2024年11月14日・15日に、CODE BLUE 2024 というセキュリティイベントに参加しました。
今までもクラウド関連のセキュリティイベントには参加してきたのですが、CODE BLUE には初参加になります。
CODE BLUE とは
国内外のトップクラスの情報セキュリティ専門家が講演を行い、情報交換・交流の機会となるセキュリティの国際会議です。
研究者や政府関係者、企業のセキュリティ担当者などが、最新のセキュリティ研究やトレンドなどを共有するカンファレンスとなっており、幅広いトピックが取り扱われます。
2013年に始まり、毎年10月〜11月頃に実施されているようで、2024年は第12回として 2024年11月9日(土)〜15日(金)に開催されました。
前半2024年11月9日(土)〜11月13日(水)は各種トレーニングコースが受けられる期間で、後半11月14日(木)〜15日(金)はベルサール高田馬場を会場として、イベントの本セッション (DAY1、DAY2) として各種講演やワークショップが開催されました。
クラウドセキュリティエンジニアからみた CODE BLUE の魅力
私自身は、普段は AWS や Google Cloud などのクラウドを安全に活用・運用するためのセキュリティサービス提案や運用を行っています。
そんなエンジニア視点での CODE BLUE の魅力をいくつかご紹介したいと思います。
クラウド以外の領域のセキュリティトピックについて聞ける
普段触れていない領域のトピックについて聞くことができ、視野が広がり良い経験でした(正直全部は理解できなかったですが、いつかは理解したい!)
例えば以下のような様々なトピックが取り扱われていました。
アプリや OS、ハードウェアなどの脆弱性発見
過去の脆弱性やソースコード、挙動から推測しつつ手動で色々試したり、ツールを活用したりと、対象レイヤから手法まで様々な、脆弱性に関するセッションがありました。
ブラウザに搭載された AI チャットツール、ゲーム機、はたまた鉄道の自動停止装置の脆弱性研究であったり。
Fuzzing の自動化による脆弱性検出の効率化の研究であったり。
普段は新たに発表された脆弱性情報を追ったり対応を検討したりする側ですが、攻撃による脆弱性発覚以外ではこういった方法で数々の脆弱性が発見されているのか と学びがありました。
あとは単純に、知らないトピックの話を聞くのが面白いのと、全然ついていけない話もあり、分からない領域が分かるのは収穫です。
攻撃グループや攻撃トレンドの分析
宿泊予約サイトでのフィッシング調査の経験談も交えたセッション、とある攻撃グループが使う C&Cサーバのドメイン戦略の調査や、選挙におけるソーシャルメディアを使った偽情報の拡散戦略の調査、特定業界における国家レベルの攻撃動向などなど、身近なトピックから国家レベルの話まで多岐にわたる攻撃調査関連のセッションがありました。
日常的に注意するという点でも勿論参考になりますし、攻撃者の動向や視点、攻撃トレンドなどを知ることは、主に守る側としてセキュリティ対策検討やリスクアセスメントをする際にも役立ちます。
クラウドセキュリティの話も聞ける
割合としては少ないながらも、オブジェクトストレージの設定不備以外の脆弱性(高額なクラウドサービス利用料を発生させる EDoS や、メタデータ改ざん)のセッション、クラウドや SaaS におけるセキュリティ課題や対策についてのセッションなどがありました。
クラウドセキュリティ関連のワークショップも開催されていました。
海外のセキュリティ研究者などの話を聞ける
日本開催のイベントですが、おそらく半数かそれ以上が海外からの登壇者です。
参加者でいくと、なんと今年は約30の国や地域からの参加があったそうです。
発表言語は日本語または英語になるのですが、英語で聞きたい場合はそのまま聞くこともできますし、メイントラックのセッション会場では同時通訳も提供されているので日本語で聞くこともできます。
ハンズオンワークショップ
時間などが合わず参加できなかったのですが、CTF 形式やブルーチーム的なハンズオン、インシデント対応の机上訓練、医療機器や自動車のハードウェアのハッキングなど、いくつかのワークショップが開催されていました。
普段は触れていない領域でのハンズオン経験を積んだり、実力を試したりする機会なので、今後参加される方は挑戦してみてはいかがでしょうか?
個人的に面白かったセッションや感想など
Hacking Google - Lessons learned running and growing an internal red team
Google 内部レッドチームを率いる Stefan Friedli 氏によるセッションで、実際に Google 社員に対して行われた攻撃シミュレーションの例から始まり、構築や維持における課題や対策などが紹介されました。
レッドチームは、特定の目的 (重要情報の窃取など) を達成できるかどうかを、攻撃者のように考え、振る舞い、テストします。網羅的なリスク検出をするものではなく、費用も時間もかかるものですが、組織が検知や対応能力を向上するのを助け、リスクへの注意を喚起します。攻撃シミュレーションを行うため、レッドチームには好奇心や創造性が求められます。
レッドチームは他部署と協力できなければ失敗する、シミュレーションではなく実際に攻撃者のように思われてしまう、ということが述べられており、協力する部門としてブルーチーム、プロダクトチームや脅威インテリジェンスチーム、法務部門などが挙げられていました。
セキュリティが向上されることで、レッドチームのタスクはどんどん難しくなってしまうという課題があるのですが、攻撃シミュレーションの成功だけを目的にせず、セキュリティを向上するのがミッションであることを常に思い起こすようにしている とのことでした。
バーンアウト (燃え尽き症候群) は深刻な問題なため、カルチャーを重要視し、休暇を取ることを推奨し、短期の成功よりも持続可能性を重視しているとのことでした。
弊社アイレットは Google Cloud をパートナーとして提供していますが、その提供元である Google におけるレッドチームの活動を知ることができて興味深かったのとともに、持続可能なレッドチームの心得のようなものは他のセキュリティ部署にも通ずるものだなと思いました。
Behind Enemy Lines: Engaging and Disrupting Ransomware Web Panels
Atropos というセキュリティ企業の CTO である Vangelis Stykas 氏によるセッションで、
ランサムウェアグループのウェブサイト (リークサイトなど) やサーバーを特定し調査するというもの。今年の Black Hat でも発表された内容のようです。
リークサイトの調査にあたっては、一般的にセキュリティ調査に使われるようなマルウェア調査ツールやコーヒーやインターネット接続機器の調査サイトや脆弱性診断ツールのほか、コーヒーが必要だったとのことです。
結果、なんとランサムウェアグループのチャットサイトでやりとりを実際に行えてしまったり、脆弱な設定の WordPress や DB にログインできてしまったり、Web シェルを埋め込んだりできてしまったとのこと (攻撃者の環境に逆に攻撃を仕掛けているようなもので、御本人が話されていましたが、色々とグレーな調査ではあります)。
From Snowflake to Snowstorm: Navigating Breaches and Detections
タイトルにある Snowflake というのはデータプラットフォームであり、今年データ窃取が相次いでいたものです。(参考: Mandiant による調査結果ブログ)
攻撃者は、脆弱性を使わずに、MFA の設定されていないインスタンスにログインし、データを窃取し企業を脅迫したりデータを販売したりしていました。
システムの多くがクラウドや SaaS に移行していくのに伴い、クラウドからのデータ漏えいも増えていますが、クラウド環境は境界防御はできません。
といった話から始まり、クラウドセキュリティにおける課題と対策がわかりやすく整理されて提示されました。
① Visibility
例えば AWS の場合、CloudTrail はあるが、それ以外は、責任共有モデルにおいて、ユーザー範囲のログを個別に有効化する必要がある。また、ログは取っていても、必要な内容が入っていないということも起こり得る。
SaaSの場合、ライセンスによってセキュリティログが提供されないケースや、保存期間が限られているケースがある。
② Identity Over Malware (マルウェアよりも Identity が重要)
オンプレではネットワーク境界があったが、クラウドでは境界がない。マルウェアと違ってハッシュでは振る舞い検知できない。
対策としては、まずは MFA を。ベースラインとなる普段の振る舞いと異なる特徴を検知するようにし、Threat Intel によりクレデンシャル漏洩をプロアクティブに検知して無効化などの手を打ち、できれば自動化する。
③ Skillset
全てが Web APIの向こうにあり、クラウドや SaaS にはそれ用の調査スキルが求められる。また、EDR の自動防御のような保護機能は S3 や Lambda にはない。
対策として、トレーニングやハンズオン。また、内部のthreat hunting を継続的に行い、non-workload なリソースのフルモニタリングを行う必要がある。
④ RACI (Responsible / Accountable / Consulted / Informed)
誰がクラウドや SaaS のセキュリティの責任者で、誰がログを有効化するのか、誰がログを使い、調査し、緩和するのか、組織内で、明確な定義をしておく必要がある。
調査に必要な break glass アカウント (緊急アクセス用のアカウント) を用意しておき、机上演習などを行う必要がある。
⑤ False Positives
リモートワークの時代、グローバル化などにより様々な地域からアクセスが行われる。
また、大量のSaaSを利用しているケースも。アクション自体は不正ではないが意図に問題がある、という場合にどう検知するのかという問題がある。
新しいプラットフォーム、新しいリージョンはそう頻繁に起こるものではない、といった点や、フロー分析などを活用する。
脅威インテリジェンスやイベントメタデータ、アクティビティなどを組み合わせた、振る舞い検知エンジニアリングをしていく必要があるとのことでした。
このセッションを受けて実践すべきものとして、まず Visibility の向上 (つまりログの取得と保全)、その次に検知戦略や RACI の明確化やスキルアップ、そして最後にベースラインを作成しての異常検知、と挙げられていました。
Visibility、Identity が重要というのは本当に同意で、ログがないと侵入の有無も被害範囲も分かりませんし、境界のないクラウド環境において強い権限をもつログインユーザーやサービスアカウントは何より保護し監視すべきものと考えています。
International Approaches to Cybersecurity Talent Development and Strategic Initiatives
EU、英国、米国、日本からの4名によるパネルディスカッションであり、イベント最後のセッションでした。
各国のセキュリティ教育の取り組みでは、日本より欧米のほうが様々な取り組みが先行しているようですが、日本でもセキュリティ・キャンプなどの取り組みがあります。
私自身は学生時代は IT にもセキュリティにも携わっていなかったので参加経験がないのですが、こういった場で経験を積んだセキュリティ人材が業界に増えるのは非常に心強いです。
(と、こちらはこちらで自分の専門分野で精進せねば、すぐに AI や学生さんに追い抜かれてしまいそうです)
余談
Black Hat でも発表されているような方の登壇中、ネタスライドが挟まれていても基本的に皆静かに聞いているような感じでしたが、Black Hat などでは笑いに包まれていたりするんでしょうか、そういった雰囲気でも聞いてみたいものです。
おわりに
クラウドのセキュリティエンジニアにも、そうでない方にも是非おすすめしたいイベントでした。
クラウド関連以外のセキュリティイベントに参加する機会は少なかったので、非常に刺激的な経験でした。
今後もこのようなイベントを通じて知見を広げ、クラウドセキュリティの発展やセキュリティサービス改善に活かしたいと思います。
