IoTとクラウドセキュリティ（SoftLayer）

Transcript

1. IoTとクラウドセキュリティ（SoftLayer） IBM Cloud Community 勉強会 - クラウドとIoT - 2016年8月30日 三井物産セキュアディレクション

   佐々木 博

2. 目次 1. 自己紹介 2. IoT時代のセキュリティに関する懸念 3. IoTに関する攻撃事例 4. IoTのクラウドセキュリティ上の問題点と対策

3. 自己紹介  名前：佐々木 博（ささき ひろし）  会社：三井物産セキュアディレクション  セキュリティ脆弱性診断プリセールス担当 •

   WASF（Web Application Security Forum）でのボードメンバ(2006年-2010年) • 平成 20 年度（初年度）ウェブ健康診断 執筆協力 • 大規模診断案件のプロジェクトマネージャ等 • Androidソースコード脆弱性診断担当 など  趣味 丹沢登山、ソロキャンプ、釣り（主に管理釣り場）

4. IoT時代のセキュリティに関する懸念 データ 収集 位置 情報 画像 情報 通信 機器 機密

   情報 インターネットとデバイスがつながることで リアルタイムに情報を収集し、システム を制御することが可能となる 個人情報、 プライバシー情 報の漏えい 盗聴、盗撮... 複合機（プリンター、スキャナー、FAX） ネットワーク対応HDD（NAS） 冷蔵庫 自動販売機 デバイスサーバー （USBサーバー、プリンタサーバー) スマートサーモスタット スマートロック スマート電球 スマート煙感知器 スマートエネルギー管理デバイス スマートハブ セキュリティアラーム 監視 IP カメラ エンターテインメントシステム （スマート TV、TV セットトップボックスなど） ブロードバンドルーター ネットワーク接続ストレージ（NAS）デバイス ・ ・ ・ ・ ハッキングされたらどうすればいいの？ どんな情報が収集・利用されるの？ 情報漏えいしたら補償されるの？

5. IoT時代のセキュリティに関する懸念 機密情報やプライバシー情報の漏えい（個人情報、行動履歴、身体情報、医療情報など） 設定情報の変更（通信設定、パスワードの書き換え、意図していない情報公開など） 攻撃の踏み台（メール送信機能を使ってスパムメールの送信に悪用など） 不正アクセス（遠隔操作、ファームウェア不正プログラムの更新など） 情報の改ざん（位置情報、画像、センサー情報など） デバイスの乗っ取り（ボット化してTelnet検索、DDoS、Bitcoinのマイニングなど） その他（キーロガー、フィッシングなど）

6. IoTに関するセキュリティ事例 Black Hat USA 2015：Jeepのハッキング 米FCA社（旧Chrysler社）が、ハッキ ング対策のために140万台の車両を米 国でリコール 2015年8月Black Hat

   USAにてCharlie Miller(チャーリーミラー)氏とChris Valasek(クリス・ヴァラ セク)氏がJeep「チェロキー」の攻撃に成功したと発表 米国では著名ハッカーがネットにつながる車の安全性に警 鐘をならす目的で、米専門誌と共同でクライスラー車を 乗っ取る実験を行い、ネット上で公開したこと が話題と なっている。クライスラーが使う専用無線回線「Ｕコネクト」 から車の頭脳であるコンピューターに侵入して、外部からエ ンジンを切ったり、ワイパー を動かしたりした。遠隔操作 でハンドルを動かしたり、加減速させたりできるという。 出典 http://www.nikkei.com/article/DGXLASGM25H19_V20C15A7MM0000/

7. IoTに関するセキュリティ事例 1億台のフォルクスワーゲンがドアロック解除可能な新たな無線ハッキング手法 出典 https://www.wired.com/2016/08/oh-good-new-hack-can-unlock-100-million-volkswagens/ VWが1995年以降に販売したほぼ全 ての自動車に関わるもの ワイヤレスキーをリバースエンジニアリング することで、暗号化通信を復号するため の暗号鍵の値を割り出すことに成功した

8. IoTに関するセキュリティ事例 ウェブカメラのパスワード未設定問題（2015年03月23日 朝刊） 朝日新聞がインターネットにつながる全機器に割り当てられている国内の約９千万のＩＰアドレス（ネット上の 住所）を無作為にたどり、約１２５万のアドレスについて検証。先月末時点で防犯用などのウェブカメラ２１６ ３台のうち、３５％にあたる７６９台でパスワードの未設定が分かった。第三者が映像や音声を見聞きできる 状態になり、犯罪やプライバシーの侵害を誘発する可能性がある。調査はこうした現状を伝えることを目的とし、Ｉ Ｔの専門家や捜査関係者の助言を受けながら法令に抵触しないように進めた。報道後、情報処理推進機構 （IPA）はホームページ（http://www.ipa.go.jp）で、メーカーのパナソニックも法人向けページ （http://panasonic.biz/security/）で注意を呼びかけている。

   ほかにも........ ルータへのHacking 冷蔵庫へのHacking ペースメーカーへのHacking 電光掲示板へのHacking 制御機器へのHacking 出典 朝日新聞デジタル

9. IoTに関するセキュリティ事例 ロシアのサイトによるWebカメラ（防犯カメラ・監視カメラ）映像の公開

10. IoTに関するセキュリティ事例 世界105カ国に設置された防犯カメラ2万5000台を踏み台にして、大量のトラフィックを特定 の標的に送り付ける分散型サービス妨害（DDoS）攻撃が仕掛けられる事件が発生した。 出典 http://www.itmedia.co.jp/enterprise/articles/1606/29/news067.html Webカメラ以外にもルーターやネットワークスト レージ、DVDレコーダー/BDレコーダーといった、 組み込みLinuxを搭載してインターネットに接 続する機器の脆弱性が狙われてボット化するこ とでDDoS攻撃に悪用される事例が発生して

    いる

11. IoTに関するセキュリティ事例 出典 http://www.computerworld.com/article/3105001/security/hackers-demonstrated-first-ransomware-for-iot-thermostats-at-def-con.html 今年のDEF CON で発表されたスマートデバイスを狙ったランサムウェア

12. IoTとセキュリティ API API API API クラウドサービス IoT のセキュリティ サービス間の連携 サービスレイヤのセキュリティの問題

    デバイスレイヤのセキュリティの問題

13. IoTとセキュリティ 1. 情報 2. 機能 デバイス領域 クラウド領域(サービス) 1. 情報 2.

    機能 1. 情報 2. 機能 デバイス領域

14. OWASP TOP 10 IOT Vulnerabilities FROM 2014 OWASP※が2014年に発表した IoTの脆弱性トップ10 リスト

    1 Insecure Web Interface（安全でないWebインターフェイス） 2 Insufficient Authentication/Authorization（不十分な認証/認可） 3 Insecure Network Services（安全でないネットワークサービス） 4 Lack of Transport Encryption（不十分な通信の暗号化） 5 Privacy Concerns（プライバシーに関する懸念） 6 Insecure Cloud Interface（安全でないクラウドインターフェイス） 7 Insecure Mobile Interface（安全でないモバイルインターフェイス） 8 Insufficient Security Configurability（不十分なセキュリティ設定） 9 Insecure Software/Firmware（安全でないソフトウェア/ファームウェア） 10 Poor Physical Security（物理的セキュリティの脆弱さ） 出典 https://www.owasp.org/index.php/Top_IoT_Vulnerabilities ※OWASPとは、Open Web Application Security Projectの略で、ウェブセキュリティの発展を臨む上で重要な役割を担っているオープンコミュニティ

15. IoTのクラウドセキュリティ上の問題点と対策 1. サービスの妨害、停止 もし、デバイスがその動作に必須の情報をサービスから得ている場合、サービスの停止またはレスポンスの低下により不具合を引き起こす可能性がある。 こうした障害は、サービスに依存している大量のデバイスに、ほぼ同時に発生する可能性が有り、社会的な混乱をもたらす可能性がある。 2. 誤った情報の流布 デバイスが受け取る情報をサーバ側で改ざんすることで、攻撃者が意図した情報を様々な形で流布できる可能性がある。これによる社会混乱などが 引き起こされる可能性がある。 3.

    不正なデータによる機器の乗っ取りや妨害 デバイスが、サーバから受け取ったデータによりその動作を決定する場合、そのデータをサーバ側で改ざんすることにより、デバイスの動作を妨害したり、 意図的に特定の動作をさせることができる可能性がある。 4. 収集された様々な情報の漏洩や悪用 サーバにはデバイスから収集された大量のデータが格納されている場合がある。ユーザ情報もしくは匿名情報にかかわらず、こうした情報が漏洩したり、 それらを悪用されることで、様々な問題が生じうる。 5. スクリプト、アプリケーション改ざん 多くのデバイスがサーバ側から受け取るアプリケーションやスクリプトコードを動作させる仕組みを有している。これらのコードをサーバ側で変更することで、 攻撃者はデバイスに対して任意の動作を実行できる可能性がある。 6. システムソフトウエア（ファームウエア）改ざん デバイスのシステムソフトウエア（ファームウエア）の自動更新機能を利用して、攻撃者は改ざんされたコードをデバイスに配布できる。これにより、攻 撃者はデバイスの制御を完全に奪うことができ、デバイスを様々な用途に使用することができる。 出典 日本クラウドセキュリティアライアンス http://www.cloudsecurityalliance.jp/WG_PUB/IoT_WG/IoT_threat.pdf

16. IoTとクラウドセキュリティ 出典 技術よりな人が最初に読む柔らか層本 第4.3版 より抜粋 OS設定、アプリケーション領域のセキュリティ 管理はユーザの責任 責任共有モデル

17. クラウド責任共有モデル HWの物理的セキュリティ NWインフラ 仮想化インフラ SoftLayer側の管理 セキュリティパッチ適用 ミドルウェア環境設定 アプリケーション/データ クラウド利用者側の責任分担 脆弱性

18. SoftLayerが提供しているセキュリティサービス 出典 技術よりな人が最初に読む柔らか層本 第4.3版 より抜粋

19. IaaS PaaS SaaS セキュリティ脆弱性診断 アプリケーション データ 仮想化 サーバー ストレージ ネットワーク

    ミドルウェア NWインフラ環境 OS アプリケーション データ 仮想化 サーバー ストレージ ネットワーク ミドルウェア NWインフラ環境 OS アプリケーション データ 仮想化 サーバー ストレージ ネットワーク ミドルウェア NWインフラ環境 OS Webアプリケーション診断 ネットワーク診断 ペネトレーションテスト スマホアプリ診断 組込機器診断 利用者 サービス提供者 IoTのクラウドセキュリティ上の問題点と対策

20. Secure by Designとは セキュリティの担保をリリース前のテストや運用時だけでなく、ソフトウェア・エンジニアリングで、ソフトウェア が安全になるようにゼロから設計されていることを意味する。安全安心を実現する設計の検証・評価を 行うこと。 IoT セキュリティ対策の5 つの指針 大項目

    指針 要点 方針 IoTの性質を考慮した基本方針を定める 経営者が IoT セキュリティにコミットする 内部不正やミスに備える 分析 IoTのリスクを認識 する 守るべきものを特定する つながることによるリスクを想定する つながりで波及するリスクを想定する 物理的なリスクを認識する 過去の事例に学ぶ 設計 守るべきものを守る 設計を考える 個々でも全体でも守れる設計をする つながる相手に迷惑をかけない設計をする 安全安心を実現する設計の整合性をとる 不特定の相手とつなげられても安全安心を確保できる設計をする 安全安心を実現する設計の検証・評価を行う 構築・接続 ネットワーク上での対策を考える 機器等がどのような状態かを把握し、記録する機能を設ける 機能及び用途に応じて適切にネットワーク接続する 初期設定に留意する 認証機能を導入する 運用・保守 安全安心な状態を維持し、情報発信・共有 を行う 出荷・リリース後も安全安心な状態を維持する 出荷・リリース後も IoT リスクを把握し、関係者に守ってもらいたいことを伝える つながることによるリスクを一般利用者に知ってもらう IoT システム・サービスにおける関係者の役割を認識する 脆弱な機器を把握し、適切に注意喚起を行う 出典 2016年7月5日 IoTセキュリティガイドライン(IoT推進コンソーシアム・総務省・経済産業省) http://www.meti.go.jp/press/2016/07/20160705002/20160705002.html

21. IoTクラウドセキュリティ対策 • 通信相手の真正性を確認する（署名チェック、認証、証明書）サプライチェーン • 安全な通信手段を利用する（暗号手法、証明書） • API入力データのチェックを行い、出力時にはエスケープ処理を行う • ミドルウェア等の認証機能を利用する（独自実装しない。認証と認可の違いに注意） •

    セキュリティイベントをログに記録する（ただし、プライバシーの問題や情報漏えいに注意） • 初期設定に注意（デフォルト設定の変更、最少権限の原則） • デバッグ情報、開発時設定の破棄 • アカウントロックの実装、二要素認証（ニ段階認証） の検討（攻撃の試行を止める） • 変更不可なデバイス識別情報を収集しない（認証利用、トラッキング・名寄せ） 相互接続する相手側のデバイス、サーバは信頼しない 重要なデータは暗号化する データの入出力がセキュリティのポイント

22. MBSDセキュリティ診断メニュー Webアプリケーション診断 今最も攻撃者の標的となりやすいWebアプリケーションに潜む脆弱 性を検証するサービスです。セキュリティエンジニアが攻撃者の視 点に立って隅々まで診断・分析し、詳細なレポートと合わせて有効 な対策を報告いたします。 ネットワーク診断 お客様のネットワーク上のサーバーやネットワーク機器の脆弱性を 検証するサービスです。セキュリティエンジニアが攻撃者の視点に 立って診断・分析し、脆弱性とその対処方法を報告いたします。

    組込機器診断 家電製品や装置に組み込まれる組込機器は生活に身近なものとなっ ています。現在市場に出回っている機器はもとより、製造中、開発 中の組込機器について、ネットワーク接続をはじめ、様々な経路か らの未知の脆弱性を診断いたします。 スマートフォンアプリケーション診断 スマートフォンアプリケーション診断では、アプリケーションが使 用するWeb APIの診断に加え、スマートフォンアプリケーションそ のものに対し診断・分析を行い、詳細なレポートと併せて有効な対 策を報告いたします。 ソーシャルゲーム診断 ソーシャル・ネットワーキング・サービス上で提供されるゲームア プリケーションを対象にブラウザまたはAndroid/iOSゲームに潜む セキュリティ上の欠陥を検出し、原因と想定される影響・被害およ び対策を報告いたします。 RIA（Rich Internet Application）診断 近年増加しているRIA（Rich Internet Application）向けに、Web 脆弱性診断技術と組込機器のプロトコル解析技術を融合させて、精 度の高い診断サービスを実現しています。 RIA：ユーザーインターフェースにFlash、Java Applet、Ajaxなどを用いた操作性や 表現力に優れたWebアプリケーション ペネトレーションテスト ネットワークに接続されているサーバやネットワーク機器に対して、 セキュリティエンジニアが多角的な面よりシステムへの侵入が可能 か手動にて調査を行い、疑似的なハッキングテストを実施します。 標的型攻撃耐性診断 お客様の標的型攻撃対策・運用状況を可視化・評価することで、運 用見直し推奨ポイントやロードマップ案をご報告いたします。また、 攻撃検知のための不正通信検知機材の導入、攻撃のもととなる悪質 なマルウェア振舞探知機材の導入・運用管理サービスも提供します。 MBSDのセキュリティ診断サービスにつきましては、下記サービスよりお選び頂けます。独自実装されているアプリ ケーションなどのセキュリティ診断におきましては、お客様へのヒアリングを行ったうえで、ご対応させて頂きます。

23. ご清聴ありがとうございました。 【お問い合わせ先】 三井物産セキュアディレクション株式会社 佐々木 博 [email protected] 永野 英世 [email protected]