Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【IoTセキュリティ特論】クラウド、スマートフォンのセキュリティ

 【IoTセキュリティ特論】クラウド、スマートフォンのセキュリティ

2017/10/26 情報セキュリティ大学院大学での、杉山の講義資料になります

Recruit Technologies

November 15, 2017
Tweet

More Decks by Recruit Technologies

Other Decks in Technology

Transcript

  1. 自己紹介 • 会社 – 株式会社リクルートテクノロジーズ • 名前 – 杉山 俊春

    (はるぷ, @harupuxa) • 属性 – セキュリティ – プログラマー – イラストレーター – ラテアート – 猫 • 仕事 – 脆弱性検査とか 2
  2. 自己紹介 – Black Hat Asia(発表はしてないけど) • BYPASSING BROWSER SECURITY POLICIES

    FOR FUN AND PROFIT (Black Hat Asia 2016 - Rafay Baloch) https://www.youtube.com/watch?v=P5R4KeCzO-Q これ 3
  3. クラウドとは • クラウド(クラウド・コンピューティング) とは – 様々なITリソースをインターネット経由で利 用する形態の総称 • アプリケーション •

    データベース、ストレージ • インフラ など 色々なものが「クラウド」と呼ばれるので、 イメージがしにくい 7
  4. クラウドの分類、活用例 • クラウドの提供形態ごとに大きく分類があ る – SaaS: Software as a Service

    – PaaS: Platform as a Service – IaaS: Infrastructure as a Service 複数にまたがっているサービスもあるため 若干境界も曖昧になり、人により定義も違う 9
  5. クラウドの分類、活用例 • SaaS: Software as a Service – ソフトウェアをユーザ側には導入せず、ソフ トウェアの機能をインターネット経由でサー

    ビスとして提供・利用する形態 – SaaSの例 • Gmail (Google Apps), Office 365, Dropbox アプリケーション Internet 11
  6. クラウドの分類、活用例 • PaaS: Platform as a Service – OS、ミドルウェアなどのプラットフォームをイン ターネット経由でサービスとして提供する形態

    – システム開発をするツールとして利用される – PaaSの例: • Google App Engine, Heroku アプリケーション ミドルウェア OS、サーバ PaaS Internet 開発された サービスを利用 PaaS 12
  7. クラウドの分類、活用例 • IaaS: Infrastructure as a Service – サーバ、ネットワークなどのインフラを、インター ネット上のサービスとして提供する形態

    – 仮想的なネットワークの作成なども可能 – IaaSの例: • Amazon Web Services(EC2) , Microsoft Azure(Virtual Machines) アプリケーション ミドルウェア, OS サーバ IaaS Internet 開発された サービスを利用 IaaS 13
  8. クラウドのセキュリティ:クラウド vs オンプレ • クラウド vs オンプレミス – 利用者側での管理が必要な範囲 SaaS

    PaaS IaaS オンプレ アプリケーション管理 必要 必要 必要 必要 ミドルウェア、プラグ イン管理 ー △必要 必要 必要 OS管理 ー ー 必要 必要 ネットワーク管理 ー ー 必要 (仮想的に管理) 必要 物理管理 ー ー ー 必要 16
  9. クラウドのセキュリティ:クラウド vs オンプレ • クラウド vs オンプレミス オンプレの場合は、小規模の場合、運用する ためのコストが高く、安全に構築・管理が困難 一概にどちらかが安全、とは言いにくい

    クラウド オンプレ メリット ・サービスの構築・調達が容易 ・初期導入のコストが少ない ・リソースを動的に変更可能 ・管理する範囲を限定できる ・自由に構成を決められる ・全て自分たちで管理できる デメリット ・選択肢がある程度限定される ・詳細な管理方法が把握できない ・初期導入のコストが高い ・リソースの変更に時間がかかる ・物理からアプリケーションまで 全て管理が必要 17
  10. クラウドのセキュリティ:クラウド vs オンプレ • クラウドが使えない・使いにくいケース – オンプレに過去のリソースがあって利用した い – 契約、法令、ガイドライン上での物理管理の

    制約があるため、クラウド上では情報を扱い にくい • 特に医療情報、カード情報など →重要情報を扱わない部分のみクラウドと連携な どの方法は取られ始めている 19
  11. クラウドのセキュリティ:クラウド vs オンプレ • 参考:医療情報 3省4ガイドライン – 医療情報システムの安全管理に関するガイド ライン (厚生労働省)

    – ASP・SaaS事業者が医療情報を取り扱う際の 安全管理に関するガイドライン (総務省) – ASP・SaaS における情報セキュリティ対策ガ イドライン (総務省) – 医療情報を受託管理する情報処理事業者にお ける安全管理ガイドライン (経済産業省) 20
  12. クラウドのセキュリティ:クラウドの活用 • クラウド+オンプレ – 負荷分散 • CDN (Content Delivery Network)

    – DDoS対策を兼ねていることが多い – セキュリティ用途 • DDoS対策 (Distributed Denial of Service attack) • WAF (Web Application Firewall) • IDS (Intrusion Detection System) • IPS (Intrusion Detection System) 23
  13. • WAF, IDS, IPS – オンプレでの導入時の課題 • 設置のためにネットワーク構成を変更する必要が ある •

    構築しても、運用に専門知識・人員が必要で維持 できない クラウドのセキュリティ:クラウドの活用 クラウドで負担を軽減 29
  14. クラウドのセキュリティ:一般ユーザ • 一般ユーザとしてのクラウドの見え方 – SaaS • ユーザ側のインストールが不要な便利なサービス – PaaS、IaaS •

    見えるのは開発されたサービス部分なのでオンプ レとの違いはわからない – IPアドレスを調べたりすれば判別は可能 32
  15. クラウドのセキュリティ:一般ユーザ • 一般ユーザとしてのクラウドのセキュリティ(主に PaaS, IaaS) – 結局トータルでどのくらいちゃんと管理しているか • 管理が不十分なオンプレより、しっかり管理されたクラウド の方がセキュリティレベルは高い。その逆も真。

    – 小さい会社の提供するサービス、規模の小さいサービ スを信頼しやすくなる • 全て1から構築だと有能なフルスタックエンジニアが必要。 • 安全な基盤の上にアプリケーションのみを乗せればいいので 参入の障壁が少なくなる。 • 但し、アプリケーションが脆弱・運用がしっかりしていない なら当然安全ではない – IoTを支える技術(様々なものを繋げるインフラ)とし てクラウドは重要 33
  16. スマートフォンのセキュリティ:概要 • アップデートしていれば安全? – Android • 各端末メーカーのアップデートに委ねられている – メーカーがサポート終了していればアップデートされな い

    • Android OS自体は最新のバージョンにしか適用さ れないことも – 積極的なバックポートはない • 脆弱性があっても関係企業が多すぎで調整が難航 – iOS • Appleがコントロールしているので、最新にしてい れば比較的安全 41
  17. スマートフォンのセキュリティ:概要 • Security Metrics for the Android Ecosystem 出典:Security Metrics

    for the Android Ecosystem https://www.cl.cam.ac.uk/~drt24/papers/spsm-scoring.pdf 42
  18. スマートフォンのセキュリティ:概要 • Security Metrics for the Android Ecosystem 出典:Security Metrics

    for the Android Ecosystem https://www.cl.cam.ac.uk/~drt24/papers/spsm-scoring.pdf 43
  19. スマートフォンのセキュリティ:スマートフォンへの攻撃 • DolphinAttack – スマホを音声(超音波)で不正操作 出典: Siri, Google Assistant, Alexa

    Said to Be Vulnerable to New 'Dolphin Attack' | Technology News http://gadgets.ndtv.com/mobiles/news/siri-google-assistant-alexa-dolphin-attack-ultrasound-frequencies-hack-1747210 45
  20. スマートフォンのセキュリティ:スマートフォンへの攻撃 • BlueBorne – Android • Information Leak Vulnerability (CVE-2017-0785)

    • Remote Code Execution Vulnerability #1 (CVE-2017- 0781) • Remote Code Execution vulnerability #2 (CVE-2017- 0782) • The Bluetooth Pineapple – Man in The Middle attack (CVE-2017-0783) • The Bluetooth Pineapple #2 – Man in The Middle attack (CVE-2017-8628) – Linux • Information leak vulnerability (CVE-2017-1000250) • A stack overflow in BlueZ (CVE-2017-1000251) – iOS • Remote code execution via Apple’s Low Energy Audio Protocol – CVE-2017-14315 出典:BlueBorne Information from the Research Team - Armis Labs https://www.armis.com/blueborne/ 50
  21. スマートフォンのセキュリティ:スマートフォンへの攻撃 • スマートフォンのマルウェア – スマートフォンが利用され始めた当初はほぼ0だったが、最近は 影響の大きいものも登場 • 2017/09 「Google Play」にマルウェア含む多数のアプリ--100万回以

    上ダウンロードされる | CNET Japan (ExpensiveWall ) – https://japan.cnet.com/article/35107327/ • 2017/07 Androidをターゲットにしたマルウェア「GhostCtrl」が登場。 リモートから音声や動画の録音も可能 | エキサイトニュース – http://www.excite.co.jp/News/it_g/20170724/Slashdot_17_07_24_04321 4.html • 2017/07 マルウェア「CopyCat」、「Android」1400万台に感染--高 確率でルート化 | CNET Japan – https://japan.cnet.com/article/35103991/ • 2017/05 Androidマルウェア「Judy」、数千万台に感染の可能性-- Check Point | ZDNet Japan – https://japan.zdnet.com/article/35101999/ • 2017/04 端末初期化でも消せないAndroid向けマルウェア 「Chrysaor」| PC Watch – http://pc.watch.impress.co.jp/docs/news/1053336.html • 2017/03 36 機種の Android デバイスにマルウェアがインストールさ れ出荷されていることが明らかに | Naked Security – https://nakedsecurity.sophos.com/ja/2017/03/13/researchers-find-38- android-devices-shipping-with-pre-installed-malware/ 54
  22. スマートフォンのセキュリティ:スマホ向けサービス • 端末上の処理を信頼すると大変なことに ID連携 SDKなど ID、パスワード Twitter、 Facebookなど ID、パスワード 認証成功

    トークン、 ユーザ情報(ユーザID、メアドなど) ユーザID 認証機 能 ユーザID 認証成功 ( = ユーザID確認 ) 他人のユーザID 簡単になりすまし可能 61
  23. 4. 代表的なチート方法 - 不正通信 • 不正通信 – アプリ、サーバ間でやり取りするデータを改 ざん等し、不正なデータでゲームをプレイ、 不正なデータをサーバに登録する

    62 Proxyツールを利用した改ざん リクエスト チートユーザの環境 改ざん 改ざんされた レスポンス 改ざんされた リクエスト Proxy ツール
  24. まとめ • クラウド – 一般ユーザの目に触れない範囲でもかなりク ラウドは使われてきている – セキュリティの向上に貢献している反面、悪 用されることも •

    スマートフォン – スマートフォンのセキュリティは、まだ多く の課題が残っている – 危険性を把握しつつ正しく利用していく必要 がある 63