Planet, Sapporo, workshop

第13回北海道情報セキュリティ勉強会に参加しました

Written by irasally on . Leave a comment

11月10日(土)に開催された、第13回北海道情報セキュリティ勉強会(せきゅぽろ)に参加しました。
株式会社LAC 新井悠さん、北海道大学大学院法学研究科 町村 泰貴 先生のお二方からお話を聞きました。どちらも身近なテーマだったので、とても聴きやすく(難しいこともわかりやすく話してくれました)、有意義な時間でした。
場所は今回も北海道大学内。ちょうど銀杏並木がきれいな時期だったので、開始前に見に行きました。良かった。

マルウェア解析(新井さん)

前半は今世間を騒がせている「遠隔操作ウィルス」についてのお話。

  • isys.exeによる遠隔操作の方法について、どのような通信経路を通っているか
  • 遠隔操作ウィルスの感染フロー
  • 実際のソフトのソースコードはどうなっているか
  • 通常の(プロの)ウィルスと違ってここがヘンだよisys.exe

と現場の生の調査結果を教えていただきました。

特に、isys.exeがユーザーの元に入り込んでいく仕組みが図解されていたのが、とてもわかり易かったです。
「なんでこんなにあっさり感染しちゃうんだろう」と思っていたのですが、
ああ、これは普通に気が付かないわ…

コードとしてはとても稚拙なものであるにもかかわらず、社会に対するインパクトが大きかったこの事件。
未知のウィルスとなるので、パターンをもとにしたウィルス検知ではひっかかりませんが、「振る舞い検知(実際にちょっと試してみる)」を行うウィルス検知ソフトだとブロックするものもあるそうです。
実際個人のPCでそこまで高度なアンチウィルスソフトを入れることができるかは難しいところですが、会社組織では1社に統一せず、2社・3社のアンチウィルスソフトを使用しているとこともあるそうです。なるほど。

後半は、標的型マルウェアについて。
最近の標的型メールは「怪しくないメール」から送られてくるそうです。
(怪しいメールは開かない、ではない。敵も、開きやすい怪しくないメールを用意している。文面なども似せている)
そして、マルウェアの種類が従来のものと異なることから「標的型」と判断できるそうです。

  • 従来:botとかwarmとか
  • 標的型:cont(ハックツールの名前, ハックツールのため危険度小となる)

我々が出来る対策としては、どのマシンでも同じid/passを使用しないことが挙げられます。
1つ破られると、ラストダンジョンまでノーパスになりかねないので、面倒臭がらずに変えましょう。

新井さんは、標的型マルウェアの解析をしているのですが

  • OSやアプリのバージョンに強く依存するため、どの環境に対して脅威なのかの判定が難しい(OS*ソフト組み合わせ)
  • たいてい耐解析機能がある、時限装置がついていることもある

など、解析を難しくするポイントが沢山あるそうです。
ただ、何のために解析をするのか、という目的に立ち返ると

  • 対策は何?
  • 痕跡はどこ?
  • 復旧はどうやる?

という点が重要であり、そのための情報は意外と早く手に入るのでまずは復旧や対策の手立てを導き出し、その後詳しく解析していくというプロセスになるそうです。
解析することそのものが目的ではなく、何のために解析をするのかという視点は、普段の自分の仕事でも忘れてはいけないなと思いました。

改正著作権法(町村先生)

平成24年著作権改正の概要について。
こちらもかなりホットな話題ですね。
写り込みについての規定、技術的保護手段の解除についての規定などありますが、今回のメインはやはり違法ダウンロードの罰則化。
違法ダウンロードの罰則化に関する法律は議員立法である、というのは知っていましたが、違法ダウンロードに関する部分だけ、2012年に改正後すぐ施行されている(他の改正はまだ施工されていない)というは知らず(他のも施工されると思っていた)驚きました。

ただ、実際のところ、具体的に考えると難しいケースがたくさんありますね。
(未必の故意の適用?有料版と無料版があるときはどうなる?セールで一時期無料だった場合は?歌ってみた系は?)

とても身近な問題(特に私達の業界は、今の時代は)ということもあり、質疑応答がとても盛り上がりました。
私も一つ、気になっていたことを質問させてもらいました。

  • ブログで「本を読みました!」「CDを聴きました!」という記事を書く時に、自分で撮った本やCDジャケットの写真をブログにアップするのは問題ない行為なのかどうか。

という質問です。
結果的にはグレー…(まあ、あまり訴える著作者さんがいないよね、という感じ)
版元が公開している(使用して問題ないことになっている)画像とかを使うほうが良いようです。

時代にそぐわない部分が多々ありますが、元々は「著作者の活動を守るため」の法律なので、著作活動やその周りの発展を阻害しないような方向にすすんでいってもらいたいです。
(ほんとうに、著作隣接権は早く切り離したほうがいいと思う…)

おやつ

きのとやのケーキ!
cakes!!!!

懇親会はジンギスカン、と楽しい一日でした。(風邪も吹き飛びます)
講師の皆さん、スタッフのみなさま、ありがとうございました!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください