学生が2人発表することもあり初めて参加。会場はくにびきメッセで、初めての島根県。いや、ようやく島根県進出が叶ったと言うべきか。
- 13:00~ 秘密分散に関するセッションに参加。定性的な発表が多かった。予習をしておけば良かったと反省しきり。
- 14:40~マルウェア動的解析に関するセッションに参加。興味が移り変わってるのではなく、単にこのセッションはデモ的な発表と推察されたため、ぜひ見たいと思ったからである。
- Alkanet によるデータセット解析結果の報告:2011 4億3000万種のマルウェアが発見されている。アンチデバッグ/コードインジェクションを行うものなど、最近のマルウェアには動的解析が有効。VMMなら権限が高い。それ自身を検出されないため準パススルー型VMM BitVisorを採用。ゲストOSは物理ハードウェアをそのまま認識。CCCDATAset2012の40体について解析を行った。検出された割合が2%と少なすぎるので結局はログを精査することとなった。
- ネットワークエミュレータGINEを用いたマルウェア挙動解析:冒頭の「至らない点もありますがよろしくお願いします」は好感を持てる。TRUMANBOX[3], 模倣DNS[7]が関連研究。解析環境じたいを仮想化。実Internetに接続し解析するのが今後の方向性ではないか?Linuxでサーバを構築しおとりにするのと差分は?設定が大変なのでxinetdを使い応答を返す簡便さを取った。ダウンローダがあたりまえになっている現状で閉じたネットワークでの解析手法はどの程度通用するのか?(まだできていない) xinetdであればhoneydでも良いのでは?(勉強不足でした。色々なリクエストへの応答を返すのであれば honeyd でOKのはず)。
- ハイパバイザ内シグネチャマッチングによるマルウェア検出:マルウェアがOSカーネルを乗っ取った場合:例Confickeはアンチウイルスの動作を妨害する。管理者がアンチウイルスをインストールさせたいが、利用者はOSアップデートの権限があるようにしたい。アンチウイルスをハイパバイザで動作させる。BitVisorを改造して実装。シグネチャに一致した部分をゼロフィルにする(危険な)処理を行っている。もっと高度な処理をするとOS非依存である利点が消えてしまうので悩んでいる。ネットワークを止めるなど自己検疫的な処理をするのはどうか。ファイルのランダムアクセスの増加など、Anomary 検出に広げるのはどうか。VMが多数ある環境ならあるVMだけ動きがおかしいなどの検知を行うこともできるのではないか。
特別講演:Rubyがもたらす多様性の世界(まつもとゆきひろ氏)
講演の前に、実行委員長より、本シンポジウムへの参加者は370人との報告あり(聞き間違いならどなたか指摘してください)。
- プレゼンが Rubist らしく Rabbit で書かれていた。シンプルで素晴しい。
- アジャイルプログラミング/ハッカー向け言語/Web制覇/生産性が高い。TwitterはRubyで書かれていたが負荷が高くなったのでコアはJava(Scala)に変更された。
- なぜ Perl があるのに Ruby 作ったの?無駄使いじゃないの?リソースが有限という考えではなく、モチベーションが大切。ヤル気の力。私達は全てアセンブラに戻るべきか?コスト/人間の感覚は無視。Ruby は感覚を重視した言語。ちょっといい車輪。オープンソース(1998)。Twitter のサービスは 100% オープンソース。
- OSSとセキュリティについて。正直めんどくさいのでセキュリティ技術者にぜひご提案を。
共感することが多かった。やはりモチベーションが大切。