【CODEBLUE2019】CoinbaseとFirefoxの0-day
CoinbaseとFirefoxの0-day Presented by フィリップ・マーチン
2019年6月17日、コインベースは、同社の従業員を狙い2つのFirefox 0dayを利用する攻撃者の試みを検知し、ブロックした。暗号通貨業界は、このような複雑巧妙化した攻撃が続くことを予測しなければならない。そこで、優れた防御姿勢を持ったインフラを構築し、私たちが確認している攻撃の情報をお互いに共有して連携することで自らを守り、暗号通貨経済を支持することができる。そこで本発表では、0 day 攻撃、コインベースが検知し対応した方法、将来このような種類の攻撃に対し周到に準備する方法について、コインベース社の情報セキュリティ最高責任者(CISO)フィリップ・マーティン氏が深く解説する。
- 00 Intro
- 攻撃の概要
- 十数社の暗号通貨の会社の役員クラスの200人を標的とした
- 個人情報は、ソーシャルエンジニアリングによって収集された
- 攻撃の概要
- 01 Attack Timeline and Overview
- Phase 1 Recon(偵察)
- 約200人をリストアップし、個人的なメールアドレスを集めた
- 企業メールではなかったため、対策ができなかった。
- Phase 2 Weaponization(情報の武器化)
- Phase 3 Delivery
- 二つの0-day
- CVE-2019-11707
- CVE-2019-11708
- よく準備されていた
- 攻撃者は自分で攻撃方法を事前に発見していた可能性がある
- 2つめは、新しいものだった。
- 攻撃者は自分で攻撃方法を事前に発見していた可能性がある
- 二つの0-day
- Phase 4/5/6 Exploitation Installation & C2
- Phase 7 Actions on Target
- 実際に攻撃者がどのような攻撃をしたのかはっきりと分かっていない。
- エクスプロイトされた後、20分後に感知し、対応をした
- 検知されていなかったら、どうなっていたかはわからない。
- エクスプロイトされた後、20分後に感知し、対応をした
- 実際に攻撃者がどのような攻撃をしたのかはっきりと分かっていない。
- Attacker Info
- 2016に活動を始め、0-day攻撃をいくつかこなしている。
- ポーランド、日本では、報告があったが、英語ではなかった。
- 経験と資金が豊富だったと考えられる
- Phase 1 Recon(偵察)
- 03 Response and Lessons Learned
- Visibility
- 可視化が重要
- 攻撃に対しては、注力していたので、対応ができた
- Alert
- 高速なレスポンス
- アラートが増えると、信頼性がなくなるため、アラートは精度がよく、行動に移せるものである必要がある。
- Visibility
感想
とても巧みな、攻撃だったことに驚かされた。 また、0-dayの攻撃に対して、20分で対応した点にも、非常に驚いた。
攻撃が起こる前から、精度の高いアラートや、練習をしていることで、実際に起こった場合にも、迅速に対応できたのだと思った。