RSA CONFERENCE 2023レポート

　今年も参加しましたRSA Conference。今年のテーマは「Stronger Together」。セキュリティもチームとして推進していかないといけない、ということでしょうか。CISSPの教本も、以前はテクノロジー軸で整理されていたものが、数年前から機能軸になり、CISSPがセキュリティチームのリーダーであったときに、どのように人材を配置するかイメージできるようになりました。

実は去年も参加したのですが、ブログを書く時間がとれませんでした。今年はRSA Conferenceの後がゴールデンウィークということで、どうにかブログをまとめる時間を確保しました。RSA Conferenceに参加したのは1997, 1998, 1999, 2000, 2001, 2002, 2003, 2012, 2013, 2014, 2015, 2016, 2017, 2018, 2019, 2020, 2022, 2023年なので、18回目ですね。

期間は4月24日(月)～27日(木)の4日間。場所はいつものSan Francisco Moscone Centerです。33のキーノートスピーチ、313のセッションが行われ、Expo会場には600以上の会社がブースを開きました。

ということで、Openingです。なぜかビートルズのAll you need is love。盛り上がってたんですかね、これ。

その後のキーノートスピーチも、だいたいChatGPTに触れ、AIがサイバーセキュリティのランドスケープを変えるよ、といった話と、セキュリティソリューションは統合させないといけない、といった感じで、まぁそうだよね、という感じでした。

The Cryptographers’ Panel

Dr. Whitfield Diffie, ForMemRS / Honorary Fellow, Gonville and Caius College, Cambridge

Clifford Cocks / Former Chief Mathematician, Independent Consultant

Anne Dames / Distinguished Engineer, IBM Infrastructure

Radia Perlman / Fellow, Dell Technologies

Adi Shamir / Borman Professor of Computer Science, The Weizmann Institute, Israel

https://www.rsaconference.com/usa/agenda/session/The%20Cryptographers%20Panel

• 量子コンピュータは、それほど影響は無いはずだけど、一方でNSAは量子コンピュータに耐えられる暗号を募集している。いずれにせよ、公開鍵暗号は50年も持つもんじゃないから、新しい暗号は必要になる。現在の候補は同じような原理に基づいているので、他の原理を使ったものもあった方がいい。

• Snowdenが漏洩させた情報は国をゆるがす、と言っていたけど、それほど大変なことにはなっていない。まあ、低レベルのエンジニアに無制限のアクセス権を与えてはいけない、という教訓に過ぎない。

• AIは、攻撃側よりむしろ防御側に有益に作用するはずだ。怪しいイベントを検出したりする際に有効に機能する。

Unveiling The Truth – A Case Study on Zero Trust for Consumers

Shinesa Cambric / Principal Product Manager, Microsoft

https://www.rsaconference.com/usa/agenda/session/Unveiling%20The%20Truth%20%20A%20Case%20Study%20on%20Zero%20Trust%20for%20Consumers

• Account Fraud/Abuse(アカウント不正)の話。

• Azureアカウントとかの不正アクセスをどうやって検出するか、といった話なんだけど、やっぱり不正アクセスを検出するためには、そのサービスを深く理解することが必要だ、ということを再認識したセッションだった。

• つまり、Microsoftだけでは対策が難しいんだな、と思った。

You Are Not an Island - Threat Model as a Team

Meghan Jacquot / Security Engineer, Inspectiv

https://www.rsaconference.com/usa/agenda/session/You%20Are%20Not%20an%20Island%20-%20Threat%20Model%20as%20a%20Team

• キーノートで、元々国防にいた人が民間に来て気付いたこととして、国防では当然のようにThreat actorを分析して、それに対して対策を講じるようにしていたけど、民間ではそれをしていなかったので、まずはそれをした、と言っていた。このセッションもそれに関するもの。チェックリストやフレームワークだけでセキュリティチームをリードしていくのは難しい。Threat modelを使って脅威を識別して文書化し、その脅威からどのように組織を守るか、と考えていけば、必要な対策と不要な対策も判断しやすいし、チームとして仕事がしやすい、というもの。

• 脅威モデルとしてSTRIDEモデル、DREADモデル、Diamondモデルなどを紹介していた。

• そういえば昔にAFLACのセッションを聞いたときも、STIXの考え方を使ってThreat　actorを識別していたのを思い出した。なるほど。これ、意外と大事かもしれない。まさに「Stronger Together」。

Ransom Demand? 10 Reasons to Think Before Paying

Alan Brill / Senior Managing Director, Kroll Cyber Risk And Fellow of the Kroll Institute

Ron Raether / Partner Troutman Pepper

https://www.rsaconference.com/usa/agenda/session/Ransom%20Demand%2010%20Reasons%20to%20Think%20Before%20Paying

ランサムウェアに身代金を支払う前に確認する10個のこと。まぁ、だいたい知っていたことだけど、2番はアメリカ的な視点だなぁ、と思いました。

1. 違法かもしれない…フロリダ州やノースカロライナ州では、代理人による身代金の支払いが禁止されている。

2. 経済制裁を受けている人に資金を提供したとみなされる可能性がある…犯人が経済制裁の対象になっている人だった場合に、そのような人に資金提供をしたとして罪を問われる可能性がある。犯人がどこの国いるのか、どんな人か分からない。

3. 復号の鍵を貰えないかもしれない。

4. 一部のファイルしか復号してもらえないかもしれない…実際に、被害に遭った組織の50%が身代金を支払うと判断しているが、全てのデータを復号できたのは半分に過ぎない。また、鍵だ、と言って送ってきたものが、新たなマルウェアかもしれない。

5. データを公開すると脅され、追加のお金を請求されるかもしれない…犯人は実はデータを持っていないかもしれないが、確証を持てない。RaaSのツールを提供している人達は、ビジネスとしてやっている。サポートの電話番号を公開していて、ランサムウェアの使い方や、ビットコインの使い方などを丁寧に教えてくれる。

6. 身代金を払ってデータが復号できても、漏洩したことの通知を免れない…復号できたら秘密にしておこう、と思ったら、犯人の思う壺。その後は泥沼。

7. 身代金を払うカモとして、その後執拗に狙われるかもしれない…カモだ、ということが、攻撃者のコミュニティの中で共有される。

8. 他の人が、「ダークWebでデータを手にした」と言って脅してくるかもしれない。

9. 身代金が目的では無いかもしれない…被害を与えることが目的かもしれない。エコテロリストかもしれない。

10. サイバー保険に条件があるかもしれない。

• 犯人はプレッシャーをかけて短時間で判断をさせようとしてくる。それによって、専門家に依頼させないようにしたり、正常な判断ができないようにする。専門家に依頼したいのであれば、保険会社に頼むと良い。

• 被害を受けている業界に偏りは無い。

• インフラ関係の会社の人なら、FBIがInfraGardという取り組みをしているので、ここに参加しておくと万が一の時に助けてくれる。　https://www.infragard.org/

• 「なんで何年もRSA Conferenceでセキュリティについて議論しているのに、今こんなひどい状況になっているのか」という質問に対して、「それに答えるのは難しい。ChatGPTに聞くと良いかもしれない」って答えていたのがちょっと面白かった。

Hacking Exposed: Next-Generation Tactics, Techniques, and Procedures

George Kurtz / Chief Executive Officer & Co-Founder, CrowdStrike

Michael Sentonas / President, CrowdStrike

https://www.rsaconference.com/usa/agenda/session/Hacking%20Exposed%20NextGeneration%20Tactics%20Techniques%20and%20Procedures

EDRで有名なCrowdStike社のCEOとPresidentによる攻撃のデモ。

Spider…BPO企業やテレコムが標的。データを盗んで脅迫するThreat Actor (攻撃者)。攻撃の手順は以下のような流れ。

1. フィッシング用のドメインを作成する

2. サービスデスク担当の社員に電話し、「あなたのアカウントがロックされた」と騙す

3. その社員に用意したフィッシングのサイトにアクセスさせてMS365のMFAを入れさせ、リモートアクセスツール(AnyDesk)のインストールを促す

4. サービスデスクの社員はアカウント作成権限を持っているので、Azure ADに高権限のアカウントを作る

5. その権限を使ってVPNの設定を変更し、いつでもアクセスできるようにする

• フィッシングサイトはMS365にリレーするだけだが、そこでセッショントークンが作成されるので、そのトークンをブラウザに入れれば別の端末でもログインが可能になる。

• 特別なツール(mimikatzなど)やマルウェアは使わない。実際に、2022年のセキュリティ侵害調査によれば、71%のケースでマルウェアが使われていなかった。

• AnyDesk(日本だとTeamViewerあたりか?)をインストールすればあとは何でもできる。

• サービスデスクの社員はユーザ管理の権限を持っている事が多い(だいたい6割ぐらいの確率で持っている)ので、狙われやすい。

• 乗っ取ったら、まずはPowershellのコマンドを使って、乗っ取ったアカウントがどのような権限を持っているか確認し、その権限を使ってIDを追加する。

• その後、Azure ADのユーザグループ一覧を表示し、重要な情報を持っていそうなサーバにアクセスできそうなユーザグループ(例えばCRMなんとか、のような)を見つけ、そこのメンバになる。そして、そのサーバにログインし、顧客データをすべてAnyDesk経由で抜き出す。そして脅迫メッセージを残す。

• この攻撃への対策はログ分析ぐらいしかない。アカウントが作成されたログなどを注意深く見る必要がある。但し、この攻撃が開始されてから、成功してデータが抜かれるまで平均して70分程度しかかからない。

マルウェアを使わない、ということなので、いわゆるシグネチャベースのマルウェア対策ソフトは無力ということになりますね。これ、CrowdStikeの人が説明してるってことは、Falconでは検出してくれるんですよね…。たぶん会場の人みんなそう思っていたと思う。Q&Aの時間が無かったので誰も聞けなかったけど…。

Avoiding the Four Biggest Mistakes That Will Blow Up an M&A

James Christiansen / VP CSO / Netskope

Arvin Bansal / CISO Americas

https://www.rsaconference.com/usa/agenda/session/Avoiding%20the%20Four%20Biggest%20Mistakes%20That%20Will%20Blow%20Up%20an%20MA

• 買収される、と感じた会社の社員はデータを持ち出す可能性があるので、早めにモニタリングを開始し、Behavior Analysisを行うべき。

• 買収の噂が立つと、その噂を悪用してフィッシング攻撃が行われることがあるので、フィッシング対策を強化する必要もある。

• それ以外は、早めにセキュリティチームがプロジェクトに参加する、リスクアセスメントを実施する、クラウドサービスの設定を見直す、など、当たり前のことが説明された。買収されると思うとデータを持ち出そうとすることがある、というのは気づきかもしれない。

The Five Most Dangerous New Attack Techniques

Ed Skoudis / Moderator / President, SANS Technology Institute College

Heather Mahalik / Panelist / DFIR Curriculum Lead, SANS Institute, Senior Director of Digital Intelligence, Cellebrite

Katie Nickels / Panelist / Certified Instructor, SANS Institute, Director of Intelligence, Red Canary

Stephen Sims / Panelist / Offensive Operations Curriculum Lead and Fellow, SANS Institute

Johannes Ullrich / Panelist / Dean of Research, SANS Technology Institute College

https://www.rsaconference.com/usa/agenda/session/The%20Five%20Most%20Dangerous%20New%20Attack%20Techniques

SANSの人達による、現在最も危険と思われる5つの攻撃手法を紹介するセッション。

1. SEO with Gootloader 正当なファイル(ZIP化されたファイル)でSEOを行い、検索順位を上げる。ある程度上がったら、ZIPファイルの中身をMalwareに差し替え、ダウンロードさせる。

2. Malvertising マルウェア(Malware)を広告(Advertising)するタイプの攻撃。Googleなどの検索エンジンの広告エリアにマルウェアを広告してダウンロードさせる。検索結果の広告をクリックしてはいけない。マルウェアだらけの検索結果のこともある。

3. 開発者に対する攻撃 VSCodeの拡張にマルウェアを仕込んだり、DLLやライブラリにマルウェアを仕込むもの。また、メディプレイヤーやLastPassの脆弱性を突いてAWSの認証情報を窃取するようなパターンもある。 対策としては、開発環境や開発用の棚末には本番環境の認証情報を置かない、開発したコードだけでなく、利用するライブラリもスキャンする、など。

4. AIを使った攻撃 AIは脆弱性を見つけてくれるので、ソースコードからゼロデイ脆弱性を見つけて攻撃する。 ChatGPTでランサムウェアを作らせ、それを使って攻撃する。かといって、ChatGPTに直接「ランサムウェアを作ってくれ」といっても断られる。ランサムウェアの機能を分解(暗号化、ビットコインの取引など)し、それぞれを分けて頼むと実際にランサムウェアを作らせることができた。

5. ChatGPTによるフィッシング ChatGPTでは、例えば子供を模した文章を作文させるようなことができるので、それを悪用したフィッシングの恐れがある。ただし、実際にはスピーカーが息子に試してみたが、ひっかからなかったので、そこまで恐れる必要はないのでは。

検索結果の広告のところがそこまでひどくなっているとは思わなかった。しかし、まともなファイルでSEOして、その後Zipの中身を変えられたら防ぐの大変そう…。

A Journey in Building an Open Source Security-as-Code Framework

Aakash Shah / CTO, oak9

https://www.rsaconference.com/usa/agenda/session/A%20Journey%20in%20Building%20an%20Open%20Source%20Security-as-Code%20Framework

• Agileの環境では、毎日何十回もインフラの変更が行われたりするし、クラウドサービスもどんどん新しいサービスを追加していく。このような状況でセキュリティチームが全体を理解して防御することは非常に困難。"Security as Code"がこの解決策となる。

• 今回TythonというFramework&SDKを発表した。言語を新しく作るのではなく、使い慣れた言語を使うことができるようにFramework&SDKを選択した。https://tython.io/

• セキュリティ要件をコード化することによって、開発チームが自らチェックできるようになった。

これ、25年前に私がNTTデータにいたときにチームで提唱していたPOLICY COMPUTINGの考え方と同じだな…。25年してようやく現物が世に出てきた…。当時特許を取ったりしたんだけど、とっくに無効になってますね(笑)。

What You Need to Know about the Global Cybersecurity Regulatory Landscape

Tara Wisniewski / EVP, Advocacy, Global Markets and Member Engagement, ISC2

https://www.rsaconference.com/usa/agenda/session/What%20You%20Need%20to%20Know%20about%20the%20Global%20Cybersecurity%20Regulatory%20Landscape

• (ISC)2のTaraのセッション。Taraは去年日本に来ている。

• 「Global Approaches to Cyber Policy, Legislation and Regulation」として、UK、US、EU、カナダ、日本、シンガポールの法規制についてまとめたレポートを発表した。https://www.isc2.org/Research/rusi-report#

• サイバーレジリエンスについて各国でいろいろなアクティビティが始まっている。多国籍企業は、各国のアクティビティを知った上で適切に対応することが求められる。

Expo

キーノートでは、エンドポイント、クラウド、ペリメターなど、様々なポイントを守るセキュリティソリューションを統合して管理する必要がある、というメッセージが多く話されました。それに呼応するように、EDRベンダ、SIEMベンダなどがそれぞれ新しい製品やサービスを発表していました。

sumo logic

SIEMベンダのsumo logic。ログをAIで分析し、異常が発生した際に検出できるようなルールを追加したり、その後、検出したログに関してどのような調査を行えばいいのかChatGPTに質問するUIを追加する、といった形でAIを統合していました。右下に見える「Outlier」と「First Seen」が新しいルールだそうです。

sumo logicのノベルティは相撲取り…。

CROWDSTRIKE

EDRベンダのCROWDSTRIKE。「XDRって、EDRと何が違うの?」と聞いてみたところ「いや、XDRって人によって定義が違うんだけど、うちのXDRは、他のセキュリティ製品とつながってイベントを管理できることをXDRって言ってるよ」と、既存のFalconを載せ替える必要はなく、Add-onでできるそうな。エンジニアらしい回答。そう、展示会に参加すると、(「なんでもできます」と言う営業ではなく)エンジニアと直接話ができるから話が早い、というメリットがありますよね…。

MANDIANT

いや、単にMandiantがGoogleに買われた、って知らなかったので…^^;

TEAM CYMRU

数年前、ここのフロリダオフィスを訪問したり、去年Jacomo氏が日本に来たときにあったりして馴染みがあるので訪問。新しくSCOUTというサービスを発表していた。これは、TEAM CYMRUが持っているデータ(ほぼアメリカのトラフィックデータ全てに近い)を検索できるサービス(もちろん、ペイロードは別)。便利そうだな、と思ったけど、値段を聞いてみたら年間$97,000だそうなので、ちょっと高すぎですな。

COHESITY

お客さんが使っているランサム対応バックアップソリューション。ランサムウェアの動きを検知すると、自動でバックアップを止める(バックアップイメージの上書きを防ぐ)らしい。Webに情報があまりにも少ないので、もうちょっと詳しい情報を得るために…。

MORPHISEC

これも謎ソリューション。セキュリティソリューションは、仕組みを公開してしまうと、攻撃者が回避してしまう可能性があるのであまり詳細は明かせない、というジレンマがある場合があるけど、まさにMORPHISECはそんな印象。

PUB CRAWL

初日と3日目は、EXPO会場で飲み物が振る舞われる。ビールを飲みながら展示を見て回る。

Japan Night

2016年から、RSA Conferenceに参加する日本人を対象にパーティーを開いています。折角日本からたくさんの人がSan Franciscoまで来ているので、是非ともネットワーキングの機会を、ということで始めました。今年は80人以上の人に参加していただきました。

まとめ

• ようやくコロナ禍がおさまり、日本からの参加者もコロナ前と同じぐらいになった感じがします。

• セキュリティビジネスの盛り上がりは以前以上になっている感じがします。ブースのエリアも年々広がっており、以前は通路だったようなところにまでブースができています。

• セキュリティソリューションは、新しいものができては統合される、ということを繰り返します。今年は、統合が強調された年でした。そしてまた、新しいサービスが生まれるのでしょう。

• AIがサイバーセキュリティに大きな影響を与えるだろう、という予感はみんな持っているものの、具体的にどの程度のインパクトがあるのかはわかっていない感じです。まずはログ分析、脆弱性調査、インシデント対応に対するガイダンス、あたりから使っていく感じでしょうか。

来年は5月6日～9日と、ゴールデンウィーク明けの週です。日本の人にとっては参加が難しい時期かもしれないですね…

番外編1(メジャーリーグ)

今回、出張の前半に時間の余裕があったので、LAまで足を伸ばしてメジャーリーグを見てきました。メジャーリーグのチケットは球場で買う方が安く、オンラインで購入すると$20ぐらい手数料が取られてしまいます。それでも今回は一番前の席で見たかったので、一生懸命席を探して事前に買いました。メジャーリーグでは(それぞれチームの距離がとても離れているせいか)、観客はほぼホームチームのファンなので、あまりホーム側、ビジター側を気にしなくていいと思います。今回、ビジター側の3階席の一番前にしたのですが、周りは大谷とトラウトのファンしかいませんでした。この日は、大谷Tシャツがプレゼントされ、試合後に花火も打上げられるなど、だいぶお得な日でした。

番外編2(メジャーリーグその2)

出張の後半にも時間があったので、Oakland Athleticsの試合も見てきました。

Oakland Athleticsのホーム球場であるOakland Coliseumはとにかくアクセスが便利。San FranciscoからBARTで30分ぐらいで球場そばの駅まで行けて、そこからは徒歩で球場まで。どうせすいているだろう、と思って行ったら案の定。窓口で「20ドルぐらいでいい席ちょうだい」と言ってチケットを購入。指定された席は日差しがきつかったので、日陰に移動して観戦しました。

番外編3(テスラ)

今回、全部で3回レンタカーを借りたのですが、いずれもテスラ(モデル3)を選びました。というのも、テスラが一番安かったんです。プロモーションでもしているのでしょうか。テスラで感じたこといくつか。

• 加速がすごい。べた踏みしなくても、びっくりするぐらいの加速をする。

• いろいろなモードがあって、慣れるのに苦労する。事前にマニュアルに目を通していった方がいいかも。特に、オートパイロットに入る方法は最初ぜんぜん分からなかった。

• アクセルを離すとブレーキになるモードがデフォルトのようだが、慣れないとガクガクした運転になってしまう。慣れるとわりと楽。

• 結局オートパイロットに慣れることはできなかった。車間距離は狭く取るし、ブレーキがかかるタイミングが遅いし。ワインディングな道で試しにオートパイロットをONにしたら、カーブを曲がっている最中に、突然警告音が鳴って「自動運転できないから、あなたが運転して!!」ってなったときはビビった。

• 充電に時間がかかるので、レンタカーの場合は充電時間をプランに入れておかないと予定通りにならない。専用充電器でも30分はみておく必要あり。だいたい70%ぐらいに充電して返す必要があると思っておけば良いと思う(出発するときにレンタカー屋に確認する必要あり。今回も同じレンタカー屋だったが、拠点によって言うことが違った)。

• 充電すると、社内のパネルに料金が表示されるが、その場での支払いは無し。レンタカー屋からの請求もされないので、レンタカー料金に含まれているということか。

• モデル3は後部座席もトランクもそこそこ広いので、コンパクトカーを借りるより良い。

• テスラとは関係ないけど、今回Napaとの間のToll roadを使ったのだけど、ゲートでお金を払うこともなく(昔は払った)、どうやって請求されるんだろう、と思ったら、ナンバーを読み取って請求がレンタカー会社に行き、それがクレジットカードにチャージされた。料金自体も$14(Bay Bridgeの北にあるToll gate)と高いんだけど、加えて$9.99のConvenience feeというものが請求されていた。車を借りるときに、こういう料金をまとめて払うオプションというのもあったんだけど、それを選択しても$10ぐらいかかるので、1回通るぐらいだったらオプション選択しなくても同じなのかな…。今度オプション選んでいくら取られるか確認してみようかな…。

番外編4(海外SIM)

今回、airaloという、海外で使えるeSIMを試しに使ってみました。結果として、私の環境では大正解でした。これからもこれでいきたいと思います。

• 物理SIMとeSIM両対応のスマホで、日本の物理SIMを指している状況だと、airaloのアプリで海外eSIMを買ってインストールするだけで海外で使える。

• 海外のSIMを事前に買ったり、差し替えたりする必要が無い。日本のSIMと差し替えると、無くしそうで不安になる。

• 日本のSIMを電話用、airaloのeSIMをデータ用にすると、日本からの電話を受けることもできるし、データ通信もそのまま普通にできる(電話代は高いけど)。

• 現地での電話機能は無いので、電話したい場合は手段を用意しておくと良い(例えばSkype Outなど)。

• 足りないかな、と思ったらいつでも買い足せる。

• 使い終わったらeSIMを削除するだけ。

• WiFi経由ではないので、データ通信量を節約できる。(例えば、アプリのアップデートを「WiFi接続時のみ」と設定しているとき、WiFiルータを使っているとアプリのアップデートが実行されてしまってデータ量を消費してしまうが、それが起こらない)。

• 今回、1週間ちょっといて2G程度しか使わなかった。(まぁ、Conference会場にいる間は会場のWiFiがあるんですけどね)。

番外編5(Napa ValleyのBrixというレストラン)

今回、Napa Valleyを回ったときにランチで寄ったBrixというレストランがとても良かったので、良かったらみなさんも行かれてはいかがでしょうか。KELLEHERというワイナリーと経営が一緒のようで、ゆっくり食事をしながらワインを楽しむことができます。店員にアンさんという日本人の人もいました(突然日本語で話しかけられてびっくりしました)。

かなり人気があるレストランなので、行くのであれば予約は必須です(今回我々はたまたま空きがあったのでいきなり入れましたが)。

そんなこんなで、無事日本に帰ってきました。

また来年、San Franciscoでお会いしましょう!!