日本のサイバーセキュリティ最高峰のカンファレンスであるJSAC(リンク)で、当社社員による講演がExcellent Presentation Award*を受賞いたしましたことを報告いたします。
*Excellent Presentation Awardとは
JSAC参加者のアンケート結果によってExcellent(非常に満足)評価が最も高かったセッションに贈られる賞です。
Excellent Presentation Award
「Hack The Sandbox: Unveiling the Truth Behind Disappearing Artifacts」
講演概要
2023年から2024年にかけて観測されている、標的型攻撃グループ「APT10」(別名:MirrorFace, Earth Kasha)の攻撃キャンペーンにおいて、二次検体として使用されたマルウェア「LilimRAT」と「NOOPDOOR」に Windows サンドボックス内での動作を意図した機能が実装されていました。
Windows サンドボックスは、Windows 10 Pro 以降の特定の環境で機能を有効化することで利用可能です。アプリケーションの安全な実行や検証を目的とした一時的な仮想環境として設計、実装されています。サンドボックスを終了するとすべてのデータが消去され、基本的にはホストシステムへの影響はありません。
一方で、サンドボックスを制御するためのシンプルな構成ファイルを用いることで、ホストシステムや他のネットワークへのアクセスが可能となるほか、起動時に任意のコマンドを実行する機能なども備えており、操作の容易性と柔軟性が特徴です。
一連の攻撃キャンペーンでは、セキュリティ製品による検知回避やフォレンジック調査の妨害を目的として、これらの特性が逆手に取られ、悪用されています。非常に巧妙で危険な新しい攻撃手法であり、今後の標的型攻撃をはじめとするサイバー攻撃において同様の手法が普及し、社会的に大きな脅威となる危険性を懸念しています。
本講演では、実際の攻撃事例を基にした Windows サンドボックスの詳細な検証結果と検証から得られた関連アーティファクトおよびブルーチームの視点から監視や調査に資すると判断されるポイントについて解説します。
受賞者コメント
- 亀川:
このたびは、Excellent Presentation Award という素晴らしい賞をいただいたことを光栄に思います。JSAC の運営の皆様、貴重な機会をいただきありがとうございました。チームメンバーと共に継続して取り組んできたリサーチの成果が評価され、大変嬉しく思います。今後もリサーチを重ね、知見を共有することで業界へ貢献できるよう努めてまいります。
- 笹田:
昨年のJSACに引き続き、ブルーチームの視点から知見を共有させていただきました。単に事例を分析して対策に繋げるだけではなく、そこから得られた教訓やブルーチームのあるべき姿勢もメッセージとして込めました。今回の発表が皆様の今後の取り組みや議論のきっかけとなれば幸いです。JSAC運営やスタッフの方々、聴講くださった方々、貴重な機会をくださったすべての方々に感謝を申し上げます。
- 丹羽:
ブルーチームとして脅威を分析する過程で、ドキュメント化されていない新機能の仕様を把握するなど、手探りの部分も少なくありませんでした。しかし、その分チーム内で多角的な検証を重ね、新たなナレッジを効果的に蓄積できたと感じています。そして、その成果をこのような貴重な場で共有させていただけたことを大変光栄に思います。
JSACの運営の皆様、ボードメンバーの皆様、講演者の皆様、そしてJSACにご参加いただいたすべてのセキュリティ分野を支える皆様に、改めて深くお礼を申し上げます。また、本プレゼンテーションにつきましては、組織の垣根を越えて多大なご支援をいただきました。特に、IPA J-CRATの皆様やESETのDominik様には、この場を借りて感謝申し上げます。
なお、JSAC2025の開催レポートには、本講演のサマリや資料が掲載されておりますので、ぜひご覧ください。