IoT における脅威の顕在化 情報セキュリティ 10 大脅威 2017 個人 10 位 組織 8 位にランクイン 2

Transcription

1 顕在化した IoT のセキュリティ脅威とその対策 ~ ネットワーク接続機器検索サービスとその活用 ~ 2017 年 5 月 11 日 ( 木 ) 12 日 ( 金 ) 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター情報セキュリティ技術ラボラトリー博士 ( 経営工学 ) 工藤誠也

2 IoT における脅威の顕在化 情報セキュリティ 10 大脅威 2017 個人 10 位 組織 8 位にランクイン 2

3 IoT における脅威の顕在化 2016 年 IoT ボットネットによる大規模 DDoS 攻撃の脅威が発生 3

4 IoT における脅威の事例 IoT ボットネットによって生じた DDoS 攻撃の被害とは? 2016 年 9 月 : セキュリティ専門家ブログ Krebs on Security マルウェア Mirai に感染したIoT 機器で構成されたボットネット 約 620GbpsのDDoS 攻撃 2016 年 9 月 : フランスのホスティングサービス OVH 14 万 5 千台以上のIoT 機器からDDoS 攻撃 ピーク時に1Tbpsを超える攻撃トラフィックを観測 2016 年 9 月末 : Mirai のソースコード公開 2016 年 10 月 : DNSサービス提供会社 Dyn Twitter, SoundCloud, Spotify, Reddit 等に影響 Dyn 社は数千万のIPアドレスが攻撃に参加していたと報告 2016 年 11 月 : ドイツの ISP Deutsche Telekom 顧客のルータに対するマルウェア感染攻撃 ( Mirai の亜種?) 4~5% がクラッシュまたは制限状態となり 90 万ユーザに影響 4

5 IoT における脅威の事例 IoT 機器を狙うマルウェア Mirai の正体とは? 組込み Linux および軽量 UNIX コマンドツール BusyBox の上に実装された IoT 機器を感染対象としている ハードコーディングされた ユーザ名とパスワード を用いて telnet( ポート番号 23 および 2323) でログイン可能な IoT 機器に感染する IoT 機器の典型的な ユーザ名とパスワード の一覧表を内包 Mirai に感染したIoT 機器は 同様に感染可能なIoT 機器を探索して攻撃者に報告し ボットネット構築に利用される Mirai に感染したIoT 機器は 60 秒毎にC&Cサーバと通信 また C&Cサーバからの攻撃命令を受信して 指定された DDoS 攻撃対象にDDoS 攻撃を実施する ソースコード公開により 異なる感染方法 攻撃方法を持つ 亜種 が出現している 出典 等をもとに作成 5

6 IoT における脅威の事例 Mirai にハードコーディングされたユーザ名とパスワードの例 ユーザ名 パスワード 該当するIoT 機器の例 root xc3511 Shenzhen Ele Technology, DVR root vizxv Zhejiang Dahua Technology, Camera root admin IPX International, DDK Network Camera ユーザ名 パスワード 該当するIoT 機器の例 supervisor supervisor VideoIQ Zhejiang Dahua Technology, IP Camera ubnt ubnt Ubiquiti Networks, AirOS Router admin admin root klv1234 HiSilicon Technologies, IP Camera root Zhejiang Dahua Technology, DVR root xmhdipc Shenzhen Anran Security Technology, Camera root Zte521 ZTE, Router root hi3518 HiSilicon Technologies, IP Camera root default root jvbzd HiSilicon Technologies, IP Camera root juantech Guangzhou Juan Optical & Electronical Tech root root x8, Packet8 VoIP Phone 等 root anko Shenzhen ANKO Tech, DVR root zlxx. Electro-Voice, ZLX Two-way Speaker? root 7ujMko0vizxv Zhejiang Dahua Technology, IP Camera support support root 7ujMko0admin Zhejiang Dahua Technology, IP Camera root ( 未設定 ) Vivotek, IP Camera root system IQinVision (Vicon Industries), Camera 等 admin root password root root ikwb Toshiba, Network Camera root dreambox Dream Property GmbH, Dreambox Receiver user user root user root pass Axis Communications, IP Camera 等 admin smcadmin SMC Networks, Routers admin 1111 Xerox, Printers 等 root Zhejiang Dahua Technology, Camera root klv123 HiSilicon Technologies, IP Camera root realtek RealTek Routers root Panasonic, Printer admin Samsung, IP Camera admin ACTi, IP Camera admin meinsm MOBITIX AG, Network Camera 出典 等をもとに作成 6

7 IoT における脅威の事例 Mirai の主な挙動 ( 感染 ボットネット構築 DDoS 攻撃 ) とは? 出典 Level 3 Threat Research Labs の調査結果 等をもとに作成 7

8 IoT における脅威の事例なぜ IoT 機器は Mirai に感染してしまったのか? ポート番号 23 または 2323 で telnet が動作していた IoT 機器を利用している間 動作している必要があるか否か不明 無効化する管理インタフェースが存在しない IoT 機器があった 一部機器では telnet の動作は利用者に非公開の バックドア 状態 ユーザ名 パスワードが初期値のまま動作していた IoT 機器の利用開始前に ユーザが変更していなかった 管理用パスワードがハードコーディングされており ユーザが変更出来ないIoT 機器も存在した 一部機器では ユーザ名やパスワードの存在が利用者に隠蔽 Flashpoint 社の調査によると この条件を満たす IoT 機器が世界中に 51 万 5 千台以上発見されている ベトナム 80,499 台 ブラジル 62,359 台 トルコ 39,736 台 台湾 28,624 台 中国 22,528 台 ロシア 21,814 台 韓国 21,059 台 タイ 15,744 台 インド 14,789 台 英国 14,081 台 出典 をもとに作成 8

9 IoT における脅威の事例 IoT 機器のベンダおよびユーザはどうすれば良いのか? IoT 機器ベンダの対策例 製品出荷後に不要となる管理機能は 無効化した上で出荷する 製品出荷後も一部必要となる管理機能は 無効化手段を提供し 説明書等に明記して 利用者に周知徹底する 初期パスワードを変更可能とし セキュアなパスワードに変更すべきであると説明書等に明記して 利用者に周知徹底する ( 初期パスワードは変更必須 セキュアでないパスワードは設定不可とすることが望ましい ) IoT 機器ユーザの対策例 製品の説明書を熟読し 注意事項に従って利用する 常時動作不要な管理機能が実装されている場合 不要である間は機能を無効化する 動作上問題なければ ルータ経由でネットワークに接続し ルータにて不正通知をブロックする ネットワーク接続前 初期パスワードをセキュアなものに変更する 9

10 IoT における脅威の事例 Mirai に対抗するマルウェアの出現 IoT 機器を守ろうとする (?) マルウェア Hajime 初期ユーザ名 & パスワードで telnet で不正ログインして感染 感染後 ポート番号 23, 5538, 5555, 7546 の通信を遮断 P2P ネットワーク上に構築 ( 解体が困難 堅牢なボットネット ) ブラジル イラン タイ ロシア等を中心に数万台の IoT 機器が感染? 攻撃の踏み台とせず 作成者の善意 (?) の警告メッセージを表示 IoT 機器を使用不能にするマルウェア BrickerBot 初期ユーザ名 & パスワードで telnet で不正ログインして感染 感染後 設定変更 インターネット接続妨害 動作速度低下 機器上のファイル消去等の致命的な改変を行い 最終的に使用不能に 作者 Janit0r は Mirai を壊滅するため 200 万台以上のIoT 機器を使用不能状態にしたと主張 複数のマルウェアによる IoT 機器の陣取り合戦状態に 10

11 IoT における脅威の事例その他のインシデント事例 2015 年 3 月および 5 月 Web カメラや HEMS( 住宅用エネルギー管理システム ) が設定不備等により外部からアクセス可能な旨が指摘される 店舗や住宅内に設置された Web カメラの映像 音声を第三者が見聞き可能 スマートハウスが管理する情報を見られたり 家庭内機器を遠隔操作される可能性 2016 年 1 月 大学や高等専門学校等の複合機やプリンターの設定不備が指摘される 2015 年 4 月ホスピーラ社の薬剤ライブラリや輸液ポンプの設定等を管理するサーバソフトの脆弱性が報告される インターネット越しにサーバ上の投与する薬や投薬量を改ざんする事が可能 2016 年 10 月 Animas 社のインスリンポンプに脆弱性 治療情報漏えいや不正操作 妨害の恐れ 2017 年 1 月 St. Jude Medical 社の心臓ペースメーカーに脆弱性 不正な遠隔操作の恐れ 2015 年 8 月 Black Hat 及び DEF CON において Jeep Cherokee の脆弱性を攻撃し 遠隔操作を成功させた事例が報告される ファームウェアを改竄した車に対して攻撃コードを送りこむことで ブレーキ ステアリング エアコン等への干渉が可能 2016 年 2 月 国内電気自動車の専用スマートフォン用アプリに脆弱性 不正遠隔操作の恐れ 11

12 インタネット検索サービスの活用 SHODAN と Censys インターネット上にある機器をスキャンし データベース化 検索機能を備えてウェブサービスとして公開 インターネットに接続された機器情報の検索に特化 主なサービス SHODAN Censys 12

13 インターネット検索サービスの活用 SHODAN や Censys で検索できる情報 # 検索対象補足 1 IP アドレス 2 ホスト名 3 ドメイン保有情報 Whoisコマンドの結果 4 位置情報国名 / 都市名 / 緯度 経度 5 ポート番号プロトコル名 6 OS バナー情報バナーに含まれる特徴的な文字列 7 ( 製品名やバージョン情報 ディフォルトパスワードの使用や匿名接続可否など ) 登録日指定した日より以前もしくは以後に登録された機 8 器の検索 13

14 インターネット検索サービスの活用 SHODAN/Censys の検索結果 機器 2017/3/31 時点のヒット件数 ( 日本国内 ) 主要な脅威 リスク ウェブ機能 情報漏えい設定情報の変更 ファイル共有機能 情報漏えい 機器がもつサーバー機能 メール機能 攻撃の踏み台 DNS/NTP 機能 攻撃の踏み台 telnet 機能 複合機 ( プリンター スキャナー FAX) ネットワーク対応ハードディスク 攻撃の踏み台 ネットワークカメラ ブロードバンドルーター デジタル液晶テレビ ブルーレイディスクレコーダーハードディスクレコーダー 使用プロトコル HTTP FTP SMTP DNS/NTP telnet ポート番号 80, , 2323 SHODANに登録されている機器台数 1,812, , , , ,734 Censys に登録されている機器台数 2,784, , , , ,241 14

15 インターネット検索サービスの活用 SHODAN/Censys を利用するにあたって SHODAN/Cencys で検索できる範囲はインターネットとの接続点 ルータ等の設定が不適切である場合 組織内 ( 自宅内 ) の機器がヒットする可能性もある SHODAN/Censys の検索結果にヒットした 危険な状態 検索にヒットした機器の設定が適切になっているか再度見直し SHODAN/Censys を用いて見つけられる脅威は限定的 検索にヒットしなかった 安全な状態 SHODAN/Censys のDBに登録されていないにすぎない 15

16 IoT 機器を使うにあたって管理の明確化 管理者を明確にする ネットワークへの接続ルールの策定し 周知する 定期的に外部からの検査を実施する 利用者 管理 周知 外部からの検査 管理者 16

17 IoT 機器を使うにあたってネットワークによる保護 不必要な IoT 機器はインターネット接続しない 原則ファイアウォールやブロードバンドルータを経由させ 許可する通信を限定する ネットワークセグメントを意識的に分離し 管理機能の アクセスを制限する 外部からの利用者やベンダーの保守員 利用者 管理者 悪意ある第三者 17

18 IoT 機器を使うにあたって IoT 機器の適切な設定 管理者用のアカウント / パスワードを管理する 類推されにくい ID/ パスワードに変更する ID/ パスワードは適時更新する ソフトウェアを最新状態にする 不要な機能は使わないようにする 外部からの利用者やベンダーの保守員 利用者 悪意ある第三者 管理者 18

19 さいごに インターネットに接続しているか再点検 接続している場合は設定内容も確認 SHODAN/Censysを活用して インターネットから身の回りの機器がどのように見られているか再点検 身の回りの モノ がインターネットに繋がっていることを再認識 攻撃者にならないように Mirai 等のマルウェア感染に備える 19

20 展示ブースにもお立ち寄りください 本講演の関連情報 資料を パネル B-5, B-6 前にて紹介中です 20

21 参考情報 IPA の Web サイト IoT のセキュリティ IPA の Web サイトにおいて IoT のセキュリティ のページを公開中 IoT のセキュリティに関する IPA の取組み 参考となる資料等を紹介 組込みシステム全般 情報家電 / オフィス機器 自動車 医療機器 制御システム 21

22 情報セキュリティマネジメント試験 IT 利 部 の情報セキュリティ管理の向上に役 つ国家試験あらゆる部 で必要な 情報セキュリティ管理の知識を体系的に習得できます 受験をお勧めする 個 情報を扱う全ての 業務部 管理部 で情報管理を担当する全ての 試験実施 年 2 回実施 ( 春期 秋期 ) 春期 : 4 第三 曜 秋期 :10 第三 曜 22

23 i パス は IT を利活 する すべての社会 学 が備えておくべき IT に関する基礎的な知識が証明できる国家試験です 戦略 財務等幅広い出題 試験の主なメリット セキュリティを積極出題 エントリーシート等活 上峰( うえみねあい) 亜公式キャラクター仕事に役 つ セキュリティに強くなる 就職に役 つ 衣23 パソコンを利 して受験する CBT 式なので 都合の良いときに受験可能! お申込みは i パス Web サイトで常時受付中!

24 24