「IoTのセキュリティを考える ～ OWASP IoT Top 10 ～ 」　OWASP Kansai

Transcript

1. IoTのセキュリティを考える ～ OWASP IoT Top 10 ～ パナソニック株式会社 Panasonic PSIRT

   堀部 千壽

2. 自己紹介… • パナソニック株式会社 製品セキュリティセンター 所属 • Panasonic-PSIRT 在籍 • ネットワーク家電のセキュリティ強化に従事

   • 家電および組込み機器に対する脆弱性診断 • 家電向けサービスサーバに対する脆弱性診断 • 家電を含むネットワークシステムの机上リスク分析 • セキュリティ診断関連業務に10年間従事 堀部 千壽（Yukihisa Horibe） 2

3. IoTって何？ • IoT ： Internet of Things の略 • 今までネットワーク(≒インターネット)につながらなかったような物

   がつながる – センサーなどの小型・小リソースデバイス – クラウドサービス・AI – スマートフォン(個人携帯端末) • 今までつながっていたものも継続してつながる • 2017年で推定84億台、2020年で推定204億台がつながる… それらサービスやデバイスが 相互接続・連携しあい新しい価値が生まれる 3

4. IoTっておいしいの？ • 新たなサービス・価値 – 大量データ(ビッグデータ)の活用による、より綿密・繊細なサービス – AIを絡めた、今までにはないデータ活用方法 • 誰にでも利用可能なサービス –

   スケールメリットによる低価格・高品質化 • 国家的にも推進 – ドイツを筆頭としたEU – Google・Apple・Amazonを擁する米国 – 日本も国家成長戦略の一環としてIoTを推進 ユーザに対するメリットも多そう お金が儲かりそうなにおいも… 4

5. IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場

   5

6. IoTって大丈夫なの… 専用検索エンジンによるIoTデバイス探索 • SHODAN、ZoomEye、Censys など • インターネットにつながっているデバイスを気軽に検索できる • 意図せずインターネットからアクセスできてしまっていると 思われるデバイスも多数確認できる…

   6

7. IoTって大丈夫なの… ハッキング事例：Blu-Rayプレイヤー • defcon22(2014)にて公開 • Panasonic製の家庭向け Blu-Rayプレーヤーに脆弱性 (同じ発表枠で他にも20デバイスほど、組込み機器の脆弱性が報告された…) • リモコン入力部分に、リモコンで

   攻撃コードを入力することで コマンドインジェクション可能 • 基板上のデバッグピンや ファームウェアの解析が中心 7

8. IoTって大丈夫なの… IoTむけマルウェア「Mirai」 • IoTデバイスを主要な感染ターゲットとする • デバイス上のTelnetに対しBruteForce攻撃を実施 – IoTデバイスでよく使われるデフォルトID/PWDを利用 • ログインに成功すると感染行動を開始する

   • MiraiによりBot化したIoTデバイスが Botnetを形成し、DDoS攻撃に加担 • ソースコードが公開された • 亜種も多数確認されている 8

9. IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場

   9 現状、あまり大丈夫ではなさそう…

10. 救世主？ OWASP IoT Top10！ • OWASP ： Webアプリケーション分野で 最も有名なセキュリティコミュニティ •

    IoTデバイスで特に留意すべき10の脆弱性を提示 ① Insecure Web Interface ② Insufficient Authentication/Authorization ③ Insecure Network Services ④ Lack of Transport Encryption ⑤ Privacy Concerns ⑥ Insecure Cloud Interface ⑦ Insecure Mobile Interface ⑧ Insufficient Security Configurability ⑨ Insecure Software/Firmware ⑩ Poor Physical Security 10

11. 留意すべき１０の視点・観点 No. 視点・観点 １ 安全ではないWebインターフェース ２ 不十分な認証、権限管理 ３ 安全ではないネットワークサービス ４

    通信路の暗号化の欠如 ５ プライバシーの懸念 ６ 安全ではないクラウドインターフェース ７ 安全ではないモバイルインターフェース ８ 不十分なセキュリティ機能の設定 ９ 安全ではないソフトウェア/ファームウェア １０ 貧弱な物理セキュリティ 11

12. 留意すべき１０の視点･観点 No. 視点・観点 １ 安全ではないWebインターフェース ２ 不十分な認証、権限管理 ３ 安全ではないネットワークサービス ４

    通信路の暗号化の欠如 ５ プライバシーの懸念 ６ 安全ではないクラウドインターフェース ７ 安全ではないモバイルインターフェース ８ 不十分なセキュリティ機能の設定 ９ 安全ではないソフトウェア/ファームウェア １０ 貧弱な物理セキュリティ 12 Webアプリにおける 視点とほぼ同じ

13. 留意すべき10の視点・観点(抜粋) 5：プライバシーの懸念 • 不必要な個人情報の収集 13

14. 留意すべき10の視点・観点(抜粋) 7：安全ではないモバイルインターフェース • アカウントが推測可能(連番で生成など) • アカウントのロックアウト機能なし • 認証情報がネットワークに露出する(BASIC認 証など) 14

15. 留意すべき10の視点・観点(抜粋) 8：不十分なセキュリティ機能の設定 • 権限設定の不備 • パスワード管理機能の不備 • 攻撃検知やログ出力情報の不備 15

16. 留意すべき10の視点・観点(抜粋) 9：安全ではないソフトウェア/ファームウェア • ファームウェアが平文で提供される • ファームウェアの改ざんチェックを行わない • ファームアップ機能がない 16

17. 留意すべき10の視点・観点(抜粋) 10：貧弱な物理セキュリティ • USBポートから内部にアクセス可能 • ストレージが取り外し可能 17

18. 留意すべき１０の視点・観点 No. 視点・観点 １ 安全ではないWebインターフェース ２ 不十分な認証、権限管理 ３ 安全ではないネットワークサービス ４

    通信路の暗号化の欠如 ５ プライバシーの懸念 ６ 安全ではないクラウドインターフェース ７ 安全ではないモバイルインターフェース ８ 不十分なセキュリティ機能の設定 ９ 安全ではないソフトウェア/ファームウェア １０ 貧弱な物理セキュリティ 18

19. IoTのセキュリティ強化における課題(の一部) • デバイスのリリース後、セキュリティ対策を 後から入れ込むことは、けっこう難しい… – システムのロジックが大きく変わる変更は難しい • 後から認証機能やアクセス権限機能など、 システムの根幹にかかわる機能を追加すると、 開発リソースの増加と大量のバグや脆弱性を生み出す…

    – ファームウェアアップデートの問題 • アップデートを準備してもユーザ側が実施するか？ • 自動アップデートの場合、理解が得られるか？ (システムの可用性への影響を懸念、動作確認作業の増大) 19 要件定義や設計の上流工程の段階で セキュリティを仕様として入れ込むことが重要 そのためにOWASP IoT Top10の 普及、啓発が必要！

20. まとめ • IoTに関しても、もちろんセキュリティを考慮する 必要がある • OWASP IoT Top10にて、留意すべき10の視点が 整理、公開されている •

    特にデバイスにおいては、設計段階でのセキュ リティの考慮が重要 – リリース後のセキュリティ対応が困難であることが多 いため 20