てていくべきでしょうか？本講義では、マルウェア解析・フォレンジック分析などで判明した情報を前提として、MITRE ATT&CKフレームワークなどを活用し、攻撃グループが利用した攻撃手法を分析し、攻撃者の攻撃プロセスを理解するとともに、予防・検知に役立つIOC（Indicator of Compromise）の作成技法、脅威ハンティング（Threat Hunting）や侵入テストへの応用、対策手法の検討などについて取り組みます。

解析コースを選択された方は、マルウェア解析、フォレンジック分析など様々な分析技術を学びます。一方、このコースでは、マルウェア解析・フォレンジック分析などで得られた技術、あるいは外部情報（Open Source Intelligence）で得られた情報をもとに、得られた情報をMITRE ATT&CKフレームワークで体系的に分析し、検知・脅威ハンティング、侵入テストに活用する方法について学べる講義を想定しています。

そのため、分析技術をどのように防御に役立てていくか、解析技術をどのように応用していくか、学べる講義にしたいと思います。

まとめ

少しでも興味があれば、まずはエントリーをしてみてください！（もちろん、解析コース以外にも色々なコースが用意されていますので、そちらもぜひ確認してください）。

2007年に参加した時は、私はセキュリティについてほとんど知らない素人でした。その時に、WireShark*2、Sleuth Kit & Autopsy、IDA Proなどを使った解析技術を学び、「こんな楽しい世界もあるのか？」と知ったきっかけでもあり、セキュリティエンジニアとして働くことを決めたきっかけにもなりました。

セキュリティについて集中して学ぶことができるまたとない機会なので、応募お待ちしております！

『マスタリングGhidra ―基礎から学ぶリバースエンジニアリング完全マニュアル 単行本』（オライリージャパン）が、５月２７日発売されます。

www.oreilly.co.jp

発売に先駆けて見本誌をいただきました！

Ghidraとは？

Ghidraとは、NSA（米国国家安全保障局）が開発したリバースエンジニアリングソフトウェアであり、2019年に公開され、デファクトスタンダードのツールであるIDA Proにも機能面で同等の豊富さを持っていることから話題になったツールです。

マスタリングGhidraとは？

本書（原題：The Ghidra Book: The Definitive Guide）は、『The IDA Pro Book』の著者であるChris Eagle氏と、コンピュータサイエンスの教授であるKara Nance氏によってかかれた本で、一言でいえばGhidraの全てが記載されている書籍です。Ghidraを使いこなしたい方、リバースエンジニアリングツールの技術を上げたいという方々にはお勧めの一冊です。

今回、訳者である中島 将太氏、小竹 泰一氏、原 弘明氏のご厚意により監訳として参加させていただき、微力ながら貢献させていただきました（一番頑張ったのは言うまでもなく、翻訳者と編集者の方々です）。

本書のオススメポイント

この記事では、監訳した観点から本書のオススメポイントについて紹介していきます。

• Ghidraの全てがわかる！
  • 本書の最大の特徴はなんといっても、Ghidraというリバースエンジニアリングツールの全てがわかるという点です。原書・翻訳書共に６００ページ越えの内容で、全ての内容が載っている本です。私も監訳するにあたり、こんなことができるんだという新しい発見の数々がありました。
  • Ghidraは、（NSAの内部で利用するために開発されたツールなので当たり前かもしれませんが）無償でありながら商用製品でもおかしくない機能が豊富に実装されていることから、現在各種のリバースエンジニアリング系トレーニングでも、Ghidraが使われるようになりました。IDA Proの良さもありますが、今後デファクトスタンダードとなってくるGhidraを知る上で最も良い著作になるでしょう。特に、リバースエンジニアリングをより深く知りたい学生・専門家の方々にとって非常に良い専門書となると思います。

  • 参考記事：SANS FOR610: Reverse-Engineering Malware – Now, with Ghidra | SANS Institute

• リバースエンジニアリングの技術も豊富にわかる！
  • リバースエンジニアリング技術も豊富に記載されており、Ghidraでどのように解析するかも書かれています。例えば、難読化されたコードの解析、バイナリに対するパッチング技法など、技術に関する理論的側面、Ghidraでの分析方法などこちらについても豊富に記載されています。翻訳者が前回書かれた「リバースエンジニアリングツールGhidra実践ガイド」と、筆者が翻訳した「初めてのマルウェア解析」と併用していくことでさらに技術力を向上させることができる一冊だと思います。

非常によい書籍なので、ぜひ書店やAmazonで手に取っていただけると嬉しいです！

（久しぶりの更新になりますが）あけましておめでとうございます。本年もよろしくお願いします。

既に、多くの方にTwitterでリツイートや「いいね」をいただいたり、予約した、購入した*1と嬉しいご連絡をいただいていますが、1/19に技術評論社様より拙書『脅威インテリジェンスの教科書』が発売されます。

私が、Twitterを情報収集用として使っており、ほとんど発信用には全く使っていないので、Tweetにはあまり反応できていないのはご容赦ください。ささやかに「いいね」やらリツイートはしています。

gihyo.jp

【新刊】2022年1月19日発売『脅威インテリジェンスの教科書』本体3,600円＋税、石川朝久　著　脅威インテリジェンスを理論と実務の両面から解説！ https://t.co/UiFMzUE7Q1 pic.twitter.com/o4DakDq6Xa

— 技術評論社販売促進部 (@gihyo_hansoku) 2021年12月28日

サイバーセキュリティ分野の中でも、脅威インテリジェンスに興味を持ち、色々研究を続けてきましたが、その研究内容を統合し、一冊にまとめたのが今回の書籍です。また、私にとって初めての執筆書でもあります。詳しい目次などは技術評論社のページにも記載されておりますので、そちらをご覧ください。

このブログでは、宣伝もかねて執筆のコンセプトについて、解説しようと思います。

執筆のコンセプト

執筆のコンセプトとして、以下の３点を目指して、執筆を行いました。

1. 脅威インテリジェンスについての全体像を把握できること
2. 脅威インテリジェンスを専門家・組織として運用するためのノウハウを示すこと
3. キーワードとして登場するが、その詳細が議論されていない脅威インテリジェンスのテーマについて最新理論を整理すること

そのため、本書の構成は以下のようになっています。

• Part I：理論編
  • 第1章　脅威インテリジェンスの基礎理論
  • 第2章　Tactical Intelligence：戦術インテリジェンス
  • 第3章　Operational Intelligence：運用インテリジェンス
  • 第4章　Strategic Intelligence：戦略インテリジェンス
• Part II：実務編
  • 第5章　脅威インテリジェンスの実務
  • 第6章　脅威インテリジェンスの共有
  • 第7章　脅威インテリジェンスプログラムの構築
• Part III：応用編
  • 第8章　Attribution：アトリビューション
  • 第9章　Cyber Counter Intelligence：サイバーカウンターインテリジェンス理論

各パートごとに、その詳細を解説していきましょう。

Part I：理論編

理論編では、第一の目的である「脅威インテリジェンスについての全体像を把握できること」をゴールとしています。

まず第１章では、脅威インテリジェンスの定義、脅威インテリジェンスの必要性、その後利用者と目的に合わせて３つの分類（Tactical、Operational、Strategic）を紹介しています。

その後、第２章～第４章では、それぞれの分類の応用事例を紹介しています。特に、攻撃手法（TTPs）、およびそれを定式したMITRE ATT&CKフレームワークを活用するOperational Intelligence（第３章）は、敵対的エミュレーション（Adversary Emulation）、脅威ハンティング、BAS（Breach & Attack Simulation）など最新の技術・考え方も含め、応用方法をかなり詳細に記載しており、約100ページにわたる解説を行っています。MITRE ATT&CKに関する詳細を記載した書籍はまだ少ないため、どのように活用するか知りたい方にとっては特に有益なパートになると考えています。

Part II：実務編

実務編は、第二の目的である「脅威インテリジェンスを専門家・組織として運用するためのノウハウを示すこと」をゴールに執筆しています。そのため、脅威インテリジェンスを実際に作成、活用するために必要な知識を紹介します。

第5章では、1人の専門家として必要な脅威インテリジェンスを取り扱うスキル（インテリジェンスサイクル、収集技法、分析技法、レポート技法）を紹介しています。それ以外にも、脅威インテリジェンスが持つべきメンタルモデル（マインドセット）、脅威インテリジェンスの分析者が陥るべきではない「インテリジェンスの失敗」などを解説しています。

また、脅威インテリジェンスは、収集したり作成するだけでは価値がなく、誰かに渡して使ってもらうことが重要です。また、一つの組織だけで脅威インテリジェンスを収集・分析するだけでは限界があり、適切な情報連携が必要不可欠です。第６章では、脅威インテリジェンスを共有する方法論について解説を行います。共有に必要な理論、インテリジェンスコミュニティについての事例、共有フォーマットなどを解説しています。

最後に、セキュリティ人材不足が叫ばれる日本では、脅威インテリジェンスを組織的に行うことは難しく、どうしても個人に依存してしまう可能性があると思います。その一方、組織的に脅威インテリジェンスを運用しようと考えた際、組織としてどのような成熟度を持つべきか、どのように脅威インテリジェンスプログラムを構築し、運用するか、第７章にてそのプログラム構築論について解説しています。

Part III：応用編

応用編では、第三の目的である「キーワードとして登場するが、その詳細が議論されていない脅威インテリジェンスのテーマについて最新理論を整理すること」に対応しています。

第８章では、脅威インテリジェンスと切っても切り離せないAttribution（アトリビューション）を解説しています。具体的事例については、脅威インテリジェンスベンダーのレポート、ブログに詳しく掲載されています。しかし、日々新しい事例が出るため、本書で詳しく解説してもすぐに色あせてしまうため、個別具体例の紹介は最小限にとどめています。その代わり、本書ではAttributionを行うためのツール・フレームワークを紹介し、どんなプロセスで、どんな観点で分析しているのか、どんな観点で公開可否を決めるのか、記載しています。具体的には、プロセスモデル（例：4Cモデル）、分析フレームワーク（例：CAM）、脅威分析、Public Attributionといった概念について紹介しています。そのため、こうした理論的背景を抑えた上で、各事例を読むとより深くAttributionに関するレポートが読めると思います。その後、Attributionに対抗するため、攻撃者が使うAnti-Attribution技術を紹介します。その中には、昨今話題になっているDisinformation（偽情報）に関する理論についても、最新の論文等を基に整理しています。

最後に、Anti-Attributioin技術を理解した上で、Anti-Attributionに対抗する技術（Anti-Anti-Attribution）を紹介しています。こうした技術を理解することで、Attributionの重要性とその限界についても理解いただき、更に新しい考え方・方法論も理解しやすくなると考えています。この分野は、研究すればするほど奥が深く、当初の予定よりも多く最終的には約70ページ近くにわたって解説を行っています。

第９章では、まだ定義がそこまで定まっていないサイバーカウンターインテリジェンス論について解説しています。また、定義がそこまで定まっていないActive Defenseに関する理論についてより深く解説をしています。

まとめ

上記のコンセプトで執筆した結果、初稿完了時には約40万字*2程度、最終的には400ページの読み応えのある書籍になりました（執筆開始時は、300ページぐらいを目標としていたため、かなりボリュームも膨れ上がりました）。

筆者としては、本書は脅威インテリジェンスの最新理論を学ぶ上で必要な内容を全て詰め込んだため、最新の動向を学ぶ最適な書籍になっていると思います。

ちなみに、献本させていただいた大角さん（Osumi, Yusuke (@ozuma5119) | Twitter）からも非常に素敵なレビューをいただき、うれしい限りです。ありがとうございます。本書に興味がある方は、ぜひこちらも読んでみてください。

献本頂きましたが、とても素晴らしい本だったのでnoteに書きました。「買い」一択。

「脅威インテリジェンスの教科書」石川朝久/著が素晴らしかったのでベタ褒めする #note https://t.co/haxX6kpidt @rung @00001B1A @kanata201612 @ipusiron @daem0nc0re #security

— Osumi, Yusuke (@ozuma5119) 2022年1月10日

現時点で、（Twitterといただいた情報から）既に以下の書店では先行発売されております。*3。

• 丸善 丸の内本店
• ジュンク堂書店 池袋本店
• 紀伊國屋書店 新宿本店
• 書泉ブックタワー（秋葉原）

また、1/19には全国の書店に並ぶと思いますので、ぜひお手に取ってみてください。

脅威インテリジェンスの教科書

• 作者:石川 朝久
• 技術評論社

Amazon