まじでぇーーーー！！！！センター長補佐に昇進おめー！

皆さんこんにちは、川口です。先月からセキュリティ監視センターJSOC（Japan Security Operation Center）のセキュリティアナリストのリーダーの座を後進に譲り、JSOCの官房長官として、JSOCセンター長を補佐するお仕事に就くことになりました。

JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ：川口洋のセキュリティ・プライベート・アイズ（34） - ＠IT

標的型攻撃を受けてもLACはさすがって感じ。

社内での対応が落ち着いてきたころに、ISOG-J（日本セキュリティオペレーション事業者協議会、Information Security Operation providers Group Japan）へ情報共有のために連絡し、IPAやJPCERT/CCへの届け出も行いました。
標的型メールについては事例が集まりにくいこともあり、決定的な対策を打つのは非常に難しいのが現状です。少しでも情報を共有し、事例を蓄積していくことが日本全体の対応能力向上のために必要でしょう。

JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ：川口洋のセキュリティ・プライベート・アイズ（34） - ＠IT

6つの添付ファイルのうち3つは、パスワード付きzipファイルでした。パスワード付きzipの添付ファイルは、途中のメールサーバのウイルスチェックを抜けてユーザーの手元に届いてしまいます。ウイルス対策の多層防御の壁が、パスワード付きzipで次々に破られてしまったのです。
また、exeファイルは実行時にVMWare Toolsの有無を確認しており、VMwareで構築したいくつかの検証環境ではマルウェアが動作せず、解析に手間取りました。
見事（？）実行されたマルウェアは、前述の通り中国のサーバと通信を行います。この通信は80/tcpを使いますが、HTTPプロトコルでの通信ではありません。サーバとの通信は特殊なプロトコルで行われており、どのような内容がやり取りされているかをネットワーク通信から読み取ることはできませんでした。

JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ：川口洋のセキュリティ・プライベート・アイズ（34） - ＠IT

最近川口さんと勉強会行脚してないなぁ、そういえば最近はDry2さんと行脚してる気もする。また飲みに行きたいね！＞川口さん

日本全体のことを考えた場合、業界団体やセキュリティ関係者との情報共有が欠かせません。しかも、対応にはスピードが求められるため、こまめに共有を行わないとスムーズにはいかないでしょう。そのためには技術的な課題や政治的な課題もありますが、最も重要なことは「誰となら共有できるか、誰なら信頼できるか」ということです。大事な人と人との繋がりを作るために、今日も飲みに行くのでした。

JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ：川口洋のセキュリティ・プライベート・アイズ（34） - ＠IT