Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
「IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ 」 OWASP Kansai
Search
OWASP Kansai
September 04, 2017
Technology
1
400
「IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ 」 OWASP Kansai
OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaにて
パナソニック株式会社 堀部 千壽さんに
発表いただいた資料です
OWASP Kansai
September 04, 2017
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
63
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
400
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
190
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
740
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
190
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
110
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
170
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
280
OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと
owaspkansai
0
590
Other Decks in Technology
See All in Technology
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
0
150
テストプロセスで大事にしていること #jasstnano
makky_tyuyan
0
130
AIQ株式会社 エンジニア向け会社紹介資料
aiqlab
0
370
プロトタイピングによる不確実性の低減 / Reducing Uncertainty through Prototyping
ohbarye
3
240
OpenTelemetry を使ったトレースエグザンプラーの活用 / otel-trace-exemplar
k6s4i53rx
2
640
Oracle Cloud Infrastructure:2024年4月度サービス・アップデート
oracle4engineer
PRO
1
110
SPI原点回帰論:事業課題とFour Keysの結節点を見出す実践的ソフトウェアプロセス改善 / DevOpsDays Tokyo 2024
visional_engineering_and_design
4
1.6k
少数チームで挑む: SwiftUI, TCA, KMPを用いた 新規動画配信アプリ 「ABEMA Live」の開発について
tomu28
0
540
「ふりかえりのふりかえり」をふりかえり、実のあるふりかえりにする
naitosatoshi
0
220
o11y入門_外形監視を利用したWebアプリケーションへの最適なモニタリング_TechBrew
k5k
3
100
ChatGPT for IT Service Management (IT Pro)
dahatake
2
160
オーナーシップを持つ領域を明確にする
konifar
11
2.6k
Featured
See All Featured
Mobile First: as difficult as doing things right
swwweet
216
8.6k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
76
41k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
1
3.4k
What's new in Ruby 2.0
geeforr
337
31k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
321
20k
Designing for humans not robots
tammielis
247
25k
Fashionably flexible responsive web design (full day workshop)
malarkey
397
65k
Side Projects
sachag
451
41k
Reflections from 52 weeks, 52 projects
jeffersonlam
344
19k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
2k
Fireside Chat
paigeccino
20
2.6k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
Transcript
IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ パナソニック株式会社 Panasonic PSIRT
堀部 千壽
自己紹介… • パナソニック株式会社 製品セキュリティセンター 所属 • Panasonic-PSIRT 在籍 • ネットワーク家電のセキュリティ強化に従事
• 家電および組込み機器に対する脆弱性診断 • 家電向けサービスサーバに対する脆弱性診断 • 家電を含むネットワークシステムの机上リスク分析 • セキュリティ診断関連業務に10年間従事 堀部 千壽(Yukihisa Horibe) 2
IoTって何? • IoT : Internet of Things の略 • 今までネットワーク(≒インターネット)につながらなかったような物
がつながる – センサーなどの小型・小リソースデバイス – クラウドサービス・AI – スマートフォン(個人携帯端末) • 今までつながっていたものも継続してつながる • 2017年で推定84億台、2020年で推定204億台がつながる… それらサービスやデバイスが 相互接続・連携しあい新しい価値が生まれる 3
IoTっておいしいの? • 新たなサービス・価値 – 大量データ(ビッグデータ)の活用による、より綿密・繊細なサービス – AIを絡めた、今までにはないデータ活用方法 • 誰にでも利用可能なサービス –
スケールメリットによる低価格・高品質化 • 国家的にも推進 – ドイツを筆頭としたEU – Google・Apple・Amazonを擁する米国 – 日本も国家成長戦略の一環としてIoTを推進 ユーザに対するメリットも多そう お金が儲かりそうなにおいも… 4
IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場
5
IoTって大丈夫なの… 専用検索エンジンによるIoTデバイス探索 • SHODAN、ZoomEye、Censys など • インターネットにつながっているデバイスを気軽に検索できる • 意図せずインターネットからアクセスできてしまっていると 思われるデバイスも多数確認できる…
6
IoTって大丈夫なの… ハッキング事例:Blu-Rayプレイヤー • defcon22(2014)にて公開 • Panasonic製の家庭向け Blu-Rayプレーヤーに脆弱性 (同じ発表枠で他にも20デバイスほど、組込み機器の脆弱性が報告された…) • リモコン入力部分に、リモコンで
攻撃コードを入力することで コマンドインジェクション可能 • 基板上のデバッグピンや ファームウェアの解析が中心 7
IoTって大丈夫なの… IoTむけマルウェア「Mirai」 • IoTデバイスを主要な感染ターゲットとする • デバイス上のTelnetに対しBruteForce攻撃を実施 – IoTデバイスでよく使われるデフォルトID/PWDを利用 • ログインに成功すると感染行動を開始する
• MiraiによりBot化したIoTデバイスが Botnetを形成し、DDoS攻撃に加担 • ソースコードが公開された • 亜種も多数確認されている 8
IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場
9 現状、あまり大丈夫ではなさそう…
救世主? OWASP IoT Top10! • OWASP : Webアプリケーション分野で 最も有名なセキュリティコミュニティ •
IoTデバイスで特に留意すべき10の脆弱性を提示 ① Insecure Web Interface ② Insufficient Authentication/Authorization ③ Insecure Network Services ④ Lack of Transport Encryption ⑤ Privacy Concerns ⑥ Insecure Cloud Interface ⑦ Insecure Mobile Interface ⑧ Insufficient Security Configurability ⑨ Insecure Software/Firmware ⑩ Poor Physical Security 10
留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4
通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 11
留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4
通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 12 Webアプリにおける 視点とほぼ同じ
留意すべき10の視点・観点(抜粋) 5:プライバシーの懸念 • 不必要な個人情報の収集 13
留意すべき10の視点・観点(抜粋) 7:安全ではないモバイルインターフェース • アカウントが推測可能(連番で生成など) • アカウントのロックアウト機能なし • 認証情報がネットワークに露出する(BASIC認 証など) 14
留意すべき10の視点・観点(抜粋) 8:不十分なセキュリティ機能の設定 • 権限設定の不備 • パスワード管理機能の不備 • 攻撃検知やログ出力情報の不備 15
留意すべき10の視点・観点(抜粋) 9:安全ではないソフトウェア/ファームウェア • ファームウェアが平文で提供される • ファームウェアの改ざんチェックを行わない • ファームアップ機能がない 16
留意すべき10の視点・観点(抜粋) 10:貧弱な物理セキュリティ • USBポートから内部にアクセス可能 • ストレージが取り外し可能 17
留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4
通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 18
IoTのセキュリティ強化における課題(の一部) • デバイスのリリース後、セキュリティ対策を 後から入れ込むことは、けっこう難しい… – システムのロジックが大きく変わる変更は難しい • 後から認証機能やアクセス権限機能など、 システムの根幹にかかわる機能を追加すると、 開発リソースの増加と大量のバグや脆弱性を生み出す…
– ファームウェアアップデートの問題 • アップデートを準備してもユーザ側が実施するか? • 自動アップデートの場合、理解が得られるか? (システムの可用性への影響を懸念、動作確認作業の増大) 19 要件定義や設計の上流工程の段階で セキュリティを仕様として入れ込むことが重要 そのためにOWASP IoT Top10の 普及、啓発が必要!
まとめ • IoTに関しても、もちろんセキュリティを考慮する 必要がある • OWASP IoT Top10にて、留意すべき10の視点が 整理、公開されている •
特にデバイスにおいては、設計段階でのセキュ リティの考慮が重要 – リリース後のセキュリティ対応が困難であることが多 いため 20