はじめに こんにちは。セキュリティエンジニアの田村と千原です。この記事は 2 人で共同執筆しております。 この記事はＦＦＲＩセキュリティに興味はあるものの、大学や専門学校で非情報系の事を学んでいる、もしくは、セキュリティやコンピュータの事前知識をあまり持っていない方向けの記事です。 そのような方の中には、セキュリティの事前知識が無いのに選考に応募してもよいのだろうか、入社したとしてその後の業務について行けるのだろうか、といった疑問を持つ方もいらっしゃるのではないでしょうか。 実は当社には、数学・物理をはじめとした非情報系出身の社員がセキュリティエンジニアとして多く在籍しています。本記事を執筆し…

Summary ＦＦＲＩセキュリティでは、既存のクラウド環境における Observability ツールがほとんど Linux コンテナ向けである事に注目しました。そこで Windows コンテナ向けの Eolh を開発し OSS として GitHub に公開いたしました。 Background クラウドネイティブ時代において、注目を集めている概念が Observability です。 Observability とは、元は 1960 年に Kalman によって提唱された概念であり、制御システムにおいてその出力から内部状態を推定することに関する数学的な性質です[1]。 今日では、Observ…

はじめに 基礎技術研究部の末吉です。 バグを検知するツールにサニタイザー(Sanitizer)というものがあります。 英語で Sanitizer は「消毒剤」という意味で、Hand Sanitizer なら手指消毒剤を意味します。 ここで紹介するサニタイザーは、菌の代わりにバグを消毒してくれます。 サニタイザーは通常、GCC などのコンパイラに付属していて、コンパイル時にアプリケーションにバグの検知・報告機構を計装(instrument)します。 そしてアプリケーションの実行中にバグの発生を検知したらバグの調査に有用な情報を出力してアプリケーションを終了させます。 ここではサニタイザーの中でも…

はじめに 基礎技術研究部リサーチ・エンジニアの加藤です。 2023 年 11 月 8, 9 日の 2 日間に亘って開催された CODE BLUE 2023 に参加しました。 本記事では、私が聴講した講演の中から特に興味を惹かれた「シンボリック実行とテイント解析による WDM ドライバーの脆弱性ハンティングの強化」を紹介します。この講演は発表者の Zeze Lin 氏によってスライドが公開されているため、そちらもご参照ください。 この発表で扱われたツールは "IOCTLance" と呼ばれ、検証に使われたドライバーのデータセットなどと共にソースコードが GitHub で公開されています。本記事で…

はじめに こんにちは。基礎技術研究部の中川です。5 月に、シンガポールのマリーナベイサンズで行われた Black Hat Asia 2023 に登壇してきました。また、11 月に東京で行われた CODE BLUE 2023 にも登壇してきました。色々ありまして発表してからかなり時間が経ってしまいましたが、簡単ながらこの記事で登壇に至るまでの経緯を報告します。 今年の Black Hat と CODE BLUE について まず Black Hat と CODE BLUE について簡単に説明します。 Black Hat は世界トップレベルのサイバーセキュリティの産業系の国際会議で、最新のセキュリテ…

はじめに こんにちは。基礎技術研究部の茂木です。 今年の夏は例年以上に暑かったですね。暑いと言えば、昨年 ChatGPT[1]が OpenAI によって公開されてから AI 周りが熱くなっています。公開当時も凄いと思いましたが、それでもここまで大規模な社会現象になるとは想像できませんでした。 さて、そんな生成 AI*1を含む AI は、様々な領域へ応用が広まっています。そして当然というべきか、(サイバー)セキュリティへの応用も始まっています。 大きな応用事例として、メガクラウドが生成 AI をセキュリティに応用したサービスを展開したことが挙げられます。Google Cloud は、セキュリティ…

はじめに こんにちは。2023 年度新卒入社の前中と髙橋です。 この記事は 2 人で共同執筆しております。 この記事は、「ＦＦＲＩセキュリティへの入社に興味があり、入社後にどういったサポート・トレーニングが受けられるのか、その詳細を知りたい」という現在就職活動中の方に向けて、新人研修を振り返り、幾つかの研修をピックアップして研修の概要とその感想を紹介していきます。 就活生の中には、募集要項の要件「必須条件」に「※セキュリティに関しての事前知識は必要ありません。」と書いてはあるものの、実際のところセキュリティの事前知識なしで大丈夫なのかと不安に思う方もいらっしゃると思います。 私たち 2 人も、…

はじめに 基礎技術研究部リサーチ・エンジニアの加藤です。 例年夏に開催される Black Hat USA が今年も開催されました。本ブログでも毎年注目発表を紹介しており、本記事では近年注目を集めているプライバシーに関連する発表を紹介します。 Black Hat USA 2023 では、Privacy トラックの発表が 4 つありました。この内、2023 年 8 月末時点で発表スライドやホワイトペーパーが公開されている次の 3 つを取り上げます。 Know Thy Enemy: The Taxonomies That Meta Uses to Map the Offensive Privacy …

はじめに セキュリティサービス部セキュリティエンジニアの岡本です。本記事では、Windows のイベントログ解析ツールである Hayabusa について紹介します。 セキュリティインシデントに迅速かつ正確に対応するためには、不正アクセスやマルウェア感染など、攻撃の痕跡を突き止めることが重要となります。 攻撃の痕跡を突き止めるために、メモリやストレージ、ネットワーク通信等の様々なデータを解析しますが、中でも被害端末に残されたイベントログをはじめとした各種ログの解析は攻撃の痕跡を探す上で非常に有効です。 しかし、手動で様々なログを解析し、攻撃の痕跡を見つけ出す作業は非常に困難です。 ログのデータ形…

はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働いていると日常的に会話に出てくるものばかりです。これからセキュリティを学ぼうという方の参考になれば幸いです。なお、記載した情報はすべて執筆時点 (2023 年 7 月) のものです。 はじめに 制度・ガイドライン セキュリティ設定共通化手順 (SCAP) 共通脆弱性識別子 (CVE) 共通脆弱性評価シス…

はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【…

はじめに セキュリティサービス部セキュリティエンジニアの松原です。 昨年、セキュリティ関連の文書をまとめた記事を公開しました。サイバー空間をめぐる脅威の情勢は、毎年目まぐるしく変化しています。 そこで本記事では、最新のセキュリティ動向として 2022 年に、以下の 4 つの政府機関と 12 つのセキュリティ関連団体等が公開した、セキュリティ関連の文書についてまとめました。 政府機関 内閣サイバーセキュリティセンター (NISC) 警察庁 サイバー警察局 デジタル庁 総務省 サイバーセキュリティ統括官 セキュリティ関連団体 NICT サイバーセキュリティ研究室 CRYPTREC JPCERT コ…

はじめに お久しぶりです。セキュリティエンジニアの桑原です。 近年、Go 言語によって作成されたマルウェアが増加しています。 Go 言語の特徴として開発の容易さや任意の環境に向けてビルドを行うクロスコンパイルが可能であるといった点があります。 攻撃者も Go 言語を使用することで、手早く、複数の環境を攻撃できるマルウェアを開発できることが増加要因の 1 つとして挙げられます。 また、以前の記事でも紹介した通り、Go 言語製の実行ファイルは C/C++ 等で作成された実行ファイルとは大きく異なるバイナリ構造をしています。 このため、Go 言語を使用するだけでパターンマッチングによる検出を容易に回…

こんにちは。基礎技術研究部の茂木です。今回は Rust の話をします。 11 月 3 日にリリースされた Rust v1.65.0 では Generic Associated Types(以下、GATs)が入りました。 これにより、Higher Kinded Types のエミュレートが比較的しやすくなります。 そうなると Monad を実装してみたくなるのが人情というものです。 実際いくつも(GATs が Stable になる以前から)先行事例が存在します[1,2,3]。 本記事ではまず[1,2]の手法に従って Monad Transformer を実装しつつ、[3]の手法に切り替えたのち …

はじめに 基礎技術研究部リサーチエンジニアの末吉です。 HTTP リクエストスマグリング(HTTP Request Smuggling: HRS)の CVE 登録数を見ると、最初に発表された 2005 年に大量に登録されて以降は下火傾向で、2018 年までは毎年数件ずつ登録される程度でした*1。 ところが 2019 年から再燃し、今年に至るまで再び大量に登録されだしています。 上記は CVE の登録数だけを見た傾向ですが、実際 HTTP リクエストスマグリングは 2019 年を境に急激に発展し、今年に至るまで毎年様々な新手法が発表され、注目を浴びています。 ただ、その割には日本語で HTTP …

はじめに ＦＦＲＩセキュリティ ソフトウェアエンジニアの松本です。 PlugX というバックドアは非常に古くから存在しており、現在でも利用されています。 今回はその PlugX のローダーの変遷について見ていきます。 PlugXの概要 PlugX は標的型攻撃に利用されている Remote Access Tool(以下 RAT と記載)であり、主に政府機関などを狙う標的型攻撃に利用されるツールです。 機能としては情報収集・窃取、侵入後の PC のコントロールなどがあります。 2012 年には既に TrendMicro の記事[1]があるほど PlugX は古くから存在します。 その一方、ここ数…

はじめに 基礎技術研究部の中川です。 2022/8/6 から 6 日間、ラスベガスで Black Hat USA が開催されました。 今回の記事では今年の Black Hat USA の中から macOS セキュリティに関係する発表 2 件を取り上げ簡単に内容について紹介していきます。 はじめに Process Injection: Breaking All macOS Security Layers With a Single Vulnerability 発表の背景: macOS のセキュリティモデル 発表の内容 本脆弱性の影響・対策 考察 Leveraging the Apple ESF …

はじめに こんにちは。 2022 年度新卒入社の髙松です。 この記事では 2022 年度の新人研修を振り返り、幾つかの研修をピックアップして紹介していきます。 ＦＦＲＩセキュリティでは入社後 4 ヶ月かけて新人研修を実施し、その後 OJT 期間に移行します。 入社式と PC の支給がある 4 月 1 日だけ出社しましたが、その後の研修は、新型コロナウイルス感染症対策のため、すべてリモートで行われました。 対象読者としては、「ＦＦＲＩセキュリティに興味があり、入社後にどういったサポートやトレーニングが受けられるのか、その詳細を知りたい」という現在就職活動中の方を想定しています。 募集要項の要件「…

はじめに こんにちは。基礎技術研究部で日々セキュリティと機械学習をやっている茂木です。 今年も夏に突入し、暑い日々が続いております。と言いたいところですが、もう 9 月の末(執筆時)になってしまいました。 Black Hat USA 2022 が開催されてから少し時間がたってしまいましたね。 少し遅れてしまいましたが、今年も、「Black Hat USA 2022 注目発表 1 ～ 機械学習とサイバーセキュリティの発表紹介」と題し、"AI, ML, & Data Science" トラックの中の発表からいくつか見ていきます。「機械学習とサイバーセキュリティ」としたのは、2 つの観点があるからで…

はじめに 毎々お世話になっております。基礎技術研究部リサーチエンジニアの茂木です。 今回は FFRI Dataset 2022 についてご紹介します。 FFRI Dataset まずは FFRI Dataset についてご説明いたします。といってもこれは毎年書いておりますので、ご存知の方は飛ばしてください。 FFRI Dataset についてご説明するためには、マルウェア対策研究人材育成ワークショップ (MWS) について触れる必要があります。MWS は、研究者コミュニティからマルウェア研究用データ(セット)を MWS Datasets として提供してもらい、活用するワークショップです。 マル…

はじめに ※ 2022/08/01 タイトルを「Mciro Hardening の紹介」から「Micro Hardening 体験記」へと変更して再公開しました ＦＦＲＩセキュリティエンジニアの新宮です。先日 Micro Hardening というセキュリティ系のイベントに参加する機会がありました。 本記事はその体験記です。 Micro Hardening は実践的なインシデント・レスポンスを体験できる参加型のイベントで、経験者・初心者問わず、興味があれば誰でも参加することができます。今回、私も未経験ながらに参加することとなりましたが、勇気を出して飛び込んだ甲斐もあり、学べることは多かったです…

はじめに 前回の記事では、デバッガがいかにコールスタックを構築しているかについて解説しました。 今回は、前回の記事では詳しく取り上げることのできなかった、構造化例外処理に関して解説します。 Windows では、メモリ違反などの例外発生時にユーザーがあらかじめ定義した処理(この処理を例外ハンドラと呼びます) の実行が可能です。 この仕組みの 1 つが構造化例外処理、もしくは Structured Exception Handling(SEH) と呼ばれるものになります。 以降は構造化例外処理のことを SEH と称します。 64bit の SEH の仕組みにおいては 32bit とは異なり脆弱性…

はじめに ＦＦＲＩセキュリティ ソフトウェアエンジニアの小島です。最近まで「Conti」と呼ばれるランサムウェアによる攻撃が活発に行われてきました。幸いなことに、本原稿を書いている 2022 年 5 月に正式に運用が停止されたのですが、それまでは、ランサムウェアの中でもとりわけ猛威を振るってきました。 Conti ランサムウェアは、標的型フィッシングメールに添付されたり、ZLoader などの他のマルウェアによってインストールされることで端末に感染します。感染した端末内のファイルは暗号化され、さらに同一ネットワーク上で共有されているファイルも暗号化されてしまいます。 2021 年には少なくとも…

はじめに この記事を読まれる皆さんは、普段からデバッガーを使っているのではないでしょうか。 デバッガーを用いて関数の呼び出し履歴であるコールスタックを参照することは、ダンプファイルの解析やリバースエンジニアリングに役立ちます。 では、そんなデバッガーのコールスタックの構築方法はご存じでしょうか。 VisualStudio でビルドされた 32bit の Windows 実行ファイル(x86)を確認すると、関数のプロローグで call 直後にスタックのベースポインタ(ebp)を保存、ebp をスタックの先頭に更新という処理が見られます。 このため、32bit の実行ファイルにおいては ebp を…

はじめに ＦＦＲＩセキュリティエンジニアの村上です。昨年から今年にかけて、案件の一環として、オライリー・ジャパン発行の「サイバーセキュリティプログラミング 第2版」(原書タイトルは "Black Hat Python 2nd Edition") の翻訳をする機会がありました。私自身出版物の翻訳に関わるのは初めてであり、とても貴重な経験を積むことができました。本記事では、技術書の翻訳を通じて私が感じたことや、翻訳の作業にまつわる興味深いエピソードなどについて記載します。 経緯 まず、私が技術書の翻訳をすることになった経緯から話を始めます。最初に本案件の話を耳にしたのは昨年の 2 月、原書が発売さ…

はじめに セキュリティエンジニアの桑原です。 プログラミング言語には様々なものがあります。 その中でも近年 Go 言語がシンプルなコードであり並行処理を簡単に書けるという特徴から人気が出ています。 しかしながら、マルウェアの作成者も Go 言語に目をつけはじめました。 その結果、WellMess や TellYouThePass といった Go 言語製のマルウェアが出現しています。 こうした Go 言語製の実行ファイルは C 言語等で作成された実行ファイルと異なる点が多く、それを知らずに解析を始めると戸惑うことがあります。 そこで本ブログでは、Go 言語で解説用に作成した無害な実行ファイルの解…

はじめに こんにちは、基礎技術研究室でリサーチエンジニアをやっている茂木です。 これまでは Terraform を使うことが多かったのですが、最近は Cloud Development Kit (以下 CDK) をよく触っています。 CDK は特に Lambda の取り回しがよく気に入っています。例えば hotswap deployment に対応しましたし、experimental モジュールですが Amazon Lambda Python Library は Poetry に対応しています。研究用途でそこまで安定性が求められないこともあり、こういった機能も積極的に使っています。 さて、そん…

はじめに ＦＦＲＩセキュリティエンジニアの村上です。昨年 10 月 19、20 日に開催された日本発の情報セキュリティの国際会議 CODE BLUE 2021 に参加しました。数多くの興味深い講演の中から、本記事では、オンサイト参加者限定のクローズドセッションであり、さらにＦＦＲＩセキュリティの鵜飼 CEO も登壇した『「けしからん」パネルディスカッション』を紹介します。 codeblue.jp 「けしからん」パネルディスカッション 本セッションは、メディアで「天才プログラマー」としてお馴染みの登大遊さん、ＦＦＲＩセキュリティ CEO の鵜飼、NTT データの新井悠さんによる対談形式で行われま…

はじめに セキュリティサービス部セキュリティエンジニアの一瀬です。今回はセキュリティエンジニアや IT に関連する組織や個人にとっても有益なリンクをご紹介します。 毎年、様々な機関がセキュリティに関連する文書を公開しています。政府機関のガイドラインや基準は、企業のセキュリティ方針を決める上で重要な指針となります。また、米国国立標準技術研究所 (NIST) が発行する文書や、セキュリティ関連組織が公開する調査報告書などは、セキュリティエンジニアだけでなく IT に関連する組織や個人にとっても有益な情報です。私もそういったリンクを参考にすることが多々あります。そこで本記事では、2021 年に、以下…

はじめに システムや機器に対して脅威分析する際、Microsoft Threat Modeling Tool (以降、MTMT) は便利なツールですが、使いにくい面もあります。そこで、本記事では、MTMT のテンプレートをカスタマイズすることによって、そういった使いにくさを改善する方法をお伝えします。 はじめに Microsoft Threat Modeling Tool 概要 基本的な機能 テンプレート機能 MTMT 利用時の困りごととその解決案 【困りごと 1.】脅威が英文で表示される 解決策 例 【困りごと 2.】ステンシルの数が多く、どれを使用すればよいか迷ってしまう 解決策 例 【困…