田中ザック【CODE BLUE SPEAKER インタビュー】
[Speaker interview, English follows]
Hayabusa - 無料で行える、ウインドウズ環境での脅威ハンティングと迅速なフォレンジック
CODE BLUEでは、オープンソース・ツールやプロジェクトを紹介するBlueboxという講演枠を設けています。今回はこのBlueboxから「Hayabusa - 無料で行える、ウインドウズ環境での脅威ハンティングと迅速なフォレンジック」の講演を予定されている田中ザック( Zach Mathis)氏のインタビューをお届けします。
https://codeblue.jp/2022/talks/?content=talks_24
講師の田中ザック氏は、セキュリティ勉強会の主催や、セキュリティ系イベントへのスタッフ参加など、これまでコミュニティで積極的に活躍してきた人物です。
“Hayabusa”はOSSで提供されるWindowsのイベントログ解析ツールです。高速で動作することからフォレンジック調査の現場などで力を発揮します(GitHubのURLはコメント欄で紹介します)。
―― 発表されるテーマを始めたきっかけは何ですか?
田中氏:かつて、SIEMサーバーがマルウェアによってダウンした大規模な侵害のインシデント対応を行いました。この時、Windowsのイベントログを手動で収集・分析する必要がありましたが、非常に時間がかかり、退屈な作業でした。
攻撃者は非常に短い時間で組織に侵入し、目的を達成します。そこで、分析を高速化し攻撃者が目的を達成する前に検知できる調査用ツールがあれば、多くの人にとって非常に有用であると考えたのです。
―― この研究を行う上で、障害となったことは何ですか?
田中氏:幸運なことに、多くの人がこのプロジェクトを手伝いたいと申し出てくれました。ですが、当初は人数が多すぎて、その管理が大変でした。
もっとも大変だったのは、技術的な開発ではなく、チームメンバー間のコミュニケーションです。それは、全員が同じ考えで、モチベーションを高く持ち、楽しんでプロジェクトに取り組むことです。
―― この講演に参加しようと思っている人たちに一言お願いします。
田中氏:ブルーチームのツールを作成する機会は無限にあります。残念ながら、現在、レッドチームのペンテストツールの方が、数多く存在しています。しかし、最終的には調査や防御のためのツールの方がより重要なのです。私は、このプロジェクトで技術面ばかりではなく、チーム作りや管理、リーダーシップといった技術と同様に重要なスキルも学んできました。そして、私たちの努力によって世界中の人々が恩恵を受けていることに大きな喜びを感じています。
“Hayabusa - Threat Hunting and Fast Forensics in Windows environments for free!”
Zach Mathis
https://codeblue.jp/2022/en/talks/?content=talks_24
―― How did you get started in the topic that you are presenting?
I was performing incident response for a major breach where the SIEM server was taken down by malware. We had to manually collect and analyze Windows event logs which was a very slow and tedious process. Attackers are breaching organizations and obtaining their goals in a very short span of time so I knew that a tool for investigators that could speed up analysis to detect the attackers before they obtained their goals would be very useful for many people.
―― What were some of the obstacles in doing this research?
I was lucky in that many people wanted to help out with the project, however, at first there were too many people and it was hard to manage them all. The most difficult part is probably not the technical development but the communication between team members, making sure everyone is on the same page, motivated and enjoying working on the project.
―― What would you say to the people thinking of attending this talk?
There are infinite opportunities to create blue team tools at the moment. Unfortunately, there are currently more red team penetration testing tools than there are tools for investigation and defense, which in the end are more important.
インタビュイー
田中ザック(ザック・マシス)
幼少期より、コンピューターハッキングと日本語を始める。田中ザック(ザック・マシス)は日本の神戸に拠点を置いており、2006年以来レッドチームとしてのサービスだけでなく、ブルーチームインシデント対応および防御のコンサルティングを日本の大手グローバル企業向けに実施している。日本最大級で人気のあるハンズオンセキュリティコミュニティ「Yamato Security」の創設者であり、2012年から無料トレーニングを提供し、地域のセキュリティコミュニティの向上に貢献。2016年からは、SANS Instituteのセキュリティ講師を努め、多数のGIAC資格を有す。現在、他のYamato Securityメンバーと協力して、セキュリティアナリストの業務を支援するための無料かつオープンソースのセキュリティツールを提供している。
日本語サイト:https://www.sans-japan.jp/sans_instructor_zachary_mathis
English Profile
インタビュワー
斉藤健一(さいとうけんいち)Kenichi Saito
元ハッカージャパン編集長。現在フリーライター。CODE BLUEをはじめ、セキュリティ業界を徘徊しています。日本ハッカー協会や企業のオウンドメディアなどでも活動。
Twitter : @hj_saito