はじめに
この記事は、NFLaboratories Advent Calendar 2024 の 5 日目の記事です。
こんにちは、NFLabs. CTO の松木です。
この記事では、NFLabs. が協賛しており、私や社員が運営に携わっている MWS(マルウェアとサイバー攻撃対策研究人材育成ワークショップ)について紹介します。
MWS とは
MWS は情報処理学会のコンピュータセキュリティ研究会が運営する研究コミュニティの1つです。*1
サイバー攻撃のツールとなっているマルウェアや攻撃者の戦術・技術・手順を俯瞰し、対策研究と人材育成の推進を目的としています。
2008 年に発足した当初は、マルウェア対策にフォーカスした研究コミュニティでしたが、今年、研究トピックのスコープを時代の変化に応じて再定義し、マルウェア対策に限らず、より広範なサイバー攻撃対策の研究を対象とするようになりました。
さらに、攻撃者に先んじた対策を可能にするため、新たな脆弱性や攻撃手法の発見を目指すオフェンシブセキュリティの研究も対象としています。
具体的な研究トピックは以下の通りです。
- マルウェア検知・解析
- 攻撃通信検知
- インシデント対応・管理
- 脅威インテリジェンス
- デジタルフォレンジック
- 脆弱性発見・対応(オフェンシブセキュリティ含む)
活動内容
MWS コミュニティは、主に次の3つの活動を行っています。
研究用データセットの提供
研究課題や成果の共有・議論
人材育成
それぞれの活動について、簡単に紹介します。
研究用データセット MWS Datasets の提供
マルウェアやサイバー攻撃の対策研究や人材育成に有用な研究データセットを、さまざまな提供元から集約し、「MWS Datasets」として整備・提供しています。 これまで、多様なタイプのデータセットが複数の提供者から寄せられ、その中には状況変化に伴い提供が終了したものもあれば、継続的に提供されているものもあります。*2 なお、データセットの利用には MWS コミュニティへの参加と同意書の提出が必要となりますが、無料で利用できます。
中でも私が特にオススメしたいのが「FFRI Dataset」です。これは膨大なファイルの表層解析ログのデータセットで、マルウェアに限らず無害なファイルのデータも含まれています。そのため、研究者が気軽に使い始められ、実務に近い環境での検証や研究に適しています。
研究課題や成果の共有・議論
年間を通じて研究課題や成果について共有・議論する場を設けています。 オンラインでは Slack を用いて情報共有や議論を行うほか、年に 3 回、以下のイベントを開催しています。*3
- MWS プレミーティング(6月)
- データセットや運営体制の紹介、新規参加者向けの案内
- 直近で注目されるトピックの共有や議論
- MWS(10月下旬)
- コンピュータセキュリティシンポジウム (CSS) と合同でワークショップを開催
- CSS の MWS トラックで研究成果を発表・議論
- 有識者による招待講演やパネルディスカッションなどの企画セッション
- 技術コンテスト「MWS Cup」を通じた人材育成
- MWS ポストミーティング(12月)
- MWS 全体を振り返り、翌年度の活動方針の検討
- 招待講演やホットな研究発表の共有
MWS Cup による人材育成
実践的なサイバー攻撃解析技術を学ぶきっかけ作りを目的として、10月に開催される MWS にて「MWS Cup」というコンテストを実施しています。*4
このコンテストでは、サイバー攻撃・マルウェア解析に関する高度なスキルを競いながら学ぶことができます。
CSS の会場でのオフライン参加とオンライン参加を組み合わせたハイブリッド形式で行われ、1名から最大6名までのチーム参加が可能です。
学生と社会人が混成チームを組むことも歓迎しており、異なるバックグラウンドを持つ参加者が協力し合い、多様な知識・スキルを学ぶ機会となっています。
競技は複数のカテゴリーに分かれており、幅広い分野をカバーしています。今年は以下の4つの分野のチャレンジが出題されました。
- ハッカソン
- セキュリティに関する研究・業務・教育に役立つツールやデータセットを自由な発想で開発する
- マルウェア静的解析
- マルウェアのバイナリを Ghidra で解析し、機能・動作、暗号処理などを明らかにする
- マルウェア分類
- 大量のマルウェア・クリーンウェアの表層データをデータ分析して、分類する
- 攻撃痕跡ログ分析
- サイバー攻撃を受けた端末のサーバーログ、イベントログ、EDRのログを解析し、どのような攻撃を受けたかを明らかにする
弊社のメンバーは、マルウェア静的解析の作問と競技プラットフォーム(CTFd)の構築・運用を担当しました。
コミュニティ運営
続いて、MWS コミュニティの運営体制について紹介します。
MWS コミュニティは、約30名の有志メンバーが所属企業・学術機関の支援を受けながら運営しています。*5
なかには、学生時代に MWS で研究発表を行ったり、MWS Cup に参加していた方もいます。
一方で、創設メンバーが定年を迎え、かつて若手だった方々が組織で重要なポジションにつくなど、時代の移り変わりを感じる場面も少なくありません。
現在、課題の一つとなっているのは、運営メンバーの若返りです。毎年、実行委員長やプログラム委員長は新しい方にお願いしていますが、他の委員には新メンバーの参加が思うように進んでいないのが現状です。
MWSコミュニティでは、次世代を担う多様な運営メンバーを募集しています。研究者はもちろん、セキュリティ分野で活躍する現役エンジニア、新たな挑戦しているセキュリティ系スタートアップの方、学術研究機関に所属する方など、経験や世代を問わず、ぜひ運営にご参加いただきたいです。
今後のチャレンジ
近年、サイバー攻撃による被害が相次いで報じられ、社会全体の課題意識は確実に高まっています。 しかし、その一方で、この分野の研究および研究者は、まだまだ足りていないと感じています。
私はセキュリティ研究者として MWS に携わる中で、多くの人々と交流し、貴重な経験を積むことができました。 このコミュニティを未来へつなぎ、発展させていきたいと思っています。 そのためには、新たな参加者を迎え入れ、コミュニティを活性化する取り組みが必要と考えています。 具体的なアイデアが3つあります。
- 1つ目は「積極的な情報発信」です。
- 広報活動を活性してコミュニティの認知度を高め、新規参入者を増やす流れを作っていきます。
- 2つ目は「参加ハードルの引き下げ」です。
- 学生が参加しやすい環境づくりが重要と考えています。たとえば、CSS/MWS への参加費を軽減する案があります。
- 情報処理学会のジュニア会員の勧誘
- 学会の研究会発表やイベントに無料で参加できる情報処理学会のジュニア会員 *6 を勧誘し、CSS/MWS への参加を促します。
- 企業による学生支援
- CSS/MWS に興味があるが、参加したことがない学生や別分野の研究をしている学生などを対象に、一定条件下で参加費を企業が支援する仕組みを検討します。
- 情報処理学会のジュニア会員の勧誘
- 学生が参加しやすい環境づくりが重要と考えています。たとえば、CSS/MWS への参加費を軽減する案があります。
- 3つ目は「新たなデータセットの創出」です。
- マルウェアやサイバー攻撃関連データを提供可能な組織と連携し、研究を促進する新たなデータセットを創出できないか検討します。
今後、このような取り組みに挑戦して MWS コミュニティの裾野を広げ、さらなる発展を支援できればと考えています。
おわりに
MWS について、興味を持たれたら、ぜひ 12/25 に開催される MWS 2024 ポストミーティング に参加してみてください。
*1:マルウェアとサイバー攻撃対策研究人材育成ワークショップ https://www.iwsec.org/mws/
*2:研究用データセット MWS 2024 Datasets について https://www.iwsec.org/mws/datasets.html
*3:Slack-MWS https://www.iwsec.org/mws/mws_ml.html
*4:MWS Cup とは https://www.iwsec.org/mws/mwscup.html
*5:MWS 2024 運営体制 https://www.iwsec.org/mws/2024/committee.html
*6:情報処理学会ジュニア会員 https://www.ipsj.or.jp/junior/aboutJunior.html