Japan
サイト内の現在位置
Virtual AttendanceからみたFIRSTカンファレンス
NECセキュリティブログ2022年7月15日
NECセキュリティ技術センターの角丸です。第34回目となる年次FIRSTカンファレンスが、2022年6月26日から7月1日にかけてアイルランドのダブリンで開催されました [1]。3年ぶりに対面での開催でしたが、今回は現地参加ではなくVirtual Attendanceとして日本からリモートで参加しました。本ブログでは、現地参加を思い出しつつリモート参加の視点から今回のFIRSTカンファレンスをお伝えしていきます。
FIRSTでの活動
FIRSTは、101の国と地域から622のCSIRTが参加する世界最大のCSIRT団体です(2022年6月会合時点)。FIRSTの会合の中で最も人が集まるのが年次のカンファレンスで、ここ2年間は Virtual Edition と銘が打たれたフルリモートでのオンライン開催でした。
NECは、2002年にPSIRTを設置して以来、2021年にはCNAとなる[2]などの活動をしてきています。これまでFIRSTのカンファレンスには非メンバーとして参加し、発表なども行ってきましたが、2020年にFIRSTへ加盟しました。
Virtual Attendanceとしての参加
さて、今年の年次FIRSTカンファレンスですが、オンライン開催となる前のフォーマットに戻った一方で、Virtual Attendance という形でリモートから参加する選択肢も残る形となりました。
オープニングでの発表では、現地参加が907人、リモートからは100人を超える人が視聴していたとのことでした。
Virtual Attendance という立場で見たときに気になる点としては、この2点に集約されるのではないかと思います。
- -オンライン上で人と人とが交流するためのプラットフォームは提供されるのか
- -リモートからでは聴講できるセッションとできないセッションがあるのか
昨年は対面での経験を仮想的に実現するバーチャルオフィス機能が提供され、会場を歩き回って他の参加者と話をしたり、Webカメラを使った対話ができるようになっていたりしましたが、今年はこの機能は提供されませんでした。現地における対面での交流をメインに設計されているということが言えるでしょう。
このようなことから、現地参加者とリモート参加者が混ざるハイブリッド形式というよりは、メインはあくまでも現地参加でリモート参加は補助的な意味合いが強かったのではないかと感じています。
FIRSTの年次カンファレンスはコミュニティの面も強く、何かあったときにお互いが助け合える関係を構築するという位置付けが大きいと感じていますので、現地参加に重きを置いている点については共感できるところです。
Virtual Attendanceでできること
Virtual Attendanceは、TLP:WHITE のセッションに対してのみライブ映像と録画の視聴ができるとなっていました。したがって、TLP:RED、TLP:AMBER、TLP:GREENのセッションについてはリモートからは聴講できないということになります。
リモートから参加できるものとできないものを大まかにまとめました。
表1:リモート(Virtual Attendance)から参加できるものとできないもの
リモートから参加できるもの | リモートから参加できないもの |
・セッション(TLP:WHITE) | ・セッション(TLP:RED / TLP:AMBER / TLP:GREEN) ・ワークショップ / Pre-conference Training ・SIG ミーティング / BoF ・ライトニングトーク ・Challenge / CTF(FIRT SecLounge Challenges、AWS Jam Lounge) ・各種ソーシャルイベント |
(参考)トラフィックライトプロトコル(TLP)
トラフィックライトプロトコル(TLP)[3]は、情報共有の促進を目的に作られ、機密情報を確実に適切な組織または人に共有するために使われる一連の標示となっています。情報の受信者に求められる情報共有の境界を示すために4つの色が用いられ、TLPは4色のみで示すとFIRSTによって規定されています。
- -TLP:RED = 公開不可、関係者限定
- -TLP:AMBER = 限定公開、関係者が所属する組織内で共有可能
- -TLP:GREEN = 限定公開、コミュニティ内で共有可能
- -TLP:WHITE = 制限なく共有可能
聴講できるセッションの特徴
今回のプログラムを確認すると、全部で83のセッションが確認できました。このうちTLP:WHITEとなっている68つ、約82%のセッションがVirtual Attendanceとして聴講可能ということになります。
全83のセッションは次の5つのタイプに分かれています。タイプごとのセッション数は次のようになっています。
- -基調講演 :3つ
- -テクニカルセッション :42つ
- -マネジメントセッション:25つ
- -アカデミックセッション:2つ
- -一般セッション :11つ(*未分類2つを含む)
また、各セッションには、上級(Advanced)、中級(Intermediate)、基本(Basic)と3段階でレベル付けされており、参加者がセッションを選びやすいようになっています。
全83のセッションを、5つのタイプごとに聴講できるもの(TLP:WHITE)と聴講できないもの(TLP:RED、TLP:AMBER、TLP:GREEN)に分け、それぞれのレベルも合わせて表にしてみました。また、聴講できないワークショップ、SIGミーティング、ライトニングトークも比較のために合わせて含めています。
表2:聴講できるセッションとできないセッション(全83セッション)の内訳と、他の聴講できないものの内訳
基調講演、アカデミックセッション、一般セッションについてはほぼ聴講することができ、テクニカルセッションとマネジメントセッションにおいて一部聴講できないセッションがあるということになります。
Virtual Attendanceでも8割程度はカバーできるためリモートで参加する意義はあるといえそうですが、現地でしか聞けない深い話も2割程度はあるため、リモート参加と現地参加では聞ける話に差があるということになりそうです。実際に、TLP:REDのセッションや、TLP:AMBERの“RaaS: Ransomware as a Science”や“Use of Public Data, OSINT and Free Tools in National CSIRTs”などは聴講したかったなと感じました。
特定のテーマについて議論するSIGミーティング
Special Interest Group(SIG)は、特定のテーマについて興味ある者同士が集まって意見交換や情報提供を行ったり、目的をもって活動したりするグループです。今回、14つのSIG ミーティングが行われたようでした [4]。
- -IEP SIG Meeting
- -CTI SIG Meeting
- -Vulnerability Coordination SIG & VRDX SIG Meeting
- -ICS SIG Meeting
- -Ethics SIG Meeting
- -WoF SIG Meeting
- -SecLounge SIG Meeting
- -Malware SIG Meeting
- -Cyber Insurance SIG Meeting
- -Academic SIG
- -Metrics SIG Meeting
- -Automation SIG Meeting
- -CVSS SIG Meeting
- -TLP SIG Meeting
リモートからSIGミーティングに参加することはできませんが、聴講可能な一般セッションにてSIGミーティングの総括がSIG Updateとして報告されるため、そこで状況を確認することができました。
一般的に、SIG Meetingは発表の場というよりも議論をして活動の方向性を決めていく場になります。同じ興味を持つもの同士が顔を合わせることが、その後オンラインで継続的に検討していくためには重要になってきます。
次の活動のきっかけとなるBoF
現地で参加しているときも比較的目立たない場所で行われるため、なかなか気づきにくいのですが、その時々でBoFと呼ばれるミーティングが開催されます。
BoFは「Birds of a Feather」の略で、同じような興味を持った人たちが集まり、比較的インフォーマルな形で深く議論するような場になっています。今回は下記のBoFが実施されたようです。
- -FIRST Membership Application Process Overview
- -DDoS and Routing Security BoF
- -Hard to Measure Risk BoF
- -PSIRT-CSIRT Collaboration
- -M3AAWG Abhorrent Takedown Guide Introduction and Feedback
- -Law Enforcement Special Interest Group
- -SIM3 Hands On
- -Implementing SSVC
同じような課題意識を持っている人たちを探したり、どのような課題意識を持っているかを把握したりすることで、このBoFから今後の活動につながっていくことが期待されます。
INTERPOLから法執行に関連する議論をするためのLaw Enforcement SIGの立ち上げの提案があったようです。他にもPSIRTとCSIRTのコラボレーションに関するパネルセッションも気になりました。
セッションの紹介
最後に少しだけセッションの紹介をしたいと思います。
Sighting Ecosystem: A Data-driven Analysis of ATT&CK in the Wild [5]
基本レベルのテクニカルセッションを取り上げてみます。MITREからSightingに関する取り組みの紹介がありました。
Sightingというのは、攻撃者が標的のインフラなどで使用していることが観測されたATT&CKテクニックのことで、実際に見たよということを示すものです。
脅威分析レポートにおいては、新しいことや興味のあることに注目しがちになる新規性バイアスと、生成組織が見えていることに偏る可視性バイアスがあり、Sightingの共有によってそれらのバイアスを軽減することができるということです。
Sightingが成功するかどうかは幅広い組織が協力することにあり、サイバーセキュリティのコミュニティで協力していきましょうと呼び掛けていました。
我々のグループでも、脅威分析レポートを収集・集約・分析して頻繁に使われる攻撃テクニックを提供するようにしていますが [6] [7] [8] 、現地参加していればお互いの活動を紹介したりすぐに議論につなげられたりするのにというのがもどかしく感じたところです。
Reversing Golang Binaries with Ghidra [9]
こちらは中級レベルのテクニカルセッションになります。CUJO AIからGo言語で開発されたマルウェアに対するGhidraを使った解析についての紹介がありました。
Go言語製のマルウェアの数が2017年あたりから徐々に増え始め [10]、現時点において右肩上がりで増えているとのことで、攻撃者側もマルチプラットフォーム対応のしやすさに目を付けIoTマルウェアに使われているということです。
Go言語ならではの解析の難しさを、大きなファイルサイズ、普通と違った文字列処理、stripによりシンボル名がない、という点を挙げて細かく解説していました。
Ghidraはリバースエンジニアリングツールですが、Go言語の解析に用いるスクリプトがまだ十分には揃っていないとのことで、いくつかのスクリプトも合わせて紹介していました。
セッションを聴講することで、CSIRTやPSIRTでの最新の取り組みを比較的手軽に垣間見ることができるという点ではVirtual Attendanceとして参加する意義はあったように感じています。
しかし、冒頭でも触れたように、これまでの経験からFIRSTカンファレンスの意義はコミュニティ形成と言っても過言ではないと思っています。今回Virtual Attendanceとして参加してみることで、セッションを聴講すること以外にも様々な出会いの設計がされていたことを思い出し、リモート参加だけでは物足りなさを痛感しました。対面での交流を図りながら助け合える関係をつくるという意味では現地参加が欠かせないということを改めて実感する機会となりました。
まとめ
本ブログでは、現地参加ではなくVirtual Attendanceとしてリモートで参加した視線から第34回目となる年次FIRSTカンファレンスを紹介しました。リモートからセッションを聴講できる手軽さがある一方で、現地参加の良さを改めて見直すことにつながりました。
来年のフォーマットがどのようになるかはわかりませんが、それぞれ目的にあった参加の仕方を選択されてみてはいかがでしょうか。
参考資料
- [1]
- [2]
- [3]
- [4]
- [5]
- [6]
- [7]
- [8]
- [9]
- [10]
執筆者プロフィール
角丸 貴洋(かくまる たかひろ)
セキュリティ技術センター サイバーインテリジェンスグループ
インテリジェンスグループリード、技術戦略の立案・推進、グローバル連携の推進を担う。CISSP、GIAC(GCTI)を保持。FIRST, SANS THIR Summit, AVARなどで講演。
アイスホッケーをこよなく愛し、理論派指導者としてTTP(徹底的にパクる)をモットーに指導方法の研究に没頭する日々を送る。
執筆者の他の記事を読む
アクセスランキング