Internet of Things 第16回情報セキュリティEXPO[春] IPAブースプレゼンテーション IoTのセキュリティ 増大するIoTのセキュリティ脅威とその対策 2019年5月 8日 水 16:10-16: 年5月 9日 木 13:40-14: 年5月10日 金

Transcription

1 Internet of Things 第16回情報セキュリティEXPO[春] IPAブースプレゼンテーション IoTのセキュリティ 増大するIoTのセキュリティ脅威とその対策 2019年5月 8日 水 16:10-16: 年5月 9日 木 13:40-14: 年5月10日 金 15:40-16:00 独立行政法人情報処理推進機構 IPA セキュリティセンター セキュリティ対策推進部 博士 工学 辻 宏郷

2 第一部増大する IoT のセキュリティ脅威 感染手段の巧妙化 悪用方法の多様化と被害対象の範囲拡大 2

3 増大する IoT のセキュリティ脅威感染手段の巧妙化 (1/2) 典型的なユーザ名 パスワードを用いた 総当りの不正ログイン 管理者のユーザ名は root で パスワードは未設定なのか それでは 共に admin に変更しておこう 管理者パスワードの初期値は 7ujMko0vizxv ですって 十分複雑なパスワードなので そのままでいいわね 3

4 増大する IoT のセキュリティ脅威感染手段の巧妙化 (1/2) IoT 機器を狙うウイルス Mirai が保持しているユーザ名 パスワードの例 ユーザ名 パスワード 該当するIoT 機器の例 root xc3511 Shenzhen Ele Technology, DVR root vizxv Zhejiang Dahua Technology, Camera root admin IPX International, DDK Network Camera ユーザ名 パスワード 該当するIoT 機器の例 supervisor supervisor VideoIQ Zhejiang Dahua Technology, IP Camera ubnt ubnt Ubiquiti Networks, AirOS Router admin admin root klv1234 HiSilicon Technologies, IP Camera root Zhejiang Dahua Technology, DVR root xmhdipc Shenzhen Anran Security Technology, Camera root Zte521 ZTE, Router root hi3518 HiSilicon Technologies, IP Camera root default root jvbzd HiSilicon Technologies, IP Camera root juantech Guangzhou Juan Optical & Electronical Tech root root x8, Packet8 VoIP Phone 等 root anko Shenzhen ANKO Tech, DVR root zlxx. Electro-Voice, ZLX Two-way Speaker? root 7ujMko0vizxv Zhejiang Dahua Technology, IP Camera support support root 7ujMko0admin Zhejiang Dahua Technology, IP Camera root ( 未設定 ) Vivotek, IP Camera root system IQinVision (Vicon Industries), Camera 等 admin root password root root ikwb Toshiba, Network Camera root dreambox Dream Property GmbH, Dreambox Receiver user user root user root pass Axis Communications, IP Camera 等 admin smcadmin SMC Networks, Routers admin 1111 Xerox, Printers 等 root Zhejiang Dahua Technology, Camera root klv123 HiSilicon Technologies, IP Camera root realtek RealTek Routers root Panasonic, Printer admin Samsung, IP Camera admin ACTi, IP Camera admin meinsm MOBITIX AG, Network Camera 出典 等をもとに IPA 作成 4

5 増大する IoT のセキュリティ脅威感染手段の巧妙化 (2/2) 特定の IoT 機器の脆弱性を突いて感染 我が社の IoT 機器は大丈夫だろうか? Mirai というウイルスが流行しているそうだが 部長 安心してください IoT 機器毎に異なる 複雑なパスワードを設定したので Mirai 対策は完璧ですよ 5

6 増大する IoT のセキュリティ脅威感染手段の巧妙化 (2/2) IoT 機器を狙うウイルス Omni の亜種 が感染に悪用する脆弱性の例 感染時に悪用する脆弱性 影響を受けるIoT 機器の例 1 認証回避 (CVE ) コマンドインジェクション(CVE ) Dasan Networks GPONルータ 2 任意のコード実行 (CVE ) Realtek SDKを用いた各 IoT 機器 3 setup.cgi 非認証のリモートコード実行 Netgear ルータ DGN1000/DGN2200 v1 4 任意のコード実行 (CVE ) Huawei ルータ HG532 5 WAN 側からのリモートコードインジェクション (CVE ) ZyXEL ADSLルータ eir D1000 modem 6 HNAP SoapAction ヘッダーコマンド実行 (CVE ) D-Link ルータ DIR-645 他 7 CCTV/DVRのリモートコード実行 70 社以上のCCTVやデジタルビデオレコーダー 8 JAWS Webサーバの非認証リモートコマンド実行 MVPower デジタルビデオレコーダー TV-7104HE 等 9 UPnP SOAP Telnetd コマンドインジェクション D-Link ルータ DIR-300/DIR-600 等 10 cgi-binコマンドインジェクション (CVE ) Netgear ルータ R7000/R リモートコマンド実行 (board.cgi コマンドインジェクション ) VACRON ネットワークビデオレコーダー 出典 等をもとに IPA 作成 6

7 増大する IoT のセキュリティ脅威悪用方法の多様化と被害対象の範囲拡大 (1/6) 第三者のサーバへの DDoS 攻撃の踏み台として悪用 DDoS 攻撃を代行 / レンタル提供するサービス (DDoS-as-a-Service) 7

8 増大する IoT のセキュリティ脅威悪用方法の多様化と被害対象の範囲拡大 (2/6) ネットワークカメラへの不正アクセス 1 ホームカメラの覗き見 2 監視カメラの映像改ざん 8

9 増大する IoT のセキュリティ脅威悪用方法の多様化と被害対象の範囲拡大 (3/6) ホームルータの DNS 設定情報の書き換え 1 インターネット接続不能 2 ルータを中継するスマートフォンのウイルス感染 ( 正規アプリに偽装したウイルス配布サイトへの誘導 ) 出典 9

10 増大する IoT のセキュリティ脅威悪用方法の多様化と被害対象の範囲拡大 (4/6) プロキシサーバとしての悪用 1 第三者へのサイバー攻撃時の匿名性向上 2 プロキシサーバ利用権の他者への転売 10

11 増大する IoT のセキュリティ脅威悪用方法の多様化と被害対象の範囲拡大 (5/6) 仮想通貨の採掘への悪用 Android 機器のデバッグ用インターフェース ADB(Android Debug Bridge) から仮想通貨の採掘を行うウイルスをインストール 採掘した仮想通貨を攻撃者のウォレットへ収納 Android OS を採用した IoT 機器 ( スマートフォンやスマートテレビ ) が攻撃対象 11

12 増大する IoT のセキュリティ脅威悪用方法の多様化と被害対象の範囲拡大 (6/6) 乗っ取った IoT 機器から インターネット上の他の PC で動作している仮想通貨採掘ソフトウェアを攻撃 仮想通貨採掘ソフトウェアの遠隔管理インタフェースの脆弱性を攻撃 設定情報 ( マイニングプールとウォレットアドレス ) を書き換えて 第三者が採掘中の仮想通貨を横取り 12

13 第二部 IoT 製品 / サービスの開発者 製造者 提供者の対策 セキュリティ バイ デザイン ~ 設計段階からセキュリティを考慮 ~ セキュリティ対策の継続的サポート ( 脆弱性対応 ソフトウェア更新 ) 13

14 IoT 製品 / サービスの開発者 製造者 提供者の対策 IoT 開発におけるセキュリティ設計の手引き を題材に セキュリティ バイ デザイン 設計段階からセキュリティを考慮 - システムの全体構成の明確化 - 保護すべき情報 機能 資産の明確化 - 脅威分析 保護対象に対する想定脅威の明確化 - 対策検討 対策候補の洗い出し 脅威 被害 コスト等を考慮した選定 脆弱性対策 セキュリティ対策の継続的サポート - 脆弱性対応 - ソフトウェア更新 14

15 IoT のセキュリティ設計脅威分析と対策検討の実施例 (1/2) 防止したい被害を列挙し それらの被害を生じさせる攻撃シナリオを洗い出し そのような攻撃を抑止するための対策を検討する 例 : ネットワークカメラシステム ネットワークカメラ対応クラウドサーバ タブレット端末 モバイル PC インターネット 防止したい被害の例 1. ネットワークカメラの画像を盗み見される 2. ネットワークカメラからの画像を改ざんされる 3. ネットワークカメラの画像を閲覧できなくなる ネットワークカメラ ホームルータ スマートフォン ( 注 ) ネットワークカメラとしての機能は正常動作させつつ 第三者への攻撃の踏み台に悪用する攻撃の対策も考慮要 15

16 IoT のセキュリティ設計脅威分析と対策検討の実施例 (2/2) 1. ネットワークカメラの画像を盗み見される 脅威 (1) 正規のユーザに成りすましてカメラにアクセスして 画像を不正閲覧する (a) パスワードが設定されていないカメラの画像を不正閲覧する 画像閲覧アプリ等を使用して カメラにアクセスする (b) パスワードがデフォルト値のままのカメラの画像を不正閲覧する 画像閲覧アプリ等を使用して デフォルト値のパスワードを入力し カメラにアクセスする (c) 不正入手した 判明したパスワードを利用して カメラの画像を不正閲覧する 画像閲覧アプリ等を使用して パスワードリスト攻撃で不正ログインを試み カメラにアクセスする 画像閲覧アプリ等を使用して パスワード辞書攻撃で不正ログインを試み カメラにアクセスする 脆弱性を突いてパスワードを入手し 画像閲覧アプリ等を使用して 入手したパスワードで不正ログインを試み カメラにアクセスする 対策名ユーザ認証説明書周知徹底ユーザ認証説明書周知徹底ユーザ認証説明書周知徹底ユーザ認証説明書周知徹底脆弱性対策 対策候補 ( ベストプラクティス ) 備考パスワード未設定を許容しない パスワード設定の必要性を説明書にて注意喚起 デフォルト値のままのパスワードを許容しない パスワード変更の必要性を説明書にて注意喚起 一定回数以上のログイン失敗でロックアウト パスワードの使いまわしを説明書にて注意喚起 一定回数以上のログイン失敗でロックアウト 安易なパスワード利用を説明書にて注意喚起 脆弱性発生時の早期パッチ提供等 (2) 正規ユーザが閲覧中のカメラ画像データを ネットワーク上で盗聴する ネットワーク上のパケットをキャプチャし 画像データ部分を抽出する 通信路暗号化ネットワーク上転送データの暗号化 (3) 脆弱性を悪用してネットワークカメラ内部に侵入し 画像データを窃取する 脆弱性を突いて カメラ内部に不正アクセスする 脆弱性対策 脆弱性発生時の早期パッチ提供等 カメラ内部の画像データを抽出し カメラの外へ持ち出す データ暗号化 カメラ内部保存データの暗号化 16

17 IoT のセキュリティ設計具体的分析 検討実施例ヘルスケア機器とクラウドサービス 凡例 携帯電話基地局 ユーザ認証 (OTA11,12,13,14) ( OWASP2,8) 遠隔ロック 1 不正利用 ウイルス感染 操作ミス 機微情報 脅威 脆弱性対策 (OTA4,5) アンチウィルスソフトウェア署名 (OTA6)(OWASP9) セキュア開発 (OTA7) 2 ペアリング時の確認 (OTA21) 携帯電話通信事業者網 ネットワーク対応歩数 活動量計 対策候補 ( 関連ガイドの対応要件番号 ) モバイル通信 (LTE 等 ) 盗聴 改ざん スマートフォン (iphone) 情報漏えい クラウドサービスログイン情報 ヘルスケアデータ Bluetooth 通信 盗聴 改ざん 通信路暗号化 (OTA1,3)(OWASP4,8) 通信路暗号化 (OTA1,3)(OWASP4,8) ユーザ認証 (OTA11,12,13,14)(OWASP2,7,8) データ暗号化 (OTA2)(OWASP5,8) 耐タンパ S/W(OTA7) 出荷時状態リセット (OTA24) セキュア消去 (OTA30,31) 遠隔消去 (OTA31) 不正利用 ウイルス感染 1 と同じ 2 と同じ 通信路暗号化 (OTA1)(OWASP8) NFC 通信 ネットワーク対応体重体組成計 サーバセキュリティ (OTA4) 脆弱性対策 (OTA5)(OWASP1,6) ユーザ認証 (OTA11,12,13,14)(OWASP1,2,6,8) FW/IDS/IPS(OWASP3) ログ分析 (OTA15) 通信路暗号化 (OTA1,3)(OWASP4,8) 盗聴 改ざん スマートフォン (Android) 情報漏えい クラウドサービスログイン情報 ヘルスケアデータ 盗聴 改ざん DoS 対策 (OWASP3) 盗聴 改ざん 通信路暗号化 (OTA1,3)(OWASP4,8) Wi-Fi 通信 通信路暗号化 (OTA1)(OWASP8) インターネット ネットワーク対応血圧計 クラウドサービス ホームルータ Wi-Fi 通信 PC (Mac) USB 接続 NFC 通信 不正アクセス DoS 攻撃 不正アクセス DoS 攻撃 盗聴 改ざん 盗聴 改ざん 有線通信 (LAN 接続 ) クラウドサービスログイン情報 ヘルスケアデータ 情報漏えい 通信路暗号化 (OTA1)(OWASP8) 盗聴 改ざん 個人情報 ログイン情報 ヘルスケアデータ 情報漏えい ネットワーク対応血圧計 データ暗号化 (OTA2)(OWASP5,8) データ二次利用禁止 (OTA25) 脆弱性対策 (OTA5) ユーザ認証 (OTA11,12,13,14)(OWASP2,8) FW 機能 (OWASP3) DoS 対策 (OWASP3) 通信路暗号化 (OTA1,3)(OWASP4,8) PC (Windows) USB 接続 クラウドサービスログイン情報 ヘルスケアデータ 情報漏えい ユーザ認証 (OTA11,12,13,14)(OWASP2,8) データ暗号化 (OTA2)(OWASP5,8) セキュア消去 (OTA30,31) ヘルスケアデータヘルスケアデータヘルスケアデータヘルスケアデータ 情報漏えい情報漏えい情報漏えい情報漏えい データ暗号化 (OTA2)(OWASP5,8) 出荷時状態リセット (OTA24) セキュア消去 (OTA30,31) 耐タンパH/W(OWASP10) 耐タンパS/W(OTA7) ウイルス感染 2 と同じ 2 と同じ ウイルス感染 データ暗号化 (OTA2)(OWASP5,8) 出荷時状態リセット (OTA24) セキュア消去 (OTA30,31) 耐タンパH/W(OWASP10) 耐タンパS/W(OTA7) 脅威 対策候補 発生箇所脅威名対策名 ネットワーク対応歩数 活動量計 ホームルータ クラウドサービス 操作ミス 情報漏えい 不正アクセス DoS 攻撃 不正アクセス DoS 攻撃 情報漏えい ペアリング時の確認 データ暗号化 出荷時状態リセット セキュア消去 耐タンパー H/W 耐タンパー S/W 脆弱性対策 ユーザ認証 FW 機能 DoS 対策 サーバセキュリティ 脆弱性対策 ユーザ認証 FW/IDS/IPS ログ分析 DoS 対策 データ暗号化 データ二次利用禁止 17

18 IoT のセキュリティ設計脆弱性対応 (1/3) 開発段階での対応 開発段階での対応 - 新たな脆弱性を作り込まない セキュアプログラミング技術の適用 コーディング規約 ハードウェアのセキュリティ対策 ( 物理的攻撃への対策 ) の考慮 - 既知の脆弱性を解消する 外部のソフトウェア部品の利用時 サンプルコードの流用時 - 残留している脆弱性を検出 解消する 各種テスト ( 既知の脆弱性検査 ソースコード検査 ファジング 等 ) の実施 - 製品出荷後の新たな脆弱性の発見に備える ソフトウェアの更新機能の実装 ( ) IPA の Web サイト 脆弱性対策 : ファジング 18

19 IoT のセキュリティ設計脆弱性対応 (2/3) 運用段階での対応 運用段階での対応 - 継続的に脆弱性対策情報を収集する 出荷した製品自体における脆弱性の検出 発見 開発に利用した外部ソフトウェア部品における脆弱性の検出 発見 - 脆弱性検出時 脆弱性対策情報を作成する 脆弱性の概要 深刻度 影響を受ける範囲 想定される影響 対策等 - 脆弱性対策情報をユーザに周知する 速やかに 確実に通知する ( 例 : 脆弱性届出制度の活用 ) - 更新ソフトウェア ( 脆弱性修正版 ) を製品に適用する 速やかに 確実に適用してもらう仕組み ユーザによる適用が困難な場合は リコールも考慮 Update! 19

20 IoT のセキュリティ設計脆弱性対応 (3/3) IPA の提供するコンテンツの活用 脆弱性対策情報データベース JVN ipedia - 約 97,000 件 (2019 年 3 月時点 ) の国内外のソフトウェアの脆弱性対策情報を蓄積 既知の脆弱性解消 ( 開発段階 ) 継続的な脆弱性対策情報の収集 ( 運用段階 ) に活用可能 IoT 製品 サービス脆弱性対応ガイド 年 3 月 22 日公開 IoT 製品 サービスを開発 提供している企業の経営者 管理者向けガイド セキュリティ対応に対する企業の責任の考え方や脆弱性対策の必要理由を解説 20

21 IoT 開発におけるセキュリティ設計の手引き 開発者向けの IoT セキュリティ対策ガイド 手引きの内容 IoT の定義と全体像の整理 IoT のセキュリティ設計 - 脅威分析 - 対策の検討 - 脆弱性への対応 関連セキュリティガイドの紹介 具体的な脅威分析 対策検討の実施例 1 デジタルテレビ 2 ヘルスケア機器とクラウドサービス 3 スマートハウス 4 コネクテッドカー IoT セキュリティの根幹を支える暗号技術 つながる世界の開発指針 との対応 21

22 おわりに 増大する IoT のセキュリティ脅威 - 感染手段の巧妙化 - 悪用方法の多様化と被害対象の範囲拡大 IoT 製品 / サービスの開発者 製造者 提供者の対策 - セキュリティ バイ デザイン ~ 設計段階からセキュリティを考慮 ~ 脅威分析 対策検討 - セキュリティ対策の継続的サポート 脆弱性対応 ソフトウェア更新 22

23 参考情報 IPA の Web サイト IoT のセキュリティ IPA の Web サイトにおいて IoT のセキュリティ のページを公開中 IoT のセキュリティに関する IPA の取組み 参考となる資料等を紹介 組込みシステム全般 情報家電 / オフィス機器 自動車 医療機器 制御システム 23

24 展示エリアにもお立ち寄りください ご紹介した資料を展示パネル前にて配布しています 24