セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

5/27に監訳本『マスタリングGhidra』が発売されます!

『マスタリングGhidra ―基礎から学ぶリバースエンジニアリング完全マニュアル 単行本』(オライリージャパン)が、5月27日発売されます。

www.oreilly.co.jp

発売に先駆けて見本誌をいただきました!

Ghidraとは?

Ghidraとは、NSA(米国国家安全保障局)が開発したリバースエンジニアリングソフトウェアであり、2019年に公開され、デファクトスタンダードのツールであるIDA Proにも機能面で同等の豊富さを持っていることから話題になったツールです。

マスタリングGhidraとは?

本書(原題:The Ghidra Book: The Definitive Guide)は、『The IDA Pro Book』の著者であるChris Eagle氏と、コンピュータサイエンスの教授であるKara Nance氏によってかかれた本で、一言でいえばGhidraの全てが記載されている書籍です。Ghidraを使いこなしたい方、リバースエンジニアリングツールの技術を上げたいという方々にはお勧めの一冊です。

今回、訳者である中島 将太氏、小竹 泰一氏、原 弘明氏のご厚意により監訳として参加させていただき、微力ながら貢献させていただきました(一番頑張ったのは言うまでもなく、翻訳者と編集者の方々です)。

本書のオススメポイント

この記事では、監訳した観点から本書のオススメポイントについて紹介していきます。

  • Ghidraの全てがわかる!
    • 本書の最大の特徴はなんといっても、Ghidraというリバースエンジニアリングツールの全てがわかるという点です。原書・翻訳書共に600ページ越えの内容で、全ての内容が載っている本です。私も監訳するにあたり、こんなことができるんだという新しい発見の数々がありました。
    • Ghidraは、(NSAの内部で利用するために開発されたツールなので当たり前かもしれませんが)無償でありながら商用製品でもおかしくない機能が豊富に実装されていることから、現在各種のリバースエンジニアリング系トレーニングでも、Ghidraが使われるようになりました。IDA Proの良さもありますが、今後デファクトスタンダードとなってくるGhidraを知る上で最も良い著作になるでしょう。特に、リバースエンジニアリングをより深く知りたい学生・専門家の方々にとって非常に良い専門書となると思います。
    • 参考記事:SANS FOR610: Reverse-Engineering Malware – Now, with Ghidra | SANS Institute

  • リバースエンジニアリングの技術も豊富にわかる!
    • リバースエンジニアリング技術も豊富に記載されており、Ghidraでどのように解析するかも書かれています。例えば、難読化されたコードの解析、バイナリに対するパッチング技法など、技術に関する理論的側面、Ghidraでの分析方法などこちらについても豊富に記載されています。翻訳者が前回書かれた「リバースエンジニアリングツールGhidra実践ガイド」と、筆者が翻訳した「初めてのマルウェア解析」と併用していくことでさらに技術力を向上させることができる一冊だと思います。

非常によい書籍なので、ぜひ書店やAmazonで手に取っていただけると嬉しいです!

 

1/27に翻訳本『詳解 インシデントレスポンス』が発売されます!

『脅威インテリジェンスの教科書』に続き、翻訳本『詳解 インシデントレスポンス ―現代のサイバー攻撃に対処するデジタルフォレンジックの基礎から実践まで』(オライリージャパン)が1月27日に発売されます。

www.oreilly.co.jp

本書は、SANS InstituteのインストラクターであるSteve Anson氏の著書『Applied Incident Response』の翻訳本です。インシデント対応への準備から様々なフォレンジック分析技術など、体系的に記載されており、インシデントレスポンス技術をこれから学ぶ方、フォレンジック技術の知識を再確認したい方にもオススメの一冊です。

実際、原書はAmazonでも高い評価を受けています。

www.amazon.com

 

翻訳者としてのオススメポイントの点を紹介していきます。

  • 著者がすごい!!
    • 筆者は、元米国連邦捜査官(FBI)であり、FBIサイバー犯罪タスクフォースや米国国防総省犯罪捜査局で豊富なサイバー事案の捜査経験を持っています。また、FBI Academyや様々な法執行機関に対してフォレンジック技術やサイバー捜査を教えていた経験があります。現在は、その経験を活かしながら、SANS Instituteの認定インストラクターを務め、またForward Defense社の共同設立者としてコンサルティングサービスを提供しています。本書は、こうしたトレーニングやコンサルティングの経験・ノウハウが凝縮されている一冊です。
  • インシデントレスポンスの最新情報が一冊で把握可能!
    • インシデントレスポンスで利用される技術は、(私がフォレンジックに携わった)昔と大きく変わりました。昔は、ディスクフォレンジックがメインでした。一方、現在はリモートトリアージ技術、ネットワークフォレンジック技術、メモリ解析など様々な技術を組み合わせて行うことが一般的であり、またOSが提供する仕組みをうまく活用していく必要があります。
    • 本書では、こうした幅広い最先端の技術・解析手法を紹介してくれ、体系的に学ぶことができます。また、昨今の攻撃手法で最も問題になるActive Directory攻撃に対する調査手法(イベントログの調査手法)、横断的侵害(Lateral Movement)、リモートトリアージやメモリ解析に関する調査手法についても丁寧に書かれています。
    • また、本書で語り切れない応用技術、詳細なコマンドは、様々な参考文献を提供してくれています。また、本書の内容が古くなることも踏まえ、筆者のHPでコマンドのチートシートなどを公開してくれている点も非常に有益だといえるでしょう。
  • その他
    • 本書を読むとわかるのですが、JPCERT/CCのツール、レポートが多数引用されています。日本が、こうしたフォレンジックコミュニティに大きく貢献してることも合わせて理解できます。

著者のHPはこちらです。

www.appliedincidentresponse.com

ほよたか (@takahoyo) さんからもうれしいレビューをいただきました。

 

良い書籍なので、ぜひ書店やAmazonで手に取っていただけると嬉しいです。

1/19に執筆書『脅威インテリジェンスの教科書』が発売されます!

(久しぶりの更新になりますが)あけましておめでとうございます。本年もよろしくお願いします。

既に、多くの方にTwitterでリツイートや「いいね」をいただいたり、予約した、購入した*1と嬉しいご連絡をいただいていますが、1/19に技術評論社様より拙書脅威インテリジェンスの教科書が発売されます。

私が、Twitterを情報収集用として使っており、ほとんど発信用には全く使っていないので、Tweetにはあまり反応できていないのはご容赦ください。ささやかに「いいね」やらリツイートはしています。

gihyo.jp

サイバーセキュリティ分野の中でも、脅威インテリジェンスに興味を持ち、色々研究を続けてきましたが、その研究内容を統合し、一冊にまとめたのが今回の書籍です。また、私にとって初めての執筆書でもあります。詳しい目次などは技術評論社のページにも記載されておりますので、そちらをご覧ください。

このブログでは、宣伝もかねて執筆のコンセプトについて、解説しようと思います。

執筆のコンセプト

執筆のコンセプトとして、以下の3点を目指して、執筆を行いました。

  1. 脅威インテリジェンスについての全体像を把握できること
  2. 脅威インテリジェンスを専門家・組織として運用するためのノウハウを示すこと
  3. キーワードとして登場するが、その詳細が議論されていない脅威インテリジェンスのテーマについて最新理論を整理すること

そのため、本書の構成は以下のようになっています。

  • Part I:理論編
    • 第1章 脅威インテリジェンスの基礎理論
    • 第2章 Tactical Intelligence:戦術インテリジェンス
    • 第3章 Operational Intelligence:運用インテリジェンス
    • 第4章 Strategic Intelligence:戦略インテリジェンス
  • Part II:実務編
    • 第5章 脅威インテリジェンスの実務
    • 第6章 脅威インテリジェンスの共有
    • 第7章 脅威インテリジェンスプログラムの構築
  • Part III:応用編
    • 第8章 Attribution:アトリビューション
    • 第9章 Cyber Counter Intelligence:サイバーカウンターインテリジェンス理論

各パートごとに、その詳細を解説していきましょう。

Part I:理論編

理論編では、第一の目的である「脅威インテリジェンスについての全体像を把握できること」をゴールとしています。

まず第1章では、脅威インテリジェンスの定義、脅威インテリジェンスの必要性、その後利用者と目的に合わせて3つの分類(Tactical、Operational、Strategic)を紹介しています。

その後、第2章~第4章では、それぞれの分類の応用事例を紹介しています。特に、攻撃手法(TTPs)、およびそれを定式したMITRE ATT&CKフレームワークを活用するOperational Intelligence(第3章)は、敵対的エミュレーション(Adversary Emulation)、脅威ハンティング、BAS(Breach & Attack Simulation)など最新の技術・考え方も含め、応用方法をかなり詳細に記載しており、約100ページにわたる解説を行っています。MITRE ATT&CKに関する詳細を記載した書籍はまだ少ないため、どのように活用するか知りたい方にとっては特に有益なパートになると考えています。

Part II:実務編

実務編は、第二の目的である「脅威インテリジェンスを専門家・組織として運用するためのノウハウを示すこと」をゴールに執筆しています。そのため、脅威インテリジェンスを実際に作成、活用するために必要な知識を紹介します。

第5章では、1人の専門家として必要な脅威インテリジェンスを取り扱うスキル(インテリジェンスサイクル、収集技法、分析技法、レポート技法)を紹介しています。それ以外にも、脅威インテリジェンスが持つべきメンタルモデル(マインドセット)、脅威インテリジェンスの分析者が陥るべきではない「インテリジェンスの失敗」などを解説しています。

また、脅威インテリジェンスは、収集したり作成するだけでは価値がなく、誰かに渡して使ってもらうことが重要です。また、一つの組織だけで脅威インテリジェンスを収集・分析するだけでは限界があり、適切な情報連携が必要不可欠です。第6章では、脅威インテリジェンスを共有する方法論について解説を行います。共有に必要な理論、インテリジェンスコミュニティについての事例、共有フォーマットなどを解説しています。

最後に、セキュリティ人材不足が叫ばれる日本では、脅威インテリジェンスを組織的に行うことは難しく、どうしても個人に依存してしまう可能性があると思います。その一方、組織的に脅威インテリジェンスを運用しようと考えた際、組織としてどのような成熟度を持つべきか、どのように脅威インテリジェンスプログラムを構築し、運用するか、第7章にてそのプログラム構築論について解説しています。

Part III:応用編

応用編では、第三の目的である「キーワードとして登場するが、その詳細が議論されていない脅威インテリジェンスのテーマについて最新理論を整理すること」に対応しています。

第8章では、脅威インテリジェンスと切っても切り離せないAttribution(アトリビューション)を解説しています。具体的事例については、脅威インテリジェンスベンダーのレポート、ブログに詳しく掲載されています。しかし、日々新しい事例が出るため、本書で詳しく解説してもすぐに色あせてしまうため、個別具体例の紹介は最小限にとどめています。その代わり、本書ではAttributionを行うためのツール・フレームワークを紹介し、どんなプロセスで、どんな観点で分析しているのか、どんな観点で公開可否を決めるのか、記載しています。具体的には、プロセスモデル(例:4Cモデル)、分析フレームワーク(例:CAM)、脅威分析、Public Attributionといった概念について紹介しています。そのため、こうした理論的背景を抑えた上で、各事例を読むとより深くAttributionに関するレポートが読めると思います。その後、Attributionに対抗するため、攻撃者が使うAnti-Attribution技術を紹介します。その中には、昨今話題になっているDisinformation(偽情報)に関する理論についても、最新の論文等を基に整理しています。

最後に、Anti-Attributioin技術を理解した上で、Anti-Attributionに対抗する技術(Anti-Anti-Attribution)を紹介しています。こうした技術を理解することで、Attributionの重要性とその限界についても理解いただき、更に新しい考え方・方法論も理解しやすくなると考えています。この分野は、研究すればするほど奥が深く、当初の予定よりも多く最終的には約70ページ近くにわたって解説を行っています。

第9章では、まだ定義がそこまで定まっていないサイバーカウンターインテリジェンス論について解説しています。また、定義がそこまで定まっていないActive Defenseに関する理論についてより深く解説をしています。

まとめ

上記のコンセプトで執筆した結果、初稿完了時には約40万字*2程度、最終的には400ページの読み応えのある書籍になりました(執筆開始時は、300ページぐらいを目標としていたため、かなりボリュームも膨れ上がりました)。

筆者としては、本書は脅威インテリジェンスの最新理論を学ぶ上で必要な内容を全て詰め込んだため、最新の動向を学ぶ最適な書籍になっていると思います。

ちなみに、献本させていただいた大角さん(Osumi, Yusuke (@ozuma5119) | Twitter)からも非常に素敵なレビューをいただき、うれしい限りです。ありがとうございます。本書に興味がある方は、ぜひこちらも読んでみてください。

 

現時点で、(Twitterといただいた情報から)既に以下の書店では先行発売されております。*3

  • 丸善 丸の内本店
  • ジュンク堂書店 池袋本店
  • 紀伊國屋書店 新宿本店
  • 書泉ブックタワー(秋葉原)

また、1/19には全国の書店に並ぶと思いますので、ぜひお手に取ってみてください。

*1:一部の書店では先行販売がスタートしています。先行販売書店は本記事の最後をご覧ください。

*2:ツールで原稿を自動カウントしただけなので、参考文献などのURLなども含んでの値

*3:先行販売されることは知っていたのですが、1/19発売なので先行販売なんてもっと後だろうなんて呑気なことを考えていました

MITRE D3FEND Matrix について簡単にまとめてみた!

最近、いくつか新しいフレームワークが登場しており、その概要をまとめました。

D3FEND Matrix

MITRE社より、新しいフレームワーク D3FEND Matrix が登場しました。 

d3fend.mitre.org

MITRE社のフレームワークといえば、MITRE ATT&CK MatrixActive Defense Matrix(MTIRE SHIELD)が有名ですが、D3FEND Matrixは、NSAが研究資金を提供し、MITREが開発したフレームワークです。

www.nsa.gov

このフレームワークでは、一般的な攻撃手法への対抗モデルを提供し、防御手法が攻撃者の攻撃能力にどのように影響するか、記述されています。

f:id:security_consultant:20210624210624p:plain

 ここでは、少し構成を見ていきましょう。

D3FENDフレームワークは、大きく5種類のTacticsで構成され、その下にサブ項目(Sub-Tactics)、そして各Defense Techniquesが紹介されています。この構成は、MITRE ATT&CKともほぼ同様です。

Tactics & Sub-Tactics

それでは、まずDefense Tacticsの外観についてみていきましょう。

Tactics : Harden(ハードニング・堅牢化)

ハードニングとは、コンピュータネットワークを悪用する際、その実現コストを増加させることを意味します。一般的には、システムが稼働する前の予防的活動として位置づけられます。

Application Hardening

アプリケーションの堅牢化

アプリケーションの堅牢化は、実行ファイルに新しい攻撃コードを挿入したり、望ましくない既存コードを実行したりする、一連の攻撃に対する耐性を高める措置。

Application Hardening

クレデンシャルの堅牢化

クレデンシャルの堅牢化は、システム・ネットワーク・ドメインのクレデンシャルを保護するために、システムやネットワークのプロパティを変更する措置。

Message Hardening

メッセージの堅牢化

 電子メール・メッセージングの堅牢化とは、ユーザーからユーザーへのメッセージの機密性と完全性を確保する措置。
Platform Hardening BIOS・TPM・カーネルソフトウェアなどプラットフォームを悪用されづらくする措置。
Tactics : Detect(検知)

検知とは、攻撃グループがコンピュータネットワーク上へ不正アクセスすることを特定する活動を意味します。

File Analysis ファイルの状態に関する分析
Identifier Analysis IPアドレス、URL、ドメインなどの分析
Message Analysis チャット・メールの分析
Network Traffic Analysis ネットワーク通信分析 
Platform Monitoring  OS、ハードウェアなどの監視
Process Analysis 実行中プロセスの監視
User Behavior Analysis ユーザの振る舞い・パターンの分析
Tactics : Isolate(隔離)

隔離とは、システムに論理的・物理的なバリアを設け、攻撃グループがさらなるアクセスを行う機会を減らす対策です。 

Execution Isolation

実行分離

アプリケーションプロセスが、メモリ、デバイス、ファイルなどの不要なシステムリソースへのアクセスを防ぐ技術

Network Isolation

ネットワーク分離

ネットワークホストが必要のないシステムのネットワークリソースにアクセスすることを防ぐ技術
Tactics : Deceive(欺瞞)

欺瞞とは、システムに論理的・物理的なバリアを設け、攻撃グループがさらなるアクセスを行う機会を減らす対策です。 

Decoy Environment

デコイ環境

攻撃者を欺くためのホストやネットワークで構成された環境

例)ハニーポット

Decoy Object

デコイオブジェクト

攻撃者を欺く目的で作成・展開されるオブジェクト

例)デコイのユーザ認証情報

 Tactics : Evict(排除)

排除とは、コンピュータネットワークから敵を排除する対策です。

Credential Eviction

認証情報の変更

コンピュータネットワークから攻撃グループに奪取されたクレデンシャルを削除・無効化すること

 

Process Eviction

プロセスの停止

起動しているプロセスの停止・排除

 

このように、防御側が考慮すべき戦略が体系的に整理され、使いやすい形で整理されています。

Defense Techniques

各Defense Techniquesの構成については、まだ記述がぶれているのが現状ですが、主に以下が書かれています。

  • 定義(Definition)
  • 活用方法(How it works)
  • 考慮事項(Consideration)
  • 実装(Implementation)
  • デジタル・アーティファクト・リレーションシップ(Digital Artifcat Relationship)
  • 関係するATT&CK テクニック(Related ATT&CK Techniques)
  • 参考文献(Reference)

Digital Artifact Ontology & Knowledge Graph

このプロジェクトが面白いポイントとして、DAO(Digital Artifact Ontology)が挙げられます。

デジタルアーティファクト(DO)とは、攻撃側・防御側が興味を持ったオブジェクト*1のことで、ユーザ、プロセス、ファイル、ソフトウェア、ネットワークトラフィックなどが該当します。そして、その関係性を示したのが、DAO(Digital Artifact Ontology)です。

このモデルの取り組みは、各Digital Artifactに対して、攻撃モデル(MITRE ATT&CK)と防御モデル(D3FEND Matrix)のTechniquesの関係性を示そうとしている点です。これについては、まだ発展途上のモデルですが、今後も注目すべきモデルの特徴となるでしょう。

f:id:security_consultant:20210624220004p:plain

MITRE SHIELD

今回紹介したD3FEND Matrixと類似したフレームワークとして、Active Defense Matrix(MTIRE SHIELD)が挙げられます。

shield.mitre.org

D3FEND Matrixはより一般的な防御手法に焦点を当てている一方、Active Defense Matrixはより能動的な防御を意味します。

 過去より度々参照している『The Sliding Scale of Cyber Security』によれば、Active Defenseとは「アナリストがネットワーク内部の脅威を監視し、それに対応し、そこから学び、その知識を応用するプロセス」と定義されています。つまり、内部の脅威を監視・対応するためのプロセスが整理されていることになります。両方のフレームワークを見た限り、現時点での完成度はActive Defense Matrixの方が高いと思いますが、NSAが資金をだして開発したD3FEND Matrixも注目しておくべきでしょう。

Active Deense Matrix(MITRE Shield)については、以下のブログがよく整理されています。

blog.macnica.net

RE&CT

D3FEND Matrixを紹介したついでに、RE&CTフレームワークも紹介しておきましょう。

これは、MITRE ATT&CKにインスパイアされて作成されたフレームワークで、インシデントレスポンスについてまとめたテクニックです。SANS Incident Response 6 Step(事前準備 → 特定 → 封じ込め → 根絶 → 復旧 → 教訓)に沿って説明されています。まだ開発途中のフレームワークですが、インシデントレスポンスの体系を整理する上では有益なフレームワークです。

atc-project.github.io

さらに、ATT&CK® Navigatorと同様に、RE&CT Navigatorも用意されています。

f:id:security_consultant:20210624222946p:plain

 

まとめ

セキュリティの攻撃手法・防御手法を語るうえで、MITRE ATT&CKは欠かせませんが、それに付随するフレームワークも登場しています。こうした情報を活用することで、内部の説明や整理がよりやりやすくなる可能性もある為、必要に応じてご活用ください。

 

Internet Week 2020で講演してきました!!

Internet Week 2020で『C12:脅威インテリジェンスの実践的活用法』というタイトルで講演をしてきましたので、講演資料を公開します。

過去実施した金融ISACの講演をベースとしながら、最近様々研究を進めているBAS(Breach & Attack Simulation)についても解説を行いました。

www2.slideshare.net