【IoTセキュリティ特論】クラウド、スマートフォンのセキュリティ

Transcript

1. 特設講義 IoTセキュリティ特論 クラウド、スマートフォンのセキュリティ 株式会社リクルートテクノロジーズ 杉山 俊春

2. 自己紹介 • 会社 – 株式会社リクルートテクノロジーズ • 名前 – 杉山 俊春

   (はるぷ, @harupuxa) • 属性 – セキュリティ – プログラマー – イラストレーター – ラテアート – 猫 • 仕事 – 脆弱性検査とか 2

3. 自己紹介 – Black Hat Asia（発表はしてないけど） • BYPASSING BROWSER SECURITY POLICIES

   FOR FUN AND PROFIT (Black Hat Asia 2016 - Rafay Baloch) https://www.youtube.com/watch?v=P5R4KeCzO-Q これ 3

4. 自己紹介 – 最近の活動 • Project ONE (2017/08～) – オープンソースの脆弱性をFixする 4

5. 目次 • クラウドとは • クラウドの分類、活用例 • クラウドのセキュリティ • スマートフォンとIoT •

   スマートフォンのセキュリティ 5

6. • クラウドとIoT クラウドとは クラウド スマートフォン ・デバイス 6

7. クラウドとは • クラウド(クラウド・コンピューティング) とは – 様々なITリソースをインターネット経由で利 用する形態の総称 • アプリケーション •

   データベース、ストレージ • インフラ など 色々なものが「クラウド」と呼ばれるので、 イメージがしにくい 7

8. クラウドとは • クラウドの例 Gmail: メールソフトをインストール しなくてもすぐに利用可能 AWS: インフラ、データベース、 サーバ類の機能をオンラインで操作 可能

   8

9. クラウドの分類、活用例 • クラウドの提供形態ごとに大きく分類があ る – SaaS: Software as a Service

   – PaaS: Platform as a Service – IaaS: Infrastructure as a Service 複数にまたがっているサービスもあるため 若干境界も曖昧になり、人により定義も違う 9

10. クラウドの分類、活用例 • クラウドの分類と提供範囲 アプリケーション ミドルウェア OS、サーバ ネットワーク データセンター PaaS SaaS

    IaaS 10

11. クラウドの分類、活用例 • SaaS: Software as a Service – ソフトウェアをユーザ側には導入せず、ソフ トウェアの機能をインターネット経由でサー

    ビスとして提供・利用する形態 – SaaSの例 • Gmail (Google Apps), Office 365, Dropbox アプリケーション Internet 11

12. クラウドの分類、活用例 • PaaS: Platform as a Service – OS、ミドルウェアなどのプラットフォームをイン ターネット経由でサービスとして提供する形態

    – システム開発をするツールとして利用される – PaaSの例： • Google App Engine, Heroku アプリケーション ミドルウェア OS、サーバ PaaS Internet 開発された サービスを利用 PaaS 12

13. クラウドの分類、活用例 • IaaS: Infrastructure as a Service – サーバ、ネットワークなどのインフラを、インター ネット上のサービスとして提供する形態

    – 仮想的なネットワークの作成なども可能 – IaaSの例： • Amazon Web Services(EC2) , Microsoft Azure(Virtual Machines) アプリケーション ミドルウェア, OS サーバ IaaS Internet 開発された サービスを利用 IaaS 13

14. クラウドのセキュリティ:インシデント事例 • クラウド(SaaS)でのインシデント事例 出典：長澤まさみさんら被害…ｉＣｌｏｕｄ不正ログインの手口と対策 | YOMIURI ONLINE (http://www.yomiuri.co.jp/science/goshinjyutsu/20160523-OYT8T50145.html) 14

15. クラウドのセキュリティ:クラウド vs オンプレ • クラウド vs オンプレミス(自社保有デー タセンターなど) どちらがセキュアか vs

    クラウド オンプレミス 15

16. クラウドのセキュリティ:クラウド vs オンプレ • クラウド vs オンプレミス – 利用者側での管理が必要な範囲 SaaS

    PaaS IaaS オンプレ アプリケーション管理 必要 必要 必要 必要 ミドルウェア、プラグ イン管理 ー △必要 必要 必要 OS管理 ー ー 必要 必要 ネットワーク管理 ー ー 必要 (仮想的に管理) 必要 物理管理 ー ー ー 必要 16

17. クラウドのセキュリティ:クラウド vs オンプレ • クラウド vs オンプレミス オンプレの場合は、小規模の場合、運用する ためのコストが高く、安全に構築・管理が困難 一概にどちらかが安全、とは言いにくい

    クラウド オンプレ メリット ・サービスの構築・調達が容易 ・初期導入のコストが少ない ・リソースを動的に変更可能 ・管理する範囲を限定できる ・自由に構成を決められる ・全て自分たちで管理できる デメリット ・選択肢がある程度限定される ・詳細な管理方法が把握できない ・初期導入のコストが高い ・リソースの変更に時間がかかる ・物理からアプリケーションまで 全て管理が必要 17

18. クラウドのセキュリティ:クラウド vs オンプレ • 大規模なサービスでもクラウドが利用され るケースも 18 出典： https://aws.amazon.com/jp/solutions/case-studies/nintendo-dena/ https://cloudplatform-jp.googleblog.com/2017/06/nintendo-super-mario-run-google-cloud.html

19. クラウドのセキュリティ:クラウド vs オンプレ • クラウドが使えない・使いにくいケース – オンプレに過去のリソースがあって利用した い – 契約、法令、ガイドライン上での物理管理の

    制約があるため、クラウド上では情報を扱い にくい • 特に医療情報、カード情報など →重要情報を扱わない部分のみクラウドと連携な どの方法は取られ始めている 19

20. クラウドのセキュリティ:クラウド vs オンプレ • 参考：医療情報 3省4ガイドライン – 医療情報システムの安全管理に関するガイド ライン (厚生労働省)

    – ASP・SaaS事業者が医療情報を取り扱う際の 安全管理に関するガイドライン (総務省) – ASP・SaaS における情報セキュリティ対策ガ イドライン (総務省) – 医療情報を受託管理する情報処理事業者にお ける安全管理ガイドライン (経済産業省) 20

21. クラウドのセキュリティ:クラウド vs オンプレ • 医療でのクラウド導入事例 出典：AWS 導入事例: 東芝メディカルシステムズ株式会社 https://aws.amazon.com/jp/solutions/case-studies/toshiba-medicalsystems/ 21

22. クラウドのセキュリティ:クラウドの活用 • クラウド＋オンプレ (クラウド+クラウド) – オンプレの場合でもクラウドを活用している ケースも多い • ロケーションが分散可能な利点を利用 •

    一部の特殊な機能(セキュリティ機能)を利用 22

23. クラウドのセキュリティ:クラウドの活用 • クラウド＋オンプレ – 負荷分散 • CDN (Content Delivery Network)

    – DDoS対策を兼ねていることが多い – セキュリティ用途 • DDoS対策 (Distributed Denial of Service attack) • WAF (Web Application Firewall) • IDS (Intrusion Detection System) • IPS (Intrusion Detection System) 23

24. クラウドのセキュリティ:クラウドの活用 • クラウドでのCDNの運用例 オンプレ環境など Content Delivery Network CDN 24

25. クラウドのセキュリティ:クラウドの活用 • CDNでのセキュリティ事例 – CDNで重要情報を設定ミスで誤ってキャッ シュ 出典：http://tech.mercari.com/entry/2017/06/22/204500 https://twitter.com/mirakui/status/878016932141711360 25

26. クラウドのセキュリティ:クラウドの活用 • DDoS攻撃とは – インターネット上の複数の端末に攻撃指示を出すなど で特定のサーバへ大量アクセスを行う – 感染PC、サーバや脆弱性を利用したりする オンプレ環境など 攻撃指示

    26

27. クラウドのセキュリティ:クラウドの活用 • クラウドでのDDoS対策の運用例 オンプレ環境など 27

28. • WAF, IDS, IPS – サーバ等への不正な攻撃を検知・遮断 WAF クラウドのセキュリティ:クラウドの活用 不正なポート アクセス

    IDS, IPS OS Web OS、ミドルウェア への攻撃 Webアプリへの攻撃 SQL Injectionなど 28

29. • WAF, IDS, IPS – オンプレでの導入時の課題 • 設置のためにネットワーク構成を変更する必要が ある •

    構築しても、運用に専門知識・人員が必要で維持 できない クラウドのセキュリティ:クラウドの活用 クラウドで負担を軽減 29

30. クラウドのセキュリティ:クラウドの活用 • クラウドでのWAF等の運用例 オンプレ環境など WAF WAFなど WAF 30

31. クラウドのセキュリティ:クラウドの活用 • クラウドを利用したセキュリティ対策 (WAF等)の注意点 – IDS, IPS, WAFなどの、通信内容を見てア ラート発報、通信ブロックを行う ≒

    通信内容をクラウド上で取得可能 クラウド上で扱えない情報は通過しないように する必要がある 31

32. クラウドのセキュリティ：一般ユーザ • 一般ユーザとしてのクラウドの見え方 – SaaS • ユーザ側のインストールが不要な便利なサービス – PaaS、IaaS •

    見えるのは開発されたサービス部分なのでオンプ レとの違いはわからない – IPアドレスを調べたりすれば判別は可能 32

33. クラウドのセキュリティ：一般ユーザ • 一般ユーザとしてのクラウドのセキュリティ(主に PaaS, IaaS) – 結局トータルでどのくらいちゃんと管理しているか • 管理が不十分なオンプレより、しっかり管理されたクラウド の方がセキュリティレベルは高い。その逆も真。

    – 小さい会社の提供するサービス、規模の小さいサービ スを信頼しやすくなる • 全て1から構築だと有能なフルスタックエンジニアが必要。 • 安全な基盤の上にアプリケーションのみを乗せればいいので 参入の障壁が少なくなる。 • 但し、アプリケーションが脆弱・運用がしっかりしていない なら当然安全ではない – IoTを支える技術(様々なものを繋げるインフラ)とし てクラウドは重要 33

34. クラウドのセキュリティ：クラウドの悪用 • クラウドは悪用する側にも便利 – クラッキングもSaaSの時代 出典： 人海戦術でCAPTCHAを解読する犯罪者向けサービス、RSAセキュリティが報告 | IT Leaders

    http://it.impressbm.co.jp/articles/-/7446 初立件の高校生も利用 「1時間8ドル」DDoS攻撃代行の実態（1） | THE ZERO/ONE https://the01.jp/p00098/ 34

35. クラウドのセキュリティ：クラウドの悪用 • クラウドでのクラッキングサービス例 – Captcha(画像認証)解析 • 裏側は人力？ – DDoS攻撃 –

    脆弱性スキャン • 自サーバ、機器の脆弱性早期発見の用途にも利用 されている など 35

36. スマートフォンのセキュリティ 36

37. スマートフォンとIoT • スマートフォンは色々なサービスをうける ためのキーとなってきている 37

38. スマートフォンとIoT • IoTに関しては、ヘルスアプリなどでウェアラブル機器との接続ポ イントになってきている 出典：健康＆フィットネスアプリ | GooglePlay https://play.google.com/store/apps/category/HEALTH_AND_FITNESS 38

39. スマートフォンのセキュリティ：概要 • スマートフォンのセキュリティと言っても 色々 マルウェア 脆弱性 W-Fi, 3G スマートフォン向け サービス

    近距離通信など 不正アプリ 39

40. スマートフォンのセキュリティ：概要 • スマートフォンOSは常に最新にアップ デートしていれば安全？ No! 40

41. スマートフォンのセキュリティ：概要 • アップデートしていれば安全？ – Android • 各端末メーカーのアップデートに委ねられている – メーカーがサポート終了していればアップデートされな い

    • Android OS自体は最新のバージョンにしか適用さ れないことも – 積極的なバックポートはない • 脆弱性があっても関係企業が多すぎで調整が難航 – iOS • Appleがコントロールしているので、最新にしてい れば比較的安全 41

42. スマートフォンのセキュリティ：概要 • Security Metrics for the Android Ecosystem 出典：Security Metrics

    for the Android Ecosystem https://www.cl.cam.ac.uk/~drt24/papers/spsm-scoring.pdf 42

43. スマートフォンのセキュリティ：概要 • Security Metrics for the Android Ecosystem 出典：Security Metrics

    for the Android Ecosystem https://www.cl.cam.ac.uk/~drt24/papers/spsm-scoring.pdf 43

44. スマートフォンのセキュリティ：スマートフォンへの攻撃 • 近距離の通信(Bluetooth, 音声, カメラ)で のセキュリティ – 物理的に色々なものと繋がるけど大丈夫？ • 音声、Bluetoothを使った攻撃が公開されている

    – DolphinAttack (2017/8/31) – BlueBorne (2017/9/12) 44

45. スマートフォンのセキュリティ：スマートフォンへの攻撃 • DolphinAttack – スマホを音声(超音波)で不正操作 出典： Siri, Google Assistant, Alexa

    Said to Be Vulnerable to New 'Dolphin Attack' | Technology News http://gadgets.ndtv.com/mobiles/news/siri-google-assistant-alexa-dolphin-attack-ultrasound-frequencies-hack-1747210 45

46. スマートフォンのセキュリティ：スマートフォンへの攻撃 • DolphinAttack – Abstractからの抜粋 出典：DolphinAttack: Inaudible Voice Commands https://arxiv.org/pdf/1708.09537.pdf

    46

47. スマートフォンのセキュリティ：スマートフォンへの攻撃 • DolphinAttack 出典：DolphinAttack: Inaudible Voice Commands https://arxiv.org/pdf/1708.09537.pdf 47

48. スマートフォンのセキュリティ：スマートフォンへの攻撃 • DolphinAttack 出典：DolphinAttack: Inaudible Voice Commands https://arxiv.org/pdf/1708.09537.pdf 48

49. スマートフォンのセキュリティ：スマートフォンへの攻撃 • BlueBorne – Bluetooth経由でのスマホへの攻撃 出典：Bluetoothをオンにするだけで乗っ取られる？ 新たな脅威、「BlueBorne」の恐ろしさ (1/2) - ITmedia

    エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1709/20/news023.html 49

50. スマートフォンのセキュリティ：スマートフォンへの攻撃 • BlueBorne – Android • Information Leak Vulnerability (CVE-2017-0785)

    • Remote Code Execution Vulnerability #1 (CVE-2017- 0781) • Remote Code Execution vulnerability #2 (CVE-2017- 0782) • The Bluetooth Pineapple – Man in The Middle attack (CVE-2017-0783) • The Bluetooth Pineapple #2 – Man in The Middle attack (CVE-2017-8628) – Linux • Information leak vulnerability (CVE-2017-1000250) • A stack overflow in BlueZ (CVE-2017-1000251) – iOS • Remote code execution via Apple’s Low Energy Audio Protocol – CVE-2017-14315 出典：BlueBorne Information from the Research Team - Armis Labs https://www.armis.com/blueborne/ 50

51. スマートフォンのセキュリティ：スマートフォンへの攻撃 • BlueBorne Vulnerability Scanner ※周囲のデバイスの脆弱性をスキャンするので利用には注意が必要！ 出典：BlueBorne Vulnerability Scanner by

    Armis - Google Play の Android アプリ https://play.google.com/store/apps/details?id=com.armis.blueborne_detector 51

52. スマートフォンのセキュリティ：スマートフォンへの攻撃 • Stagefrightの脆弱性 (2015/08) – 攻撃コードをMMS(マルチメディアメッセージ)で受信 すると端末を乗っ取られる可能性など 出典：Experts Found a

    Unicorn in the Heart of Android | Zimperium Blog http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/ 52

53. スマートフォンのセキュリティ：スマートフォンへの攻撃 • 能動的攻撃と受動的攻撃 能動的攻撃 受動的攻撃 攻撃コード、マルウェア 攻撃コードの実行、 マルウェアのインストール サーバ等へのアクセス 53

54. スマートフォンのセキュリティ：スマートフォンへの攻撃 • スマートフォンのマルウェア – スマートフォンが利用され始めた当初はほぼ0だったが、最近は 影響の大きいものも登場 • 2017/09 「Google Play」にマルウェア含む多数のアプリ--100万回以

    上ダウンロードされる | CNET Japan (ExpensiveWall ) – https://japan.cnet.com/article/35107327/ • 2017/07 Androidをターゲットにしたマルウェア「GhostCtrl」が登場。 リモートから音声や動画の録音も可能 | エキサイトニュース – http://www.excite.co.jp/News/it_g/20170724/Slashdot_17_07_24_04321 4.html • 2017/07 マルウェア「CopyCat」、「Android」1400万台に感染--高 確率でルート化 | CNET Japan – https://japan.cnet.com/article/35103991/ • 2017/05 Androidマルウェア「Judy」、数千万台に感染の可能性-- Check Point | ZDNet Japan – https://japan.zdnet.com/article/35101999/ • 2017/04 端末初期化でも消せないAndroid向けマルウェア 「Chrysaor」| PC Watch – http://pc.watch.impress.co.jp/docs/news/1053336.html • 2017/03 36 機種の Android デバイスにマルウェアがインストールさ れ出荷されていることが明らかに | Naked Security – https://nakedsecurity.sophos.com/ja/2017/03/13/researchers-find-38- android-devices-shipping-with-pre-installed-malware/ 54

55. スマートフォンのセキュリティ：スマホ向けサービス • サービス提供側から見たセキュリティ – 攻撃されうるポイント 55 不正な通信 メモリ 不正操作 アプリ

    改造 データ 改ざん アプリ側の対策も結構重要！

56. スマートフォンのセキュリティ：スマホ向けサービス • 不正ユーザが操作可能な範囲 vs サービス提供側が守るべき範囲 56 不正ユーザ サーバ 不正ユーザのコントロール下の領域を保 護する必要がある！

57. スマートフォンのセキュリティ：スマホ向けサービス • ありがちな勘違い 57 不正はUI上から不正な操作、または、 不正アプリを利用ケースのみ この範囲は安全！

58. スマートフォンのセキュリティ：スマホ向けサービス • アプリ改造 – アプリを逆コンパイルなどして解析し、アプ リ自体の動きを変える(署名は変わる) 58 逆コンパイル等 変更 再パッケージ化

    不正アプリ 完成！

59. スマートフォンのセキュリティ：スマホ向けサービス • Androidの場合特に解析が容易 59 ▪逆コンパイル例 ほぼ元のコードに戻せる場合がほとんど！

60. スマートフォンのセキュリティ：スマホ向けサービス • ProGuardで難読化！ – 逆コンパイルすると↓のようになる！ 60

61. スマートフォンのセキュリティ：スマホ向けサービス • 端末上の処理を信頼すると大変なことに ID連携 SDKなど ID、パスワード Twitter、 Facebookなど ID、パスワード 認証成功

    トークン、 ユーザ情報(ユーザID、メアドなど) ユーザID 認証機 能 ユーザID 認証成功 ( = ユーザID確認 ) 他人のユーザID 簡単になりすまし可能 61

62. 4. 代表的なチート方法 - 不正通信 • 不正通信 – アプリ、サーバ間でやり取りするデータを改 ざん等し、不正なデータでゲームをプレイ、 不正なデータをサーバに登録する

    62 Proxyツールを利用した改ざん リクエスト チートユーザの環境 改ざん 改ざんされた レスポンス 改ざんされた リクエスト Proxy ツール

63. まとめ • クラウド – 一般ユーザの目に触れない範囲でもかなりク ラウドは使われてきている – セキュリティの向上に貢献している反面、悪 用されることも •

    スマートフォン – スマートフォンのセキュリティは、まだ多く の課題が残っている – 危険性を把握しつつ正しく利用していく必要 がある 63