読者です 読者をやめる 読者になる 読者になる

第13回北海道情報セキュリティ勉強会 に参加してきました #secpolo

11/10(土)に第13回北海道情報セキュリティ勉強会に参加してきました。
北海道大学札幌キャンパスの人文・社会科学総合教育研究棟(W棟)2階 W201に行って来ました・・・が、
北大構内迷いますね!(札幌駅から、銀杏並木を北12条まで歩いていた)

・「マルウェア解析」株式会社LAC 新井 悠 さん

前後半セッションで、前半は話題のあの事件についての詳細と、
あのソフトの逆コンパイルされたソースの解析。
後半は実際にウィルスを解析する手法について紹介されてました。


前半部分はいま話題の「脅迫メールを遠隔操作で送ったアレ」ですね。
アレの事細かな詳細と逆コンパイルしたソースの解析。
シベリア超特急とかのレス代行とかあることを知りませんでした。
あと、ソースコードを部分部分見た感じ、
事前報告通り、「あんまりプログラム書きなれてないのかなぁ。」という第一印象に。
「遠隔で脅迫メールを送る」機能は充実してたのに対して、
他の機能はデバッグをが不十分でよく落ちるとか、Win7のみの対応とか。
継ぎ接ぎのツールかなぁという印象。
ただ、知識だけは膨大に持ってそうという感じです。


後半部分は解析する手法に関してでした。
「表層解析」(ツールを使用した予備調査)
「動的解析」(VMやオフラインマシンでウィルスの振る舞いを見る)
「静的解析」(デコンパイル
を行うことができ、上から下に行くに連れて、時間がかかり難しい。


これらの「表層解析」を行うのに便利なUbuntuイメージ「REMnux」がある。
これをVirtualBox等から起動できて、様々なマルウェア解析を行うことができる。
JavaScriptが難読化されたソースを読みやすく整形してくれる「jsunpack」や
Office系列に埋め込まれた、怪しいソースを解析してくれる「OfficeMalscanner」。
最近はこいつらの解析をかわすために、XORやROL駆使して作られている場合も。
そんなのを手法の総当りで調べてくれる「xorsearch」などなどのツールが盛りだくさんらしい。


標的型は見た目じゃ絶対判断できない!
というのも、本物のメール本文とほぼ同じ内容で送ってくる。
(もちろんヘッダー偽装も行なってる!)
これらから身を守るのは自己責任なので、添付文書を開く前に是非上記のツール使って解析すべき。
昨今マルウェアは文書(doc、xls、pdf)にくっつけて来るのが6割を超える。
もうexeだけを警戒する時代ではなくなってきている。


・「改正著作権法北海道大学大学院法学研究科 町村 泰貴 先生

これも、話題として旬な「違法DL」を絡めた著作権について。
メモ等取らかったのでTogetterをみて復習しようと思ったらまとまってなかった!
追記:あった→第13回北海道情報セキュリティ勉強会 - Togetter
教訓:自分でメモを取れ。


ってことでうろ覚えで。
最初は写真に写り込んだ絵画に対して著作権違反に当たるか否かの論議。
そこから絡んで違法DL突っ込む。
著作物のDLが有償でも無償でも著作権持ってる人の許可がなければ違反。
ただ、有償のものだと刑事罰まで発展する可能性があり?


最近あるのは動画共有サイトで無料で公開していたものを、商業利用に発展した場合どうなる?
外国で学国の鯖に違法UPされたものをおとしたばあいどっちの国の法にひっかかる?
などなど、興味深い質問が飛び交ってました。・・・が、そんな質問をしてる間に、
うち個人は動画キャッシュがなぜ・・・という疑問に悶々してました。
理解力がおっつかないというのは勉強不足ですね・・・。


という、毎度濃ゆいせきゅぽろさん。
次回も楽しみにしてます。
最後におやつタイムに撮った写真を(