セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

11/29に本『実践 メモリフォレンジック』が発売されます。

11/29に、私が技術監修した本『実践 メモリフォレンジック(オライリージャパン)が発売されます。

www.oreilly.co.jp

手元には、見本誌も届きました。

本書は、Group-IB社のSvetlana Ostrovskaya氏、Oleg Skulkin氏によって書かれた書籍『Practical Memory Forensics: Jumpstart effective forensic analysis of volatile memory』の翻訳本です。過去翻訳した『初めてのマルウェア解析』や『詳解 インシデントレスポンス』などでもメモリフォレンジックについては1章ほど言及されていますが、Windows OSに関する記載が中心であり、メモリフォレンジックを専門とする書籍は、まだ日本にありませんでした。

本書は、Volatility Frameworkを題材にメモリフォレンジックについても丁寧かつ体系的に記載された書籍で、マルウェア解析やフォレンジックについて学びたい方、情報が少ないLinuxやmacOSについても学べる一冊となっています。

今回は技術監修として入らせていただきましたので、オススメポイントを紹介していきます。

オススメポイント:メモリフォレンジックを体系的に学べる

メモリフォレンジック分野としては、2014年に発売された『The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory 』が最も有名な書籍ですが、その後更新されておらず、情報が古くなってしまっているという点がありました(とはいえ、個人的には今でも読む価値がある本だと思います)。本書籍は、最先端の情報が盛り込まれている書籍といえるでしょう。

また、本書の特徴として、メモリの取得・解析プロセスについて、Windowsのみならず、情報が少ないLinuxやmacOSにおけるメモリフォレンジックについても丁寧かつ体系的に解説されています。そのため、メモリフォレンジックという切り口で各OSを体系的に学ぶことが可能です。

以下に目次を示します。

第Ⅰ部 メモリフォレンジックの基礎 
1章 メモリフォレンジックの意義
2章 メモリダンプの取得

第Ⅱ部 Windowsでのメモリフォレンジック
3章 Windowsでのメモリの取得
4章 Windowsでのユーザの挙動の解析
5章 Windowsでのマルウェアの検知と解析
6章 Windowsにおける揮発性メモリの情報源

第Ⅲ部 Linuxでのメモリフォレンジック
7章 Linuxでのメモリの取得
8章 Linuxでのユーザの挙動解析
9章 Linuxでのマルウェアの検知と解析

第Ⅳ部 macOSでのメモリフォレンジック

10章 macOSでのメモリの取得
11章 macOSでのマルウェアの検知と解析

付録 Volatility 3の基本的な使用方法

今回は、Volatility Frameworkの機能を最大限使う観点からVersion 2で解説しています。一方で、将来的にVolatility3が主流になることを踏まえ、北原さんによりVolatility3の利用方法、シンボルの作成方法などについても解説されていますので、その意味でもメモリフォレンジックを学びたいと思う方に最適な書籍です。

既存書籍との位置づけについて

過去にも、DFIR(Digital Forensics & Incident Response)関連の書籍の翻訳をしているので、簡単に過去翻訳した書籍との位置づけを紹介したいと思います。過去に私が翻訳した書籍にも、メモリフォレンジックについて1章ほど言及されています。

両者とも、メモリフォレンジックについて、2点の特徴を踏まえて丁寧に解説されています。

  • マルウェア解析・インシデント対応など各目的を達成する手法に焦点を当てていること
  • Windows OSに特化した記載になっていること

そのため、マルウェア解析やインシデントレスポンスなどにおいて、どのようにメモリフォレンジックが活用されるか学んだ後、さらにメモリフォレンジック技術を体系的に学んだり、情報が少ない他のOS(Linux・macOS)のメモリフォレンジックに応用する手法などを学ぶのに本書は最適な一冊だといえますし、既存の書籍とも補完関係にあるといえる一冊だと思います。

 

私自身も本書の技術監修を通じて、様々な学びがありました。非常に良い書籍なので、ぜひ書店やAmazonで手に取っていただけると嬉しいです!

Global Cybersecurity Camp 2024 Thailandで、講師をします。

セキュリティ・キャンプ事務局よりアナウンスがされていますが、2024年2月19日~24日にタイでGlobal Security Camp 2024が開催されます。

この度、セキュリティ・キャンプ全国大会2023セキュリティ・ミニキャンプ in 石川 2023に続き、Global Security Camp 2024でも『脅威・攻撃手法を読み解こう:脅威インテリジェンスの活用・作成技法』というタイトルで、脅威インテリジェンスの講師をさせていただくことになりました。

Global Security Campとは?

公式ページにもある通り、グローバルセキュリティ人材の育成とコミュニティを形成を目的としたイベントで、セキュリティ・キャンプ全国大会のグローバル版にあたります。

「国籍・人種を超えた専門知識のあるグローバル人材の育成」と「国境を超えた友情とゆるやかなコミュニティの形成」を目的として、セキュリティに興味を持つ、異なる国の若者がともに学び、友好を深める場としてトレーニングキャンプの場を提供します。

開催されるプログラムは以下の通りです。

www.security-camp.or.jp

プログラムをご覧いただければわかる通り、様々な国のセキュリティ専門家から講義を受けられるまたとない機会です。講義内容としては、私が担当する脅威インテリジェンス以外にも、Active Directory、Car Hacking、マルウェア解析、ファジングなど様々な分野について学ぶことができます。

また、日本、タイ、韓国、シンガポール、台湾、マレーシア、ベトナム、オーストラリア、インドネシアといった9か国のセキュリティを志す仲間ともコミュニティ形成できる絶好の機会だといえるでしょう。

応募方法について

応募日程は2023年11月27日が締め切りで、まだ応募は間に合います(この情報はあくまで参考で、公式ページの記載を正としてください)。

とりあえずエントリーしないと始まらないので、興味がある人はとりあえずエントリーしましょう!応募される方の中には、英語での講義ということに不安を覚える方もいるかも思いますが、何とかなるっていう精神でぜひ応募してみてください!

詳しくは以下のエントリーを参照ください(公式ページの情報が正しいです)。

www.security-camp.or.jp

まとめ

正直、各国のセキュリティ専門家から学ぶ機会はめったにないチャンスですので、少しでも興味があれば、まずはエントリーをしてみてください!

オライリー社からご恵贈いただいた2冊についてレビューしました。

先日、オライリー・ジャパン社より、以下の2冊をご恵贈いただいたので、レビューを書いてみようと思います(どちらも、オライリー・ジャパン社のご厚意でいただいた書籍で、一人の読者としてのレビューです)。

1冊目:ポートスキャナ自作ではじめるペネトレーションテスト

1冊目は、『ポートスキャナ自作ではじめるペネトレーションテスト ― Linux環境で学ぶ攻撃者の思考』という書籍で、ステラセキュリティの小竹さんが執筆されています。

www.oreilly.co.jp

章立ては以下の通りです。

具体的には、攻撃者が利用する攻撃手法・ツールを原理も含めて丁寧に解説している書籍です。

1章 攻撃者はいかにしてシステムを攻撃するのか
2章 Scapyでポートスキャナを自作し動作原理を知ろう
3章 デファクトスタンダードのポートスキャナNmap
4章 既知脆弱性を発見できるネットワークスキャナNessus
5章 攻撃コードを簡単に生成できるMetasploit Framework
6章 攻撃者はどのように被害を拡大するか

 

序文にも「そもそも攻撃手法を知らずに防御手法を理解することは難しく、攻撃手法を知らないままではピンとはずれなセキュリティ対策を行ってしまう」と記載されていますが、セキュリティ防御を考えていく上では攻撃手法を正しく理解することが必要不可欠です。

また、攻撃手法を理解する上では、「なぜその攻撃が成立するのか?」を理解するため、背後にある原理・プロトコルの理解を理解する必要があります。また、当該攻撃の影響範囲を理解するため、脆弱性などのバグに起因する問題(短期的)なのか、プロトコルの仕様の問題(長期的)なのか、様々なことを理解する必要があります。逆に、こうした原理を理解することにより、新しい攻撃なども理解しやすくなるでしょう。

本書は、実際にポートスキャナを自作したり、Nessus、Metasploit Frameworkなどのツールを動かしながら、ツールの使い方のみならず原理を学んでいく形式になっています。そのため、ツールの使い方を学んだ後、より一歩技術的に深く学ぶ方法として非常に良い書籍だと思います。そのため、ペネトレーションテストなどRed Team側の人のみならず、Blue Teamの人も防御を検討する上でぜひ読んだ方が良い書籍だと思います。

ちなみに完全余談ですが、書籍に「セキュリティ・キャンプキャラバンin大阪 2014」で学んだ経験について書かれていましたが、私も大学生のころ吉田英二さんがやられていた『情報セキュリティ実践トレーニング 2008 Summer』の奨学受講生として参加させていただき、ポートスキャンなどの原理やパケット構造についてNmapのみならずhping3Nemesisなどを使って学ぶ機会がありますが、こうした原理を理解しながら学ぶことは非常に楽しいのでぜひツールを作りながら、原理を学び、技術的理解度をふやすために本書を読んでみることをお勧めします。

2冊目:入門 モダンLinux

2冊目は、『入門 モダンLinux ― オンプレミスからクラウドまで、幅広い知識を会得する』という書籍です。献本いただいたのは前なのですが、仕事が忙しくなってしまいレビューを記載するのが遅くなってしまいました(レビューを書くことを頼まれているわけではないのですが、個人的にもっと早くやるべきだと感じており、個人的な反省です)

www.oreilly.co.jp


章立ては以下の通りです。

1章 Linuxの入門
2章 Linuxカーネル
3章 シェルとスクリプト
4章 アクセス制御
5章 ファイルシステム
6章 アプリケーション、パッケージ管理、コンテナ
7章 ネットワーク
8章 オブザーバビリティ(可観測性)
9章 高度なトピック

Linuxの基本的仕組みがカバーされており、読みやすい本の印象です。少し記述・説明が少ない項目もありますが、それは適宜専門書などで補う形で読むと良いと思いますし、全体像を把握するためには、分量としてちょうど良いと思います。

個人的にも、私もLinuxをちゃんと勉強したのは学生時代以来なので、新しい知識もアップデートすることができました。そのため、Linux初学者のみならず、Linux経験者も一読の価値があると思います。また、特にセキュリティ専門家でも、攻撃対象OSやフォレンジック対象としてLinuxを扱うケースはあるので、知識の習得・アップデートには有益だと思います。

セキュリティ・キャンプ全国大会2023脅威解析クラスで講師をします。

久しぶりの更新&今更の案内*1で大変恐縮なのですが、この度、セキュリティ・キャンプ全国大会2023の脅威解析クラスにて『脅威・攻撃手法を読み解こう:脅威インテリジェンスの活用・作成技法』という講義を行うことになりました。

www.ipa.go.jp

この記事では、どんな講義を想定しているか、講義内容を紹介します。

セキュリティ・キャンプとは?

セキュリティ・キャンプは、デジタル人材の発掘と育成を目的としたイベントです。セキュリティ業界で活躍しているエンジニア・専門家が講師になり、参加者に講義を行います。無償で、最先端で活躍しているエンジニアの話から直接講義を受けられる絶好の機会です。また、IPA独立行政法人情報処理推進機構)によって主催、経済産業省が共催として入っています。

実は、私もセキュリティキャンプ2007の卒業生で、パケット解析、フォレンジック解析、マルウェア解析などを学びました(当時の「解析コース」)。このイベントは、「セキュリティエンジニアとして働こう」と決めたきっかけになったイベントなので、個人的には非常に思い出深く、また講師をさせていただくことをい非常に楽しみしています。

応募方法・開催される講義について

私が講師を担当させていただく「セキュリティ・キャンプ全国大会2023」は、2023年8月7日(月)〜11日(金)に開催されます。応募・課題提出の日程は以下の通りで、まだ応募は間に合います(この情報はあくまで参考で、公式ページの記載を正としてください)。

とりあえずエントリーしないと始まらないので、興味がある人はとりあえずエントリーしましょう!

  • エントリー締め切り 2023年5月15日(月)
  • 課題回答締め切り 2023年5月22日(月)

詳しくは以下のエントリーを参照ください(公式ページの情報が正しいです)。

www.ipa.go.jp

開催される講義一覧は、講義一覧をご覧ください。私が実施する「脅威解析クラス」は、以下の講義が開催されます。

  • C1・C5『トリアージ技術を活用したバグ・脆弱性情報の分類および解析の自動化』
  • C2『手を動かして理解する Linux Kernel Exploit』
  • C3『脅威・攻撃手法を読み解こう:脅威インテリジェンスの活用・作成技法』
  • C4『ポートスキャナ自作から始めるペネトレーションテスト入門〜Linux環境で学ぶ攻撃者の思考〜 』
  • C6『 Malware Analysis Crash Course for Against the Cyber War』
  • C7『Event Reconstruction in Digital Forensics』

C4『ポートスキャナ自作から始めるペネトレーションテスト入門〜Linux環境で学ぶ攻撃者の思考〜 』を実施する小竹さんも自身の講義について詳細を説明していますので是非参考にしてください。

tech-blog.sterrasec.com

どんな講義をするの?

講義紹介ページでは、『脅威・攻撃手法を読み解こう:脅威インテリジェンスの活用・作成技法』について以下のように記載しています。

高度な攻撃グループが行う攻撃を未然に防いだり、類似した攻撃を受けないようにするためには、攻撃グループや攻撃手法について様々な情報を収集・分析し、予防・検知に役立てる技術「脅威インテリジェンス」が重要となります。また、分析・作成した脅威インテリジェンスを組織内外に共有することにより、早期警戒を促すことも可能です。

一方、攻撃手法の分析といえば、マルウェア解析、脆弱性分析、フォレンジック分析などが思い浮かぶかもしれませんが、ここから得られた情報をどのように予防・検知に役立てていくべきでしょうか?本講義では、マルウェア解析・フォレンジック分析などで判明した情報を前提として、MITRE ATT&CKフレームワークなどを活用し、攻撃グループが利用した攻撃手法を分析し、攻撃者の攻撃プロセスを理解するとともに、予防・検知に役立つIOC(Indicator of Compromise)の作成技法、脅威ハンティング(Threat Hunting)や侵入テストへの応用、対策手法の検討などについて取り組みます。

解析コースを選択された方は、マルウェア解析、フォレンジック分析など様々な分析技術を学びます。一方、このコースでは、マルウェア解析・フォレンジック分析などで得られた技術、あるいは外部情報(Open Source Intelligence)で得られた情報をもとに、得られた情報をMITRE ATT&CKフレームワークで体系的に分析し、検知・脅威ハンティング、侵入テストに活用する方法について学べる講義を想定しています。

そのため、分析技術をどのように防御に役立てていくか、解析技術をどのように応用していくか、学べる講義にしたいと思います。

まとめ

少しでも興味があれば、まずはエントリーをしてみてください!(もちろん、解析コース以外にも色々なコースが用意されていますので、そちらもぜひ確認してください)。

2007年に参加した時は、私はセキュリティについてほとんど知らない素人でした。その時に、WireShark*2、Sleuth Kit & Autopsy、IDA Proなどを使った解析技術を学び、「こんな楽しい世界もあるのか?」と知ったきっかけでもあり、セキュリティエンジニアとして働くことを決めたきっかけにもなりました。

セキュリティについて集中して学ぶことができるまたとない機会なので、応募お待ちしております!

*1:4月が仕事関連がかなりバタバタしており、ブログ記事を書く時間が全く取れずぎりぎりの案内となってしまいました。でも、今からでも応募は間に合うのでぜひ読んでください。

*2:当時は、確かEtherealだった気がしますが...

3/27に翻訳本『ハッキングAPI』が発売されます。

久しぶりの更新ですが、3/27に翻訳本『ハッキングAPI ―Web APIを攻撃から守るためのテスト技法』(オライリージャパン)が発売されます。

www.oreilly.co.jp

手元には、見本誌も届きました。


本書は、Corey Ball氏の著作である『Hacking APIs: Breaking Web Application Programming Interfaces』の翻訳本です。Webアプリケーションのセキュリティテスト技法に関する本は良書*1*2*3は複数存在しましたが、Web APIに関するセキュリティテスト技法についての著作はまだありませんでした。

本書は、OWASP API Security Top 10などに基づき、体系的にAPIセキュリティテスト技法を紹介しており、脆弱性診断やペネトレーションテスト技術についてこれから学ぶ方、知識をアップデートしたい方にもオススメの一冊です。

また、技術監修として、北原さん、洲崎さんに入ってもらい、最新の状況にアップデートされていますので、最新の情報を学ぶことが可能です。

翻訳者としてのオススメポイントの点を紹介していきます。

オススメその1:APIセキュリティを体系的に学ぶことができる

APIセキュリティに限りませんが、脆弱性診断やペネトレーションテスト技術を学ぶ上では、対象となる技術を正確に理解し、ツールの使い方、実際の脆弱性の検出手法をハンズオンで学ぶ必要があります。

本書は、初学者を強く意識して執筆された書籍です。

  • 第0章~2章で、Web APIの前提となるWebアプリケーションの仕組み、Web APIの仕組みをわかりやすく解説しています。具体的には、API認証の仕組み、APIの仕様などが丁寧に解説されています。
  • 第3章では、実際のWeb APIに関する脆弱性の概要を説明し、これから学ぶ脆弱性の全体像を学ぶことができます。
  • 第4章~5章では、実際に利用するBurp SuiteやPostman、wfuzzといったツールの解説と、実際に脆弱性を試すことができる各種脆弱なラボ環境(crAPI、Owasp Juice Shop、DVGA)などを紹介していきます。
  • そして、実際に各脆弱性を紹介する6章以降では、各脆弱性の原理や検出方法を解説しつつ、最後にはラボを用意しており、実際に各章で学んだ技術を実際に試すことが可能です。演習を通じて、JWTに対する攻撃手法やファジングなど、様々な技術・テストアプローチを学ぶことができます。また、WAFの回避技術やレート制限の回避技術、GraphQLに対するテスト技法など、まだ日本では情報が少ない攻撃手法についても解説されており、GraphQLへの攻撃を学ぶ観点でも良い書籍でしょう。

そのため、本書は、伴奏型学習(言い換えれば、まるでインストラクターが横にいる感覚)で、Web APIに対するセキュリティテスト技法を学ぶことができる一冊です。そのため、Web系の脆弱性診断に興味がある初学者のみならず、自分の開発したAPIにテストするなど、開発者にとっても非常に有益でしょう。

また、訳者(私)が10年近くWebアプリケーションの脆弱性診断、ペネトレーションテストに従事してきた経験を踏まえ、実務を踏まえた最新情報・補足情報の紹介しています。また、技術監修の北原さん、洲崎さんによりラボ環境は検証いただき、最新の状況にアップデートされていますので、最新の環境で学ぶことが可能です。

オススメその2:著者について

著者であるCorey Ball氏(@hAPI_hacker)は、Moss Adams*4のサイバーセキュリティコンサルティングサービス部門でシニアマネージャーをしています。Corey Ball氏は、API Securityの普及に多くの貢献をしている人物です。

具体的には、APIsec Universityというオンラインコースを開講しており、無償で受けることができます。本書を読んだ後、さらにこうしたコースを通じてスキルを磨くことも可能ですし、(著者が同じこともあり)本書とも整合していますので、(英語ではありますが)更なる学習もしやすい環境が整っています。本書で学んだあとにさらに学びたい場合、APISec Universityを利用して学ぶこともできるでしょう。

www.apisecuniversity.com

また、原書の評判も非常によく、Amazonのレビューはもちろんのこと、米国のサイバーセキュリティ研究教育機関であるSANS Institute が主催するSANS Difference Makers Awardsにおいて、Book of the Yearも取得しています。

www.sans.org

非常に良い書籍なので、ぜひ書店やAmazonで手に取っていただけると嬉しいです!