インシデントレスポンスで攻撃者を追いかけろ（講義1-1、1-2、1-3）

鈴木博志、梨和久雄 - 日本

受講者はCTF形式の問題にチャレンジしながら架空の企業に対する標的型攻撃事案のインシデントレスポンスを行います。受講者には複数のディスクイメージが提供され、いつ、どのように攻撃者が攻撃を実行し、情報を盗みだしたのかを明らかにしていきます。受講者はこの授業を通してインシデントレスポンス、フォレンジクス調査、マルウェア解析といった包括的な技術を学んでいきます。

鈴木博志：株式会社インターネットイニシアティブ所属。主な仕事はマルウェア解析、フォレンジック調査、インシデントレスポンス及び研究開発。IIJのCSIRTチームであるIIJ-SECTに所属。特に標的型攻撃や、その中で使われるPlugXやMimikatzといったRATや攻撃ツールに興味を持ち、この分野での経験は13年を超える。また、Black Hat (USA, Europe, Asia及びJapan), FIRST (Annual, TC), GCC (Global Cyberecurity Camp) in Seoulなどの国際カンファレンスでの登壇やトレーニング講師、国内では東京オリンピック・パラリンピック競技大会組織委員会関係者向けのトレーニングプログラムであるサイバーコロッセオ、MWSやセキュリティキャンプなどでのトレーニング講師も務める。
梨和久雄：スレットアナリスト。株式会社インターネットイニシアティブ所属。CSIRTチームであるIIJ-SECTの一員で、インシデントレスポンスやマルウェア解析、悪意のある通信の分析などを主な業務とし、その経験は９年を超える。またエクスプロイトキットやサイバークライムのマルウェアに関する研究を行うい、マルウェア解析の経験は５年を超える。Black Hat (USA, EU) や FIRST (Annual, TC) といった国際カンファレンス、GCC (Global Cybersecurity Camp) in Seoulでの登壇、トレーニング講師や、国内ではサイバーコロッセオ、セキュリティキャンプなどの講師を務める。

機械学習システムの構築とその突破手法（講義2-1、2-2）

Clarence Chio - 米国/シンガポール

「機械学習システムの構築とその突破手法」は一日で行う速習型のトレーニングで、情報セキュリティの専門家の観点から見た機械学習に関するコースです。このコースでは、学生はアダプティブ学習のセキュリティアプリケーション開発に関する実践的な経験を得るだけでなく、そのようなシステムのトレーニング、調整、および評価を行うための技術も学びます。このコースは、機械学習に興味はあるものの、実戦経験がない人を対象にしています。
機械学習はさまざまな分野でユビキタスになりつつあり、この分野の教育を受けたセキュリティ専門家は、機械学習アルゴリズムとシステムの（多くの場合不十分な）セキュリティを評価する重要なポジションが得られます。このクラスは即機械学習の専門家になることを約束するものではありませんが、学習したすべてが、セキュリティエンジニア、ペンテスター、アプリケーション開発者、セキュリティエンジニアの作業に直接的かつ即座に適用可能な技術であることを保証します。

GoogleのAIベンチャー部門が支援する金融犯罪対策会社であるUnit21の共同創始者の一人で、最高技術責任者。O'Reilly Book "Machine Learning ＆ Security"の共著者であり、カリフォルニア大学バークレー校で2つの機械学習クラスを教える。Clarenceは、DEF CON、BLACK HAT、RSAなど20か国のセキュリティ/ソフトウェアエンジニアリングの国際カンファレンスでで機械学習とセキュリティに関する講演、ワークショップ、トレーニングを行う。スタンフォード大学のコンピューターサイエンス学部で学位を取得し、データマイニングと人工知能を専門とする。

脆弱性解析及びバイナリエクスプロイト生成の自動化（講義3-1、3-2）

木村 廉 - 日本

2016年、米国国防総省DARPAはCyber Grand Challenge (CGC)を開催し、世界中の研究所がハッキングの自動化、特に脆弱性解析やエクスプロイトコードの自動生成技術を開発し競い合いました。これらの技術は2020年現在においても数多くの企業や政府が活発に研究開発を進めています。本コースではハッキング自動化の基礎技術として、ファジングを扱います。受講生は数多くの最先端のファジングツールを構築、開発し、WebブラウザやJavaScriptエンジン、Linuxカーネル、ネットワークプロトコルといった様々なターゲットに対してファジングを行ってもらいます。

神戸大学大学院修士課程に在籍中。在学中に国内では希少な攻めのセキュリティ(Offensive Security)を専門とした会社を起業。株式会社リチェルカセキュリティ代表取締役を務める。
2018-2019年までの1年間、米国カーネギーメロン大学にて脆弱性解析やエクスプロイト生成の自動化技術を研究していた。ソフトウェアセキュリティやシステムプログラミングに関する経験を5年有している。

実践・難読化バイナリ解析（講義4-1、4-2）

黒米 祐馬 - 日本

ただでさえリバースエンジニアリングは容易ではないのに、その上バイナリコードが難読化されていたとしたら？ ひとたび難読化が施されると、単純な手法ではバイナリを正確に解析できなくなってしまいます。このクラスでは、難読化の原理原則（特にマルウェアで使用される）、難読化コード分析の理論と実践、および難読化解除のための独自ツールの作成方法を学びます。特に、難読化を無効化するための手法として、データフロー分析とSAT/SMTベースのバイナリ分析（例：シンボリック実行）を掘り下げます。

NTTセキュアプラットフォーム研究所に所属するセキュリティ研究者。マルウェアの脅威を取り巻く技術を攻撃側・防御側双方の視点からより深く考察すること、すなわち、マルウェア検知・解析およびそれらの回避を自身の研究対象としている。CODEBLUE'15やBlack Hat Europe'19 Arsenalなどの産業系会議、ACSAC'19などの学術系会議で発表。セキュリティ・キャンプ講師。

Qiling Frameworkを用いたIoTファームウェアのリバースエンジニアリング（講義5-1、5-2）

kj (xwings) LAU - マレーシア

脆弱なInternet of Things (IoT) デバイス、そしてマルウェアの脅威は日々高度化し、我々の生活に大きな影響を与えています。情報セキュリティの専門家は高度化する攻撃からシステムを防御し対処しようとしていますが、依然としてIoTファームウェア解析、及びマルウェア解析には二つの大きな課題が存在します。
一つは攻撃対象であるIoTデバイスのプラットフォーム (オペレーティングシステム) やアーキテクチャの多様性です。リバースエンジニアは一つのプラットフォームやCPUアーキテクチャにこだわりません。ですが、解析に用いるツール類の対応の有無はリバースエンジニアリングの結果や速さに大きな違いを生むことになります。
二つ目の課題は現行の解析技術が最新の攻撃に追いついていないことです。完全エミュレーション、ユーザーモードエミュレーション、バイナリの制御ツール、逆アセンブラ、そしてサンドボックス化は従来の解析で頻繁に用いられる技術ですが、これらはIoTデバイスのファームウェア解析において時代遅れだと考えられています。
Qiling Framework (https://qiling.io) はIoT研究、脅威解析、リバースエンジニアリング技術の革新を目的に開発されたフレームワークです。Qiling Frameworkを用いることにより、容易にIoTファームウェア解析ツールを開発することが可能です。 Qiling Frameworkは複数のプラットフォーム、そして非常に多くのCPUアーキテクチャに対応しています。Qiling Frameworkの根幹にはシンプル、そして多くのリバースエンジニアに使われているPythonが採用されており、それもQiling Frameworkを使用するメリットの一つであると言えるでしょう。
本トレーニングではQiling Frameworkを用いてどのようにIoTファームウェアをビルド、エミュレートするかにフォーカスします。予定しているデバイスにはルーター、ネットワークカメラ、及びスピーカーなどがあり、最終的には参加者が自由自在に解析ツールをQiling Frameworkを用いて開発できるようになるまで講義でサポートさせていただきます。

JD SecurityのThe ShepherdLabというラボの責任者。主に組み込みデバイス、ハードウェアセキュリティ、ブロックチェーンセキュリティ、リバースエンジニアリングなど様々なセキュリティ分野に精通している。自身の発見をDefcon, HITB, Codegate, QCon, KCon, Brucon, H2HCなどの様々な国際的セキュリティカンファレンスで発表、世界中でハードウェアハッキングに関する講義の講師を務める。hackersbadge.comウェブサイト運営者。Unicorn (http://unicorn-engine.org)というCPUエミュレータの開発を現在も行なっている。

攻撃ベクター解析による攻撃時の挙動の解析（講義6）

Moonbeom Park - 韓国

攻撃に使用される技術を解析することにより攻撃された側のシステムを解析し、多様なログ解析を行うことにより攻撃者の操作を全て解き明かしましょう。

韓国にてサイバーセキュリティ、インシデントレスポンスに関する研究を行う研究員で国家調査機関のサイバー捜査を行う顧問を勤める。主に攻撃手法、インシデント分析、攻撃者の行動のプロファイリングに関する研究を行う。BoB (Best of Best)プログラムにて講師及びメンターを勤め、技術力を持つハッカーを韓国で育てている。

ソーシャルメディアセキュリティ：オンラインでの情報操作の特定（講義7）

王銘宏（Ming-Hung Wang） - 台湾

ソーシャルネットワーキングプラットフォームの急速な発展により、大量のユーザー作成型のコンテンツがネットワーク全体に広がり、ユーザーたちは現実世界において会った事もないネット上の友人を作ります。
彼らは政府に対する意見を述べるために意見し、まとめて、そしてネット上から現実世界まで参加します。しかし、オンラインでの情報操作など、ソーシャルメディアからも多くの問題が提起されています。
このコースでは、データ収集、データ前処理、データ操作、データ分析から始めます。私たちは、行動パターンを使用しオンラインで潜在的な操作を特定することを目指します。

国立台湾大学 電気工学博士。国立清華大学 通信工学修士 情報科学学士。オンライン情報、インターネットの動作、ネットワークインフラストラクチャに関するセキュリティ問題に対処することに対処することに重点を置き、次の3つの主要なトピックに取り組んできた。 1) 情報操作、誤った情報の繋がり、オンラインでの政治的な行動といったオンラインでの社会的行動の分析をして、オンライン情報の伝搬プロセスを実現する 2) 侵入検知やその他のネットワークセキュリティ問題に対するデータ駆動型アプローチの開発 3) SDNの力を活用したアプリケーションの開発とネットワーク・インフラストラクチャの改善

- PC仕様 (ハード「ウェア、ソフトウェア)
　- Hardware:
　　- 2.0+ GHz, multi-core CPU
　　- At least 20 GB free hard disk space
　　- At least 8 GB RAM (the more the better)
　　- At least one USB Type-A port that supports USB 3.0 or later which has sufficient power capability (not USB type-C nor Thundervolt3) and you must have a physical administrative access permission for the USB port
　　- A wireless network interface card
　- Software:
　　- HOST OS: Windows OS (10+) / macOS (10.14+)
　　　Full access rights for USB devices
　　- Linux laptop / Linux Desktop / Linux VM
　　- Latest version of VirtualBox or VMware Installed (HOST OS with administrator rights for VM)
　　　You CAN use VirtualBox (6.0+) or VMware Workstation Pro (13+) / Fusion (11+)
　　　You CANNOT use VMware Workstation "Player" / VMware Player.

* Details will be given in the assignments prior to class.