Embedded Technology 2015 IoT Technology 2015 IoT におけるセキュリティの脅威と対策 Copyright 2015 独立行政法人情報処理推進機構 2015 年 11 月 20 日 ( 金 ) 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティ

Transcription

1 Embedded Technology 2015 IoT Technology 2015 IoT におけるセキュリティの脅威と対策 2015 年 11 月 20 日 ( 金 ) 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター情報セキュリティ技術ラボラトリー博士 ( 工学 ) 辻宏郷 1

2 本日の講演の流れ IoT セキュリティが必要となる社会的背景 ~ 情報セキュリティの昔と今 これから ~ IoT における脅威事例 ~2015 年に報告された事例から ~ セキュリティ検討 対策の一例 ~IPA の提供するセキュリティ検討手法と対策コンテンツ ~ まとめ

3 IoT セキュリティが必要となる社会的背景 ~ 情報セキュリティの昔と今 これから ~ 3

4 組込み機器の昔と今 ~ 繋がるモノ ~ クラウド これまでの組込みシステム スタンドアロンで動作 機械的な制御 Car2X 自動車 これからの組込みシステム インターネットを含めた様々なネットワークと接続して動作 クラウドの活用 ソフトウェア制御 個人情報や操作情報のような機微な情報を含めた様々な情報を扱う 4

5 ビックデータの時代へ ~ 繋がってしまうモノ ~ スマートフォン 電話帳 メール 写真 動画 音楽 GPS 情報 オートロック機能 etc 自動車 車速 ハンドル舵角燃費 充電情報 自動運転機能 etc ゲーム機 各種アカウント 電子マネーコンテンツ プレイデータ etc ユーザ情報 コンテンツクレジットカード情報 録画予約機能 etc デジタルテレビ ビッグデータ 利用者情報 健康状態 各種設定情報 制御機能 etc デジタルヘルス スキャン情報 FAX 情報 ユーザ情報 データ送信機能 etc デジタル複合機 組込みシステムが繋がっていく中では 情報だけでなく 機器の操作 も行われ 機器同士が連携するようになってくる その為 これまでの情報漏えいや改ざん等への対策だけでは無く 攻撃者によって機器が利用者の意図しない動作を防ぐ対策も必要となる 5

6 三つの進化と それに伴うセキュリティ課題 新しいサービスの発達ネットワークへの接続汎用プロトコル等の利用 新しい技術や機器の発展に伴って, 様々な新しいサービスが創出される これにより, 組込み業界に様々なプレイヤーが係わり, 多様な情報が扱われるようになる 情報の価値や重要度に応じたセキュリティや情報の取扱いを利用者が理解 選択出来るような仕組みが必要となる また, 新しいサービスの出現伴って, それに適したセキュリティを検討する必要がある 通信機能の搭載が容易 必須になりインターネットを含めた公共回線の利用が当然となる これによって様々なモノが繋がる世界になる これまでネットワーク経由の攻撃が考慮されてこなかった製品群が, 今後は攻撃の対象となるため, 製品のセキュリティはもちろん, 利用者の教育についても検討する必要がある 多種多様な機器を接続するためや, 機器のコスト競争等から, 例えば TCP/IP などの汎用プロトコルが利用されるようになる これまで利用されてきた独自プロトコルが標準化され, 一般的な PC でも利用される汎用プロトコル等が利用されることで,PC と同様の脅威が発生する可能性がある 6

7 IoT のこれから 新しいサービスの発達 車載センサの情報を活用したサービス ( 自動車 ) 健康促進に向けた身体情報の活用 ( ヘルスケア ) 一般家庭における高度医療の実現 ( 医療 ) ネットワークへの接続 自動車とスマートフォンの連携 ( 自動車 ) 組織 LANと外部ネットワークの接続 ( 制御システム 医療 ) 汎用プロトコル等の利用 様々なシステムへのオープンソース等の汎用プロトコル利用 業界を超えたソフトウェアメーカ等の参入 7

8 IoT における脅威事例 ~2015 年に報告された事例から ~ 8

9 Web カメラのセキュリティ事例 Web カメラの画像を意図しない相手が見ることが可能な事例 2015 年 3 月に朝日新聞で Web カメラの利用の不備が指摘される IP アドレス等から 2,163 台の Web カメラを検出 内 769 台でパスワードが未設定 非公開の試作品や店舗や工場の様子が確認できた カメラによっては場所を特定できるケースも カメラの向き等を第三者が操作できた可能性も指摘される パスワードが設定されていたとしても デフォルトパスワードの利用 Web カメラ自体に脆弱性がある可能性も 9

10 スマートハウスのセキュリティ事例 スマートハウスが管理する情報を不正アクセスされる可能性 2015 年 5 月に朝日新聞でネットワーク接続方法の誤りが指摘される 次世代省エネ住宅 スマートハウス の情報を一元管理する HEMS: Home Energy Management System をルータを介せずネットワークに繋げた場合 第三者に情報を見られたり 家庭内機器を遠隔操作されたりする可能性があったと報告 ルータ自体の脆弱性も従来から数多く報告されている 脆弱性情報対策データベース (JVN ipedia) でルータの脆弱性を検索すると 283 件の情報 (2015 年 9 月現在 ) 最近のものでは 2015 年 8 月 31 日にも ハードコートされたパスワードや バッファオーバーフローの脆弱性など 複数の脆弱性を含む機器が報告されている 10

11 情報家電 医療機器のセキュリティ事例 2015 年 8 月 DEF CON において サムソン電子社のスマート冷蔵庫 RF28HMELBSR に脆弱性が発見される 冷蔵庫のインターネット通信機能における SSL 証明書の検証処理に不備があり 中間者攻撃 (MITM) が可能 冷蔵庫の扉の液晶パネルに搭載された Gmail Calendar の通信時 Google サービスへのログイン情報が窃取される可能性 スマート冷蔵庫と液晶パネル : ( 出展 : 年 4 月セキュリティ研究者の Billy Rios 氏がホスピーラ社の薬剤ライブラリや輸液ポンプの設定等を管理するサーバソフトの脆弱性を報告 薬剤投与の人為的ミスを防ぐため 投与する薬や投薬量の設定が可能なシステム 脆弱性を利用することで インターネット越しにサーバ上の投与する薬や投薬量を改ざんする事が可能 認証機能が無いため サーバから更にポンプ等へ不正アクセスが可能 輸液ポンプ例 :( 出展 : ) 11

12 自動車へのハッキングのセキュリティ事例 2015 年 8 月 Black Hat 及び DEF CON において クライスラー社の Jeep Cherokee の脆弱性を攻撃し 遠隔操作を成功させる Jeep Cherokee に搭載されている車載機 Uconnect に認証回避の脆弱性があり 悪意あるファームウェアに書き換えることが可能 Uconnect には IP アドレスが割り振られており 遠隔から特定の車に対して通信が可能 ファームウェアを改ざんした車に対して攻撃コードを送りこむことで ブレーキ ステアリング エアコン等への干渉が可能 影響がある 140 万台に対してリコール 修正ソフトはオーナ及び整備工場に USB メモリで配られた ( 写真引用 : ) 上記 DEF CONでは テスラモーターズ社のModel Sにおいて 6つの脆弱性も報告される 遠隔操作ではなく 車載ネットワークに直接 PCを繋ぐことで攻撃が可能となる脆弱性 二つの脆弱性ではインフォテイメントのルート権限を奪取できるもの これらの脆弱性を利用することでエンジンスタートや扉の開閉等が可能 テスラモーターズ社は自動アップデートで対応 12

13 2015 年 1 月ロサンゼルスのダウンタウンで交通情報を表示する電光掲示板がハッキングされたと報道される 交通システム ( 電光掲示板 ) のセキュリティ事例 掲示板の所有者のTraffic Management Incorporated 社によれば 手口は不明だが 装置のある場所に侵入して書き換えたか Wi- Fiが使えるタイプなのでリモートから書き換えられた可能性もあり 2009 年 1 月にも米国の複数の州の電光掲示板が同様に攻撃されている パスワードがデフォルトのままであったり 本来はロックしておかなければいけない機能がロックされていないなど セキュリティ的にみて脆弱な状態にあったことから いたずらに利用された Source: LA WEEKLY 写真 :The Telegraph Source: Los Angels Times

14 セキュリティ検討 対策の一例 ~IPA の提供するセキュリティ検討手法と対策コンテンツ ~ 14

15 利用者や利用シーン等の整理 (1/2) ~IPA における医療機器の分類例 ~ 各業界においても IoT は様々な用途 手法で利用される 最初にその利用形態とリスクについて整理する必要がある 医療従事者による利用 一般利用者による利用 高度管理医療機器 ( クラス Ⅲ Ⅳ) 不具合が生じた場合 人体への影響が大きい機器 A 群 B 群 人工呼吸器 除細動電極 輸液ポンプ 麻酔システム 透析器 ペースメーカー 人工心臓弁 インスリンポンプ 医療機器 ( 薬事法の対象 ) 一般医療機器 ( クラス Ⅰ) / 管理医療機器 ( クラス Ⅱ) 不具合が生じた場合でも 人体への影響が軽微な機器 MRI 電子内視鏡 超音波診断装置 X 線フィルム 聴診器 電子体温計 電気治療器 携帯型電子式血圧計 C 群 医療情報システム 医療事務や診療を支援するシステムや 患者情報を扱うも端末やネットワーク D 群 使用することにより健康の増進や体型の維持向上が期待できるとされている器具 オーダリングシステム 医事会計システム 電子カルテ ヘルスケア機器 エアロバイク等 活動量計 睡眠計体組成計 15

16 利用者や利用シーン等の整理 (2/2) ~IPA における医療機器の分類例 ~ A 群 ( 医療機関で取り扱われる専門機器 ) 機器一台が高額, かつ細やかな設定がなされている 病院内での利用に限られ, 基本的には安全な環境で利用される 不具合が発生した場合, 人体への影響は大きい B 群 ( 医療機関の判断で利用される専門機器 ) 一般利用者 ( 患者 ) が利用するが, 設定等は主に病院が行う センサ機能だけでは無く, 医療行為を行う機能がついている 病院外での利用に対応しており, 短距離無線機能を持つものも多い C 群 ( 健康促進 体調管理を目的として利用される機器 ) 一般利用者が家電量販店等で購入することが可能 主にセンサ及び情報集積機能のみであり, 医療行為は行わない データの信頼性は ( 現状のところでは ) 強く求められていない D 群 ( 医療行為のサポートを行うシステム ) 医療行為に大きな影響は無いが, 多くの機微情報を含む オープンソースのシステムもあるなど, 一般的な情報システムに酷似 16

17 適切な脅威分析 対策検討の実施 ~IPA による自動車セキュリティ分析例 ~ 外部から 情報の入出力が出来るポートを持つ機能については PC と同様の脅威がある 一方で 制御系を外部から直接攻撃する手段に関しては 現状では見つからない ( 設定不良 蓄積情報漏えい 不正利用 不正設定 ウイルス感染 盗聴 ) A. B. 駆動系 シャーシ系 不正利用 不正設定 盗聴等 設定不良 ユーザ情報漏えい 盗聴 DoS 攻撃 F. G. ITS 機能 C. D. ボディ系 不正利用 蓄積情報漏えい 不正設定 ウイルス感染 盗聴 不正アクセス等 テレマティクス 安全快適機能 設定不良 蓄積情報漏えい DoS 攻撃等 ウイルス感染 蓄積情報漏えい 不正利用 不正設定 盗聴 不正アクセス等 H. インフォテイメント E. 診断 保守 設定不良 情報漏えい 不正アクセス等 Bluetooth 無線 LAN USB ポート SD スロット OBD-II 不正利用 不正設定 盗聴等 ウイルス感染 設定不良 操作ミス 不正利用 不正設定 盗聴 不正アクセス等 I. 持ち込み機器 スマートフォンパソコンタブレットプレーヤメモリ /HDD エコメータカスタムメータ 海外の研究発表の事例にもあるように 自動車制御に直接攻撃を仕掛けるのではなく 脆弱なシステムを踏み台にして 自動車制御に影響を与える危険性がある 17

18 ライフサイクルを通したセキュリティへの取組み ~ 組織としてのセキュリティ対策 ~ マネジメント ( セキュリティ関連商品でなくても メーカとして常に行うべき事柄 ) セキュリティルールの策定 セキュリティ教育の実施 セキュリティ情報の収集と展開 企画 ( ライフサイクル全体の計画を行うフェーズ ) セキュリティに配慮した要件定義の策定 セキュリティ関連予算の確保 開発外部委託におけるセキュリティへの配慮 新技術に関連する脅威への対応 開発 ( システムの開発を行うフェーズ ) 設計 実装時のセキュリティ対策 セキュリティ評価 デバッグ 利用者等への情報提供用コンテンツ等の準備 運用 ( 組込みシステムがユーザの手に渡った後 製品として利用されるフェーズ ) セキュリティ上の問題への対処 利用者や自動車関係者への情報提供 脆弱性関連情報の活用 廃棄 ( 買い替え 故障などで組込みシステムが廃棄 リサイクルされるフェーズ ) 廃棄方法の策定と周知 これらの紹介パネル 資料は当ブースにあります 18

19 情報システムにおけるセキュリティ対策の有効利用 (1/3) 脆弱性情報データベース JVN ipedia URL: 国内外の脆弱性対策情報を収集したディクショナリデータベース IPA が運営するサイト 国内ベンダーと連携をし 脆弱性対策情報を公開 海外の脆弱性 DB (NVD) の情報を日本語翻訳して公開 約 54,700 件の脆弱性対策情報を登録 19

20 情報システムにおけるセキュリティ対策の有効利用 (2/3) セキュリティ上の弱点 ( 脆弱性 ) を作りこまないための教育 学習によって脆弱性に対する理解を深める サンプルアプリで実際に手を動かして脆弱性を知る よくある脆弱性 に対するチェックを行う 学習テーマ選択後の流れ 学習の流れ 脆弱性原理解説 演習 影響解説 対策方法解説 脆弱性修正 解答 修正例確認 ウェブアプリの脆弱性体験学習ツール AppGoat Android アプリの脆弱性体験学習ツール AnCole

21 情報システムにおけるセキュリティ対策の有効利用 (3/3) ファジング ( 英名 :Fuzzing) の利用 何万種類もの問題を起こしそうなデータ ( 例 : 極端に長い文字列 ) を送り込み 対象製品の動作状態 ( 例 : 製品が異常終了する ) から脆弱性を発見する技術 ファジングツール (*1) (Fuzzing tool) 例えば Codenomicon Raven Peach イメージ図 検査データ (1 番目 ) 応答あり 検査データ (2 番目 ) 応答あり 何万種類の検査データを送信 検査データ (12345 番目 ) など 応答なし対象機器 (*2) IPAが実施したファジングでは ルータの脆弱性を発見 他の組込み機器に対しても調査中 IPAではこの調査結果や ファジングの利用ガイド等も随時公開 (*1): ファジングツールは 商用製品だけではなく オープンソースソフトウェア フリーソフトウェアも存在します (*2): この図では組込み機器を示していますが ソフトウェア製品でも同様です

22 まとめ ~IoT セキュリティのこれから ~ 22

23 利用者 IoT 関連組織 サービス提供社 総合的 & 継続的なセキュリティ対策を 利用者 事業実施者 開発関連組織 セキュアな IoT 関連機器 サービス提供社 樽の理論何本もの樽材で組み合わせ タガを締めた樽には 一番短い樽材の位置までしか水は入らない それより長い樽材をどれほど高級なものにしたとしても この結果は変わらない 効果的なセキュリティ対策を実施するためには 組込み機器の開発関連組織のみならず それに関わる組織 人の連携が必要 セキュリティレベル 攻撃者はサービス システム The 全体を分析した上で 一番 amount of water that a bucket can 弱点となっている所を狙う contain is determined by the height of the lowest board. In 場合によってはそれを踏み the same way, the security level of 台としてさらに内部に攻撃を a system is only as strong as its weakest point. しかける事も Attackers target the weakest point in their attacks. 23

24 最後に : 安全でセキュアな社会に向けて 事故誤操作攻撃 Safety & Security 24

25 Windows Server 2003 のサポート終了に伴う注意喚起 Windows Server 2003 のサポートが 2015 年 7 月 15 日に終了しました サポート終了後は修正プログラムが提供されなくなり 脆弱性を悪用した攻撃が成功する可能性が高まります 周辺ソフトウェアもサポートが順次終了していくため あわせて対策が必要です サポートが継続している OS への移行検討と OS 移行に伴う周辺ソフトウェアの影響調査や改修等について迅速な対応をお願いします 業務システム サービスの停止 破壊 重要な情報の漏えい データ消去 脆弱性を悪用した攻撃 脆弱性が未解決なサーバ ホームページの改ざん 他のシステムへの攻撃に悪用 会社の事業に悪影響を及ぼす被害を受ける可能性があります 詳しくは IPA win2003 検索 なお WindowsXP を利用されている方はサポートが継続している OS への移行検討をお願いします 25

26 IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ i パス は IT を利活用するすべての社会人 学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です

27 ご清聴ありがとうございました! 本成果は IPA の Web サイトでダウンロードする事ができます Contact: IPA( 独立行政法人情報処理推進機構 ) 技術本部セキュリティセンター情報セキュリティ技術ラボラトリー TEL 03(5978)7527 FAX 03(5978)7518 電子メール vuln-inq@ipa.go.jp 27