はじめに

この記事はSecHack365 Advent Calendar 2022の14日目の記事です。(ここまで穴は開いてるけど)

qiita.com

 

今回は、NICTに潜入してきたという内容で書きたいと思います。正直、NICTで働いていることは来年まで公にするつもりはなくて悩んでいたんですが書きたいと思います。

また、この記事を書くことを上司に何も言ってないので予告なしに削除される可能性があります。非公開情報には触れないように書くつもりですが。

 

• はじめに
• NICTとは
• 働かせていただけることになった流れ
• NICTで何をしているのか
  • 軽く説明
  • 今までやってきたこと
  • 勤務形態・中の様子
• 最後に

 

NICTとは

NICT(エヌアイシーティー)とは国立研究開発法人 情報通信研究機構*1の略です。

いろんな研究所があります。このSecHack365もNICTのサイバーセキュリティ研究所のナショナルサイバートレーニングセンターのもとで行われているプロジェクトです*2。

僕はNICTについてめちゃんこ詳しいわけではないのでこれ以上特筆すべきことが見つからないので、ここで終わり。

僕が所属しているのはサイバーセキュリティ研究所 サイバーセキュリティ研究室*3です。

働かせていただけることになった流れ

きっかけはSecHack365です。第2回イベントで井上さんによる講演でNICTにはリサーチアシスタント(以降RAと表記)という制度があり、言ってみればバイトができるということだったのです。

そもそも、自分はNICTなんてSecHack365通ってもあまりちゃんと知らなかったわけなのでこのオフラインの場では井上さんに声をかけることができず(無知無知の無知ってやつです。)、帰宅しました。

後日、園田さんに「気になるんで、やらせてくれ。スキルセット公開するぜ」的なDMを送り、ああやこうやしてると10月採用ってことで進んで働き始めれることができました。

採用までにいろいろな方に迷惑をおかけしました。この場を借りて謝罪と感謝をさせていただきます。

ではいよいよ、みんなが気になっているであろう業務内容などについて書いていきます。

NICTで何をしているのか

軽く説明

先述の通り、サイバーセキュリティ研究室で勤務をしています。

ここで一番有名そうなのは、定期的にNICTERでの観測統計をツイート(NICTER 解析チーム (@nicter_jp) / Twitter)しているところでしょうか。

自分の業務内容は平たく言えばGhidraにエサやりして、経過観察してます。

これは全然嘘ではなくて、IoTマルウェアの解析を主にしています。上記のNICTER等のダークネット上で観測された検体を見たりしてます。

ただ自分の実態としては次のような感じです。

• エサやるぞー
• おっ。結果出たじゃん
• ふむふむ。なんも分かんねー

世の中ではこういうときにニャーンて言ってたらいいんでしたっけ。

 

IoTマルウェアを解析して、レポート的にまとめる内容はこれです。

• ファミリ・バージョンは何か、どの亜種か
• 何が従来と同じで、何が異なっているのか

今までやってきたこと

この内容書くの、かなり神経使いますね。

• IoTマルウェアのソースコードを読んで、各特徴を理解した
  • Mirai、Moobot、Fbot等
• DVR見た

  • JVNVU#94514762: ユニモテクノロジー製デジタルビデオレコーダにおける複数の脆弱性

• IoTマルウェアの解析
• emotetの解析

みんながRAをどんな感じでイメージしてるかは分からないですが、あまり「これして」って渡されることは少ないです。基本的に、自分でいろいろ探してやってます。

たまに、自分が持ってるマルウェアネタが切れるんですがその時は気になってるツール使って勝手に理解したり、研究室内であまり使われてないツールだったらまとめて資料公開してます。

ほんとにダメ人間なので、ハニーポッターしてないし、脅威情報まじめに追いかけてないです。そういうところもやって行きたいところ。

今のところ習得したであろうスキル

• 動的アンパック
• 今まで使ったことなかったツールの利用法
• ファームウェアの取扱・解析方法
• Bindiffを使ったファミリ・亜種特定

勤務形態・中の様子

潜入してきました！って言ってるんだからこれ書かないとね。なんならこれが一番重要。

基本的にオンラインで働いてます。勤務は週2で、その日はフルタイムで働いてます。

RAの形態とかは調べてもらえれば出てくると思います。たくさんの研究室・研究分野があるのでいろんなことができると思います。

来るもの拒まず的な風潮があるっぽくて、とりあえず申し込めばいいと思うのですが注意点として所属してる学校の名前を借りて入るので学校側の許可がいります(研究室の教授の許可)。
今回、高専の名前使って入りましたがNICTも高専生の受け入れが初めてだし、高専は高専でバイトの規則等があるのでかなり大変でした。

で、実際に潜入してきたのでその報告をします。今年のsechackでは小金井の見学があったと思うのですがコロナの影響でなくなりました。僕は来年の4月まで入り放題です。

一回行ってきました。

   

 

NICTでは、核実験が行われているのではとか猫・犬が大量発生しているのではとか、強面のプロがたくさん働いてるのではとか思っていましたがこんなことは一切ありませんでした。

NICTでは日本標準時が作られていました。

www.nict.go.jp

こちとら標準時子午線から来とるんやぞとか思いましたが、ここでの標準時はまた違うようで...(詳しくは調べて下さい)

強面のプロはいませんでしたが、強々のプロはいましたのでちびりそうになりましたが優しかったのでもらさずに済みました。

色々な方と挨拶をさせていただきました。いい思い出です。

最後に

RAは学生ができるものなので、来年から社会人の僕は3月末まで勤務です。残された時間はかなり少ないですがこれからも精進しようと思っています。

SecHackの進捗については聞かないで下さい。

明日からも続くアドベントカレンダーをまたご覧ください。