IoTSecJP_Version5.0_LTEデバイスのセキュリティ診断3ステップ

LTEデバイスのセキュリティ診断 3ステップ 2019/3/16 IoTSecJP Tokyo Version5.0 Ryosuke Uematsu

本日お話すること LTE通信するデバイスを診断する際の3ステップ Step1. LTEプロトコルのセキュリティ評価 Step2. eSIMとSIMカード Step3. アプリケーション層のセキュリティ評価 1

自己紹介お仕事歴 某通信機器メーカー（2010～2013年） WiMAX基地局の設計・開発のお仕事 某通信事業者（2013～2017年） WCDMA/LTE基地局の開発・検証のお仕事 某セキュリティ会社（2017年～） IoTセキュリティチームでコンサル、セキュリティ診断的なお仕事 2
上松亮介 SlideShare はてブ MCPC IoT研修講師

IoTセキュリティチームの人たち 3 デバイスの人 HW SW 無線の人システムの人今日はここの人のお話

IoTで使われる無線通信いっぱいあるよね 4 通信距離通信速度近遠 100Mbps 10Mbps 1Mbps 遅
速 1m 10m 100m 1km 今日はこいつにフォーカス

SDRを使おう！（例）LTE基地局シミュレータ Anritsu社MD8475B (参考)https://www.anritsu.com/ja-JP/test-measurement/products/md8475b SDRデバイス 1,000万円～ 1万円～ ✓ SDRデバイスがあればOK ✓
安価(1万円～) ✓ ソフトウェアで実現可能 ✓ 専用の機器が必要 ✓ 非常に高額 ✓ 市販されていない場合もあるなんでもできちゃう！

LTEの偽装基地局環境を作ろう 6 eNB MME HSS S-GW P-GW LTEシステム（ざっくり） IPアドレス管理
ユーザ情報管理ベアラ管理ユーザ/eNBのセッション管理インターネット SDR この部分をSDRで実現端末インターネット OSSを使う srsLTE openLTE OAIなど端末

SDRを使う際の注意点 7 違法電波はダメ絶対！（参考）http://www.tele.soumu.go.jp/j/ref/material/bizakufaq/ 電波が遮蔽される試験設備内で利用しましょう

LTE偽装基地局を使ったセキュリティ診断 8 LTEの通信プロトコルスタック IP IoTデバイスごとのアプリケーション TCP/UDP 診断 LTE偽装基地局診断対象デバイス LTEデバイスのブラックボッ
クス的なセキュリティ診断のステップを紹介

9 Step1. LTEプロトコルのセキュリティ評価

SIMは何のためにあるのか？ 10 SIMの情報を用いて行うこと事業者設備との相互認証暗号化・完全性保護の鍵導出 SIMに含まれる情報 K値：認証などに利用する128bitの鍵 IMSI：SIMを識別する番号。国番号+事業者番号+固体識別番号で構成。 MSISDN：電話番号など
偽装基地局に接続させるにはSIMの情報が不可欠

こんな研究報告が出ている 11 LTEFuzzと名付けられたツール(openLTE, srsLTEがベース) を用いて脆弱性を検出 2019年1月韓国の研究者によってLTE通信プロトコル（RRC/NAS）の動的セキュリティ解析により新たな脆弱性が36件発表されました脆弱性の一つに認証をバイパスできるものが存在した

LTEの認証のタイミング 12 アタッチコネクトモードへの遷移ハンドオーバー・電源ON ・フライトモード解除アタッチ済み。無通信状態から通信再開。通信した状態で移動して別の
基地局に遷移可能性あり可能性あり極めて困難（正規基地局とやり取りしていた情報を知る術がない）発生タイミング偽装基地局介入可能性 IDLE状態から通信再開初期接続前の基地局との接続情報をコア設備内でやり取りおおまかに3ケース存在する

LTEのアタッチシーケンス 13 UE eNB MME HSS S/P-GW 認証要求チャレンジ&レスポンスによる相互認証コア設備との
暗号化・完全性保護のアルゴリズム決定 APNの情報通知 IPアドレスの払い出し認証無線区間の暗号化・完全性保護のアルゴリズム決定無線接続認証認証完了もし、赤色箇所をバイパスできる様な問題があったら

Step1のゴール 14 対象デバイス偽装基地局 LTEプロトコル診断用のソフトウェアを用意して診断する認証・暗号化・完全性保護全て無効化本事象はあくまで可能性があるというお話です。
(参考) Hongil Kim, Jiho Lee, Eunkyu Lee, and Yongdae Kim, "Touching the Untouchables: Dynamic Security Analysis of the LTE Control Plane," IEEE Symposium on Security and Privacy (SP), 2019 (To appear) LTE認証バイパス脆弱性の検出

15 Step2. eSIMとSIMカード

SIMの情報が分からないと偽装基地局には接続できない 16 対象デバイス商用ネットワークに接続する SIMの情報は残念ながら合法的に知ることはできない偽装基地局接続してきても相互認証ができない
テストSIM(※)へ差し替えが必要 ※SIM内に書き込まれた情報が公開されているテスト用のSIMカード NG

IoTデバイスで使用されるSIM 17 従来のカードタイプ埋め込みタイプ Embedded SIM(eSIM) SIMの差し替えを想定していない（参考）https://www.st.com/en/evaluation-tools/p-l496g-cell02.html eSIM
こんな感じで基板に直接実装されている小型化・振動耐性などにより、基板に直接実装するタイプの eSIMがIoTデバイスでは使用されることが多い

SIMカードとeSIM何が違うの？ 18 異なるのは形状だけ ISO 7816-3で規定されているピン番号用途 1 VCC 2
RST 3 CLK 4 Reserved 5 GND 6 VPP 7 I/O 8 Reserved ①②③④ ① ② ③ ④ つまり、eSIMを外してSIMカードを同じピン番号に配線すれば電気的には動作するはず ⑤ ⑥ ⑦ ⑧ ⑤ ⑥⑦⑧

Step2のゴール 19 対象デバイス偽装基地局テストSIMの情報を使って偽装基地局に接続させるテストSIMを挿した状態「eSIM」を「テストSIM」に差し替え

20 Step3. アプリケーション層のセキュリティ評価

Step1, 2によってLTEの接続は完了 21 LTEの通信プロトコルスタック LTEの通信プロトコルスタックアプリケーションレイヤーの診断 IP TCP/UDP IP TCP/UDP
LTE偽装基地局診断対象デバイス接続確立 IoTデバイスのアプリケーション IPで通信可能

①とりあえずスキャン(LTE偽装基地局→IoTデバイス) 22 LTE偽装基地局診断対象デバイス・メンテナンスポート・管理WebUI などを探索 LTEシステムでアサインした IPアドレスに対して、ポートスキャン、脆弱性スキャン

②情報収集（IoTデバイス→LTE偽装基地局） 23 LTE偽装基地局診断対象デバイスインターネット？？ IoTデバイスと外部サーバの通信情報を盗聴して、どういった通信が流れているか解析土管屋に徹する

③収集した情報を元にしたセキュリティ評価 24 LTE偽装基地局診断対象デバイス DNSクエリインターネット偽アプリサーバアドレス応答偽DNS サーバ偽アプリ
サーバ偽DNSサーバアドレスを付与偽LTE 基地局リクエストデバイスを不正操作する応答一度も外部に通信が流れることなくPC1 台ですべてを実現可能なりすました攻撃者かどうか正しく検証していないと・・・情報収集した結果を反映その一例

Step3のゴール 25 対象デバイス偽装基地局＋アプリケーションツールデバイスおよび上位サーバへの攻撃につながる脆弱性を検知するアプリケーションの脆弱性を検出

LTEデバイスを正しく守るために 26 LTEのセキュリティは通信事業者に依存するため、通信事業者が提供するインフラだけに頼らない TLSを使ってアプリケーションレイヤーの通信を暗号化する等、デバイスとクラウドのE2Eのセキュリティ対策が重要 アプリケーションサーバの真正性を確認することも併せて行うこと

まとめ 本日ご紹介した内容を悪用することは厳禁です。 診断の流れ LTEプロトコルのソフトウェアセキュリティ評価 問題なければ、SIMを差し替えて接続 アプリケーションレベルのソフトウェアセキュリティ評価 LTEプロトコル上のセキュリティですべてが守られているとは考えない アプリケーションレベルで正しくセキュリティ対策を行うことが重要 27

IoTSecJP_Version5.0_LTEデバイスのセキュリティ診断3ステップ

IoTSecJP_Version5.0_LTEデバイスのセキュリティ診断3ステップ

tansokun920

More Decks by tansokun920

Other Decks in Technology

Featured

Transcript

LTEデバイスのセキュリティ診断 3ステップ 2019/3/16 IoTSecJP Tokyo Version5.0 Ryosuke Uematsu

本日お話すること LTE通信するデバイスを診断する際の3ステップ Step1. LTEプロトコルのセキュリティ評価 Step2. eSIMとSIMカード Step3. アプリケーション層のセキュリティ評価 1

IoTセキュリティチームの人たち 3 デバイスの人 HW SW 無線の人システムの人今日はここの人のお話

IoTで使われる無線通信いっぱいあるよね 4 通信距離通信速度近遠 100Mbps 10Mbps 1Mbps 遅

SDRを使おう！（例）LTE基地局シミュレータ Anritsu社MD8475B (参考)https://www.anritsu.com/ja-JP/test-measurement/products/md8475b SDRデバイス 1,000万円～ 1万円～ ✓ SDRデバイスがあればOK ✓

LTEの偽装基地局環境を作ろう 6 eNB MME HSS S-GW P-GW LTEシステム（ざっくり） IPアドレス管理

SDRを使う際の注意点 7 違法電波はダメ絶対！（参考）http://www.tele.soumu.go.jp/j/ref/material/bizakufaq/ 電波が遮蔽される試験設備内で利用しましょう

LTE偽装基地局を使ったセキュリティ診断 8 LTEの通信プロトコルスタック IP IoTデバイスごとのアプリケーション TCP/UDP 診断 LTE偽装基地局診断対象デバイス LTEデバイスのブラックボッ

9 Step1. LTEプロトコルのセキュリティ評価

LTEの認証のタイミング 12 アタッチコネクトモードへの遷移ハンドオーバー・電源ON ・フライトモード解除アタッチ済み。無通信状態から通信再開。通信した状態で移動して別の

LTEのアタッチシーケンス 13 UE eNB MME HSS S/P-GW 認証要求チャレンジ&レスポンスによる相互認証コア設備との

Step1のゴール 14 対象デバイス偽装基地局 LTEプロトコル診断用のソフトウェアを用意して診断する認証・暗号化・完全性保護全て無効化本事象はあくまで可能性があるというお話です。

15 Step2. eSIMとSIMカード

SIMの情報が分からないと偽装基地局には接続できない 16 対象デバイス商用ネットワークに接続する SIMの情報は残念ながら合法的に知ることはできない偽装基地局接続してきても相互認証ができない

IoTデバイスで使用されるSIM 17 従来のカードタイプ埋め込みタイプ Embedded SIM(eSIM) SIMの差し替えを想定していない（参考）https://www.st.com/en/evaluation-tools/p-l496g-cell02.html eSIM

SIMカードとeSIM何が違うの？ 18 異なるのは形状だけ ISO 7816-3で規定されているピン番号用途 1 VCC 2

Step2のゴール 19 対象デバイス偽装基地局テストSIMの情報を使って偽装基地局に接続させるテストSIMを挿した状態「eSIM」を「テストSIM」に差し替え

20 Step3. アプリケーション層のセキュリティ評価

Step1, 2によってLTEの接続は完了 21 LTEの通信プロトコルスタック LTEの通信プロトコルスタックアプリケーションレイヤーの診断 IP TCP/UDP IP TCP/UDP

①とりあえずスキャン(LTE偽装基地局→IoTデバイス) 22 LTE偽装基地局診断対象デバイス・メンテナンスポート・管理WebUI などを探索 LTEシステムでアサインした IPアドレスに対して、ポートスキャン、脆弱性スキャン

②情報収集（IoTデバイス→LTE偽装基地局） 23 LTE偽装基地局診断対象デバイスインターネット？？ IoTデバイスと外部サーバの通信情報を盗聴して、どういった通信が流れているか解析土管屋に徹する

③収集した情報を元にしたセキュリティ評価 24 LTE偽装基地局診断対象デバイス DNSクエリインターネット偽アプリサーバアドレス応答偽DNS サーバ偽アプリ

Step3のゴール 25 対象デバイス偽装基地局＋アプリケーションツールデバイスおよび上位サーバへの攻撃につながる脆弱性を検知するアプリケーションの脆弱性を検出