「IoTのセキュリティを考える~OWASP IoT Top10~」
?
3 likes?562 views
OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaにて パナソニック株式会社 堀部 千壽さんに発表いただいた資料です
「IoTのセキュリティを考える~OWASP IoT Top10~」
- 1. IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ パナソニック株式会社 Panasonic PSIRT 堀部 千壽
- 2. 自己紹介… ? パナソニック株式会社 製品セキュリティセンター 所属 ? Panasonic-PSIRT 在籍 ? ネットワーク家電のセキュリティ強化に従事 ? 家電および組込み機器に対する脆弱性診断 ? 家電向けサービスサーバに対する脆弱性診断 ? 家電を含むネットワークシステムの机上リスク分析 ? セキュリティ診断関連業務に10年間従事 堀部 千壽(Yukihisa Horibe) 2
- 3. IoTって何? ? IoT : Internet of Things の略 ? 今までネットワーク(≒インターネット)につながらなかったような物 がつながる – センサーなどの小型?小リソースデバイス – クラウドサービス?AI – スマートフォン(個人携帯端末) ? 今までつながっていたものも継続してつながる ? 2017年で推定84億台、2020年で推定204億台がつながる… それらサービスやデバイスが 相互接続?連携しあい新しい価値が生まれる 3
- 4. IoTっておいしいの? ? 新たなサービス?価値 – 大量データ(ビッグデータ)の活用による、より綿密?繊細なサービス – AIを絡めた、今までにはないデータ活用方法 ? 誰にでも利用可能なサービス – スケールメリットによる低価格?高品質化 ? 国家的にも推進 – ドイツを筆頭としたEU – Google?Apple?Amazonを擁する米国 – 日本も国家成長戦略の一環としてIoTを推進 ユーザに対するメリットも多そう お金が儲かりそうなにおいも… 4
- 5. IoTって大丈夫なの… ? ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている ? IoTむけマルウェアの登場 5
- 6. IoTって大丈夫なの… 専用検索エンジンによるIoTデバイス探索 ? SHODAN、ZoomEye、Censys など ? インターネットにつながっているデバイスを気軽に検索できる ? 意図せずインターネットからアクセスできてしまっていると 思われるデバイスも多数確認できる… 6
- 7. IoTって大丈夫なの… ハッキング事例:Blu-Rayプレイヤー ? defcon22(2014)にて公開 ? Panasonic製の家庭向け Blu-Rayプレーヤーに脆弱性 (同じ発表枠で他にも20デバイスほど、組込み機器の脆弱性が報告された…) ? リモコン入力部分に、リモコンで 攻撃コードを入力することで コマンドインジェクション可能 ? 基板上のデバッグピンや ファームウェアの解析が中心 7
- 8. IoTって大丈夫なの… IoTむけマルウェア「Mirai」 ? IoTデバイスを主要な感染ターゲットとする ? デバイス上のTelnetに対しBruteForce攻撃を実施 – IoTデバイスでよく使われるデフォルトID/PWDを利用 ? ログインに成功すると感染行動を開始する ? MiraiによりBot化したIoTデバイスが Botnetを形成し、DDoS攻撃に加担 ? ソースコードが公開された ? 亜種も多数確認されている 8
- 9. IoTって大丈夫なの… ? ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている ? IoTむけマルウェアの登場 9 現状、あまり大丈夫ではなさそう…
- 10. 救世主? OWASP IoT Top10! ? OWASP : Webアプリケーション分野で 最も有名なセキュリティコミュニティ ? IoTデバイスで特に留意すべき10の脆弱性を提示 ① Insecure Web Interface ② Insufficient Authentication/Authorization ③ Insecure Network Services ④ Lack of Transport Encryption ⑤ Privacy Concerns ⑥ Insecure Cloud Interface ⑦ Insecure Mobile Interface ⑧ Insufficient Security Configurability ⑨ Insecure Software/Firmware ⑩ Poor Physical Security 10
- 11. 留意すべき10の視点?観点 No. 視点?観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4 通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 11
- 12. 留意すべき10の視点?観点 No. 視点?観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4 通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 12 Webアプリにおける 視点とほぼ同じ
- 14. 留意すべき10の視点?観点(抜粋) 7:安全ではないモバイルインターフェース ? アカウントが推測可能(連番で生成など) ? アカウントのロックアウト機能なし ? 認証情報がネットワークに露出する(BASIC認 証など) 14
- 15. 留意すべき10の視点?観点(抜粋) 8:不十分なセキュリティ機能の設定 ? 権限設定の不備 ? パスワード管理機能の不備 ? 攻撃検知やログ出力情報の不備 15
- 16. 留意すべき10の視点?観点(抜粋) 9:安全ではないソフトウェア/ファームウェア ? ファームウェアが平文で提供される ? ファームウェアの改ざんチェックを行わない ? ファームアップ機能がない 16
- 18. 留意すべき10の視点?観点 No. 視点?観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4 通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 18
- 19. IoTのセキュリティ強化における課題(の一部) ? デバイスのリリース後、セキュリティ対策を 後から入れ込むことは、けっこう難しい… – システムのロジックが大きく変わる変更は難しい ? 後から認証機能やアクセス権限機能など、 システムの根幹にかかわる機能を追加すると、 開発リソースの増加と大量のバグや脆弱性を生み出す… – ファームウェアアップデートの問題 ? アップデートを準備してもユーザ側が実施するか? ? 自動アップデートの場合、理解が得られるか? (システムの可用性への影響を懸念、動作確認作業の増大) 19 要件定義や設計の上流工程の段階で セキュリティを仕様として入れ込むことが重要 そのためにOWASP IoT Top10の 普及、啓発が必要!
- 20. まとめ ? IoTに関しても、もちろんセキュリティを考慮する 必要がある ? OWASP IoT Top10にて、留意すべき10の視点が 整理、公開されている ? 特にデバイスにおいては、設計段階でのセキュ リティの考慮が重要 – リリース後のセキュリティ対応が困難であることが多 いため 20