IoTSecJP Tokyo#4とあるセキュリティ会社の無線通信セキュリティ診断

Transcript

1. とあるセキュリティ会社の 無線通信セキュリティ診断 2018/9/15 IoTSecJP Tokyo#4 Ryosuke Uematsu

2. 本⽇お話すること l無線通信セキュリティ診断の紹介 lどんな無線通信を対象にしているの？ lどんな⾵にしてやるの？ 1

3. 2 ⾃⼰紹介 上松 亮介 l無線通信を⽣業とする30過ぎのおっさん MCPC IoTシステム技術検定の研修講師やってます l某通信機器メーカ（2010〜2013年） WiMAX基地局の設計・開発のお仕事 l某通信キャリア（2013〜2017年）

   WCDMA/LTE基地局に関するお仕事 l某セキュリティ会社（2017年〜） IoTセキュリティチームでコンサル、セキュリティ診断的なお仕事

4. IoTセキュリティチームの⼈たち 3 デバイスの⼈ HW SW 無線の⼈ システムの⼈ 今⽇はここの⼈のお話

5. IoTで使われる無線通信いっぱいあるよね 4 通信距離 通信速度 近 遠 100Mbps 10Mbps 1Mbps 遅

   速 1m 10m 100m 1km 当然 やらない理由 がない ん〜やる？ ⽇本発の規格だし やるっしょ これやらなきゃ始ま らない！ 時代はLPWA！ IoTで使われる無線通信すべてが対象

6. 5 まずは、、、 ひたすらドキュメントを読む！

7. 通信規格のドキュメントたち 6 通信プロトコルをまずは把握すべし 通信規格 標準規格 標準化団体 Wi-Fi IEEE 802.11a/b/g/n Wi-Fi

   Alliance Bluetooth IEEE 802.15.1 Bluetooth SIG ZigBee IEEE 802.15.4 ZigBee-2007 Specification ZigBee Alliance Wi-SUN IEEE 802.15.4g IEEE 802.15.4e Wi-SUN Alliance LoRaWAN LoRaWAN Specification LoRa Alliance LTE TS33/36シリーズ 3GPP

8. 7 いざ実践

9. まずは・・・ 8 機材の準備をすべし 市販 ツール 価格 ✔ ✔ ✔ ✔

   ✔ × × そもそも仕様が⾮公開 数万円くらい 1千万円 以上 ⼀旦 断念 買う - 別の⽅法考える

10. SDRを使おう！ （例）LTE基地局シミュレータ Anritsu社MD8475B (参考)https://www.anritsu.com/ja-JP/test-measurement/products/md8475b SDRデバイス 1,000万円〜 1万円〜 ü SDRデバイスがあればOK ü

    安価(1万円〜) ü ソフトウェアで実現可能 ü 専⽤の機器が必要 ü ⾮常に⾼額 ü 市販されていない場合もある なんでもできちゃう！

11. SDRの⽐較 HackRF One Ettus B200 Ettus B210 BladeRF x40 RTL-SDR

    LimeSDR 周波数 1M〜6GHz 70M〜6GHz 70M〜6GHz 300M〜 3.8GHz 22M〜2.2GHz 100k〜 3.8GHz 帯域幅 20 MHz 61.44 MHz 61.44 MHz 40 MHz 3.2 MHz 61.44 MHz 送信チャネル数 1 1 2 1 0 2 受信チャネル数 1 1 2 1 1 2 I/F USB 2.0 USB 3.0 USB 3.0 USB 3.0 USB 2.0 USB 3.0 出⼒ -10 dBm+ 10 dBm+ 10 dBm+ 6 dBm N/A max 10 dBm 価格 ¥33,000 ¥92,000 ¥150,000 ¥53,000〜 ¥10,000以内 $299 購⼊先 秋⽉電⼦ Ettusサイト Ettusサイト Amazon Amazon crowdsupply 所感 ⼊⾨ ⼗分 最強 まあまあ ⼊⾨ コスパ最強 10

12. SDRを使う際の注意点 11 違法電波はダメ絶対！ （参考）http://www.tele.soumu.go.jp/j/ref/material/bizakufaq/ 電波が遮蔽される試験設備内で利⽤しましょう

13. LTEの偽装基地局環境を作ろう 12 eNB MME HSS S-GW P-GW LTEシステム（ざっくり） IPアドレス 管理

    ユーザ情報管理 ベアラ管理 ユーザ/eNBのセッション管理 インターネット SDR LTEオープンソースソフトウェア この部分をSDRで実現 端末 鍵情報K値が 分かるテスト SIMを使う インターネット SIM情報 の登録 端末

14. LTE偽装基地局を使ったセキュリティ診断 13 LTEの通信プロトコルスタック LTEの通信プロトコルスタック 脆弱性スキャ ンツール アプリケーション データの解析・マ ニュアル診断 IP

    IoTデバイスごとのアプリケーション TCP/UDP IP TCP/UDP 診断 LTE偽装基地局 診断対象デバイス ⾃動と⼿動どちらもできるよ

15. SDRを使ったLoRaWAN 14 LoRaWAN™ 1.1 Specification Figure.1より抜粋 この部分を SDRで実現 LoRaWANのセキュリティの詳しい話はこの後の講演で！ SDR

    LoRaWANのソフト ウェア

16. LoRaWANシステムのセキュリティ診断 15 LoRaWAN エミュレータ LoRaWAN デバイス LoRaWAN ゲートウェイ クラウド クラウドへの

    影響まで確認 SDR LoRaWANシステムの診断対象 盗聴 リプレイ なりすまし DoS あるLoRaWAN機器でリプレイ攻撃に よって通信断となる状態も確認済み

17. こんなリプレイ攻撃がされたら・・・ 16 ⼯場 ⼀⻫にリプ レイ攻撃 あれ〜データ が更新されな いな？

18. Sigfoxもやってみた SigfoxはフランスのSIGFOX社が策定した独⾃の通信⽅式のため詳細は公 開されていません。 17 SIGFOX 基地局 SIGFOX バックエンド KCCS提供範囲 独⾃プロトコル

    独⾃プロトコル httpsなど SIGFOX デバイス クラウドサービス セキュリティ機能（公開情報） • メッセージ認証 • 完全性保護 • リプレイ保護 • 暗号化 (ただし、オプション) まずは無線区間の通信解析

19. セキュリティ診断する際の視点 18 不正なデバイスになりすまして、IoTネット ワークへ不正侵⼊、DoS攻撃 不正なゲートウェイになりすまして中間者攻 撃、情報収集 通信内容の盗聴 リプレイ攻撃 IoTゲートウェイ、デバイスへの不正侵⼊、 DoS攻撃

    IoTデバイス、IoTゲートウェイになりすま して、不正侵⼊、DoS攻撃、データ改竄 IoTプラットフォーム 広域通信網 IoTゲートウェイ IoTエリア ネットワーク IoTデバイス

20. この先やるなら lV2X通信の解析 ⇒セルラーV2X、IEEE802.11p、ITSConnect どれか⼀つでも解析してしまいたい！ leSIMを使った環境を作る ⇒IoTデバイスはUSIMじゃなくてeSIMがメイン。 l5Gに関する何か ⇒MEC、non-3gppアクセス、⾊々楽しいことが待っていそう。 19

21. 最後に・・・ ⼀緒に無線通信のセキュリティやってくれ る⼈ウェルカムです！ (もちろん無線だけじゃなくとも！) 20