タクシーでの情報収集

番組開始11分ぐらいでタクシーの車内でスマートフォンを見ながらセキュリティ記事を読み込むシーンが放送されています。RSSリーダー「feedly」のAndroidアプリを使って記事を読み込まれているようです。キャッチアップをするために1日あたり少なくとも500記事の読み込みを行っているそうですが、主だって読んでいるのは記事の見出しだけなのか、それとも記事の中身まで見た件数を指しているのかはわかりませんでした。

私が画面から読み取れたfeedは次の3つのサイトの次のものでした。他にもどんなWebサイトで情報を集めているのか知りたいです。

• ThreatPost
• Security Tube
• VERACODE

尚、その後PCを開いて作業をしているシーンが放送されていたので、移動中の情報収集手段はこれに限らないのかもしれません。(最大メール1000通が毎日来るそうなのでそのチェックをしているのかもしれません。)

I Know you

その後、「敵の、先を行く」として攻撃元と思われる人物の情報を集めているシーン。名和さんは仕事で攻撃元の特定作業も請け負われていると紹介されていました。

プロフェッショナルのこだわり

名和さんが自宅でも情報収集や他業種の業務知識習得に励むシーンが紹介されます。
確認している情報源(メール)はたくさんあるようですが、確認できたものは次のメールマガジンなどで、一部は有料のものもあります。

• CIGSニュースレター
• CISTECジャーナル
• IPA CIPセキュリティニュース
• SANS Newsbites
• Security NewsLetter（NRI Secure SANS NewsBites 日本版）
• Scan NetSecurity
• JNSAメールマガジン
• デジタルフォレンジック研究会 メールマガジン (配信は会員のみ?)
• IndigoBlue メールマガジン
• 東京財団メールマガジン
• 情報ネットワーク法学会 メールマガジン
• JAXA宇宙調査情報分析ポータル(GSRAD)

500台PC感染インシデントのマルウェア解析

後半に入ると500台のPCが感染したマルウェアを解析するシーンが出てきます。その際に使用していたツールやサービスは次のもの。

• ExeInfo PE
• Virustotal
• IPinfo*1

情報収集とは関係ないのですが、ここで出てきている検体はこれのようです。

IPを割り出す方法は誤っているとして、一応メモ。

一部で VirusTotal における Submission Source の16進値が IP アドレスという話が出ていますが、そんなことはありません。 ^YT / VT Research - Google ドキュメント https://t.co/TMQDdAV5XL

— Analysis Center (@jpcert_ac) 2015, 9月 17

福森さんの凝視記事。

• トップガンを越えてゆけ

終盤でのマルウェア解析の際に、VirusTotalでの検索結果で「b1ef92??」という文字列が出てきたことから、IPアドレスが「177.239.146.???」だと判断してメキシコのサーバを経由した攻撃である可能性がある、という話になっています。
おそらく「b1ef92??」を1バイトずつに分解して、16進数から10進数に変換したのでしょう。
:
ところが、そもそもこの値はVirusTotal独自のハッシュ値ですので、こういった計算でIPアドレスを割り出すことはできません。よって、メキシコというのは誤報でしょう。

http://blog.f-secure.jp/archives/50754901.html

8月1日の日本への攻撃予告

番組最後は8月1日の攻撃予告に関する分析情報を各省庁の担当者へ送るシーン。ここでは首謀者となる人物の情報、攻撃規模に関する分析、配布していたツールが記載されていたようです。(私もほしいです。)

２ちゃんねるの反応

• プロ流儀 サイバー攻撃に挑む 名和利男★1
• プロ流儀 サイバー攻撃に挑む 名和利男★2 (1)
• プロ流儀 サイバー攻撃に挑む 名和利男★2 (2)
• プロ流儀 サイバー攻撃に挑む 名和利男★2 (3)

番組は終始対応に追われており休む間もない描かれ方でした。そして、オーバーワークから体を壊さないためにも筋トレをしないといけないことを知りました。

（追記）私も凝視しとけばよかったという方は9月19日1時10分から再放送をやるのでそれを凝視しましょう :)