12月のロンドン:日が短く、雨が降りやすい一方で祝祭ムードもあり、年次のBlack Hat Europeカンファレンスに参加するサイバーセキュリティ研究者にとってのメッカでもある。今年で25回目となるこのイベントでは、ハードウェアハッキングから、情報窃取型マルウェア(インフォスティーラー)のログを精査して隠れた「お宝」を探すことまで、あらゆるテーマに触れる約50本のブリーフィングが行われた。
その中でも特に目を引いた3つを紹介する。
旧式の鉄道技術へのなりすまし
スペインの研究者2人は、信号の通知や自動ブレーキのために用いられる、線路上のビーコン(標識子)ベースのアーキテクチャがどのように機能するかについて、2年にわたる調査を詳述した。ビーコン――技術的には「バリス(balises)」――は誘導結合を用い、列車が上を通過する際に情報を車上の受信機へ中継し、受信したデータは運転士用のダッシュボードや他のシステムへ送られる。これらの信号により、運転士が指定された速度しきい値を超えたり赤信号を無視したりした場合などに、列車が自動的に停止することがある。
なぜ旧式の自動列車信号システムを研究するのか。TechFrontiersのセキュリティエンジニア、ガブリエラ・ガルシア氏は、その答えは「エッジインフラだから」であり、しばしば妨害の標的になると述べた。
研究者らは、Amazonの配送箱から切り抜いた段ボールの円を使ったテストセットアップを実演した。その周囲に――多くの試行錯誤の末――十分な量のワイヤを、しかし多すぎないように巻き付け、偽装ビーコンが適切な周波数で信号を送れるようにしたという。
そしてそれは機能した。少なくとも数学的には、ステージ上で実証された。「知識のある攻撃者が信号システムになりすませることを証明した」と、TechFrontiersのセキュリティエンジニアで共同創業者のデビッド・メレンデス氏は語った。
そこに至るまで、研究者らはOSINT(オープンソース・インテリジェンス)を活用した。これはしばしば「徹底的なググり」を意味する言い方でもあり、彼らの場合は、欧州鉄道交通管理システム(ERTMS)の変数値を記した公開文書の発見、ハードウェアの有用な画像、さらには当初の設計や展開に関与していたと思われる人物が書いた、古く比較的無防備なブログ投稿の発掘などが含まれていた。
同様の鉄道信号システムは英国を含む他国にも存在する。英国には、停止と進行の2種類の信号しか提供しない、はるかに古いシステムがある。対照的に、スペインの新しいシステムは欧州で最も複雑だ――それでも彼らはそれを偽装した。
「スペインのオタクはずっと大変。でもスペインのオタクはここにいる」とガルシア氏は言った。
サイバーセキュリティのカルマを見つける
シンガポール拠点のStealthMoleに所属する韓国人研究者、ファン・ドヒョン氏とチェ・ヒョンピョ氏は、ディープウェブやダークウェブ上(Telegramチャンネルを含む)で自由に流通していた情報窃取型マルウェアの、倫理的に入手したログを入手した。
インフォスティーラーは、オンラインサービスや暗号資産ウォレットのアカウント名・パスワード、さらに実行中の全プロセス一覧など、システムから膨大な量のデータを収集する。
ログを精査した研究者らは、インフォスティーラーの被害に遭った地下犯罪者自身を追跡する上での「価値ある手がかり」を見つけた。そうした手がかりには、ログ内に含まれる有名ハッキングフォーラムやサイバー犯罪ツールキットの有効なユーザー名・パスワード、その他の「犯罪行為の指標」が含まれ得る。
研究者らによれば、すでにロマンス詐欺に関与する人物の証拠を見つけたという。これは同じ出会い系サービスに対して多数の異なるアカウントを持っていたことなどに一部基づいている。別のケースでは、マレーシアを拠点に活動する違法な継続的賭博シンジケートの開発者と疑われる人物を特定した。
研究者らは、大規模言語モデルを訓練し、ログ情報の整理・分類・正規化を支援させた。このアプローチは「調査効率を高め、実行可能なインテリジェンスを明らかにする」と付随する研究報告書は述べており、大規模データセットの分析に必要な時間を数日からわずか数分へと短縮したという。
彼らは、この研究がサイバー犯罪捜査の助けになることを期待している。インフォスティーラーのログに含まれるデジタルフットプリントに基づき「潜在的な犯罪者を特定するための実践的アプローチ」を提供するからだ。
macOSマルウェアを問いただす
カンファレンスでは、Macを使えばマルウェアとはほぼ無縁の生活を送れる、という一般的な信念など、サイバーセキュリティのテーマが掘り下げられた。
実際には、Macマルウェアの正確な実態把握は、macOSに焦点を当てた公開研究の乏しさ――特にWindowsやAndroidと比べて――や、macOSバイナリを解析するためにMacハードウェアが必要だったという歴史的事情によって複雑化してきた。攻撃は増加しているようで、情報窃取型マルウェアや暗号資産ウォレットの窃取も含まれる。
「Redditを見ていると、助けを求めて叫んでいる人たちが目に入った」と、ニューヨーク市立大学でサイバーセキュリティの博士号を持つセキュリティエンジニア、オビンナ・イグベ氏は語った。
彼と、Airbnbでインサイダー脅威プログラムを率いるゴッドウィン・アティガ氏は、過去18カ月にわたりMalet(Macマルウェアのデータセット)を構築してきた。彼らによれば、これは現在「これまでで最大の公開macOSマルウェアデータセット」であり、48,870件の悪性バイナリと、22,900件の「高い確度で無害」とされるMach-Oバイナリの詳細から成る。悪性バイナリのうち44,457件は、既存のMac向けアンチウイルス製品では未検出だという。マルウェアには、インフォスティーラーやランサムウェアから、バックドア、キーロガー、ハッキングフレームワーク、スパイウェアまで、あらゆるものが含まれる。
「macOSマルウェアが野に出てから検出されるまでのギャップは、私たちが得た主要な観察結果の一つだ」とアティガ氏は述べた。対策として、防御側はMaletのデータをSIEMツールやデータレイクに取り込み、UUID、TeamID、シンボルハッシュを検索して、マルウェアの兆候となり得るものを探せる。
研究者らは、汎用ハードウェア上で「1分あたり数千のバイナリを処理」するために設計された、新しい高性能かつクロスプラットフォームの静的解析ツールkatalinaを発表した。これにより、Mach-Oバイナリを解析するためにAppleハードウェアを使う必要が、初めてなくなる。
この取り組みは、組織がユーザーをMacマルウェアから守るための新たな戦略を提供する。
santaのようなツール(バイナリのブロックリスト/許可リストを実現するmacOSのオープンソース・セキュリティフレームワーク。いわば「悪い子」か「良い子」か)を使えば、管理者は既知の標的(KeychainのパスワードマネージャーやChromeのCookieなど)へのアクセスを遮断することでマルウェアをブロックするルールを強制できる、とゴッドウィン氏は述べた。このフレームワークは、macOSを狙う一般的な攻撃の抑止にも役立つ。そうした攻撃では、ユーザーにパスワード入力を促す正規のOS要求に見せかけたボックスが表示されるように仕向けられる。ユーザーがこの手口(ClickFix攻撃でよく見られる)に引っかかると、マルウェアの実行が可能になってしまう。
何が「悪い子」で何が「良い子」かを把握し、適切に対応するにはリストが必要だ。そして研究者らのおかげで、サイバーセキュリティコミュニティは今、macOSエコシステム向けのリストを手にした。
