Embedded Technology West 2015 組込み総合技術展関西 IoT におけるセキュリティの脅威と対策 2015 年 6 月 11 日 ( 木 ) 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター情報セキュリティ技術ラボラトリー博士 ( 情報学 ) 中野学

Transcription

1 Embedded Technology West 2015 組込み総合技術展関西 IoT におけるセキュリティの脅威と対策 2015 年 6 月 11 日 ( 木 ) 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター情報セキュリティ技術ラボラトリー博士 ( 情報学 ) 中野学 1

2 本日の講演の流れ IoTセキュリティが必要となる社会的背景 IoTにおける脅威 IPAの提供するセキュリティ検討手法と対策コンテンツ まとめ

3 社会的背景 ~ 情報セキュリティの今 昔 ~ 3

4 組込み機器の今昔 ~ 繋がるモノ ~ クラウド これまでの組込みシステム スタンドアロンで動作 機械的な制御 Car2X 自動車 これからの組込みシステム インターネットを含めた様々なネットワークと接続して動作 そしてクラウドへ ソフトウェア制御 個人情報や操作情報のような機微な情報を含めた様々な情報 ( ビッグデータ ) を扱う 4

5 ビックデータの時代へ ~ 繋がってしまうモノ ~ スマートフォン 電話帳 メール 写真 動画 音楽 GPS 情報 オートロック機能 etc 自動車 車速 ハンドル舵角燃費 充電情報 自動運転機能 etc ゲーム機 各種アカウント 電子マネーコンテンツ プレイデータ etc ユーザ情報 コンテンツクレジットカード情報 録画予約機能 etc デジタルテレビ ビッグデータ 利用者情報 健康状態 各種設定情報 制御機能 etc デジタルヘルス スキャン情報 FAX 情報 ユーザ情報 データ送信機能 etc デジタル複合機 情報の中には 複数のデータが組み合わさることで個人が特定される情報や 人によっては外に出したくない情報など様々であり ビックデータの中の情報をどれだけ守れば良いかと定義する事は難しい 利用用途やサービス目的を鑑みつつ 情報を保護する手段や消去手段を持つ事が望まれる また 遠隔操作可能な機能を持つ事で 悪意ある者からの脆弱性を狙った攻撃や 不正利用が考えられる 脆弱性を作りこまない開発や 攻撃を予防するセキュリティ対策が必要 5

6 三つの進化と それに伴うセキュリティ 新しいサービスの発達ネットワークへの接続汎用プロトコル等の利用 新しい技術や機器の発展に伴って, 様々な新しいサービスが創出される これにより, 組込み業界に様々なプレイヤーが係わり, 多様な情報が扱われるようになる 情報の価値や重要度に応じたセキュリティや情報の取扱いを利用者が理解 選択出来るような仕組みが必要となる また, 新しいサービスの出現に伴って, それに適したセキュリティを検討する必要がある 通信機能の搭載が容易 必須になりインターネットを含めた公共回線の利用が当然となる これによって様々なモノが繋がる世界になる これまでネットワーク経由の攻撃が考慮されてこなかった製品群が, 今後は攻撃の対象となるため, 製品のセキュリティはもちろん, 利用者の教育についても検討する必要がある 多種多様な機器を接続するためや, 機器のコスト競争等から, 例えば TCP/IP などの汎用プロトコルが利用されるようになる これまで利用されてきた独自プロトコルが標準化され, 一般的な PC でも利用される汎用プロトコル等が利用されることで,PC と同様の脅威が発生する可能性がある 6

7 IoT のこれから 新しいサービスの発達 車載センサの情報を活用したサービス ( 自動車 ) 健康促進に向けた身体情報の活用 ( ヘルスケア ) 一般家庭における高度医療の実現 ( 医療 ) ネットワークへの接続 自動車とスマートフォンの連携 ( 自動車 ) 院内 LANと外部ネットワークの接続 ( 医療 ) 汎用プロトコル等の利用 車載システムや医療機器への汎用プロトコル利用 自動車や医療を専門としないソフトウェアメーカ等の参入 7

8 インシデント等の事例 ~IoT と関連する様々な機器とシステム ~ 8

9 Web カメラの情報セキュリティに関連する事例 Web カメラの画像を意図しない相手が見ることが可能な事例 2015 年 3 月に朝日新聞で Web カメラの利用の不備が指摘される IP アドレス等から 2,163 台の Web カメラを検出 内 769 台でパスワードが未設定 非公開の試作品や店舗や工場の様子が確認できた カメラによっては場所を特定できるケースも カメラの向き等を第三者が操作できた可能性も指摘される パスワードが設定されていたとしても デフォルトパスワードの利用 Web カメラ自体に脆弱性がある可能性も 9

10 医療機器セキュリティの事例 2011 年 Black Hat で Jerome Radcliffe 氏が報告したインスリンポンプへのハッキング ハッキングのために インスリンポンプ及び CGM センサについて 付属のマニュアルや特許庁 Web サイトから情報収集を行い 機能や構成の情報を収集 次にCGMセンサの通信情報を解読し インスリンポンプにおいても機器のシリアル番号を取得できれば無線通信により誤った命令を実行できるとしている CGMセンサ インスリンポンプそれぞれにおいて 理論上は以下の攻撃が可能であると発表している CGM センサに対しては血糖値の改ざんや通信の妨害が可能 インスリンポンプ攻撃例は設定を改ざんし 意図しない動作の誘発 ( インスリン投入のタイミングや一回当たりの投入量の変更等 ) が可能 CGM センサ : (continuous glucose monitors: 継続的に糖濃度を計測するシステム ) インスリンポンプの通信イメージ ( 左 ) と機器 ( 右 )( 出典 :( 左 ) 米 GAO,( 右 )heregister Web サイト ) 10

11 自動車へのハッキングの事例 CAN(Controller Area Network): 主要な車載 LAN 方式の一つ 2010 年ワシントン大学 Kohno 氏論文 Experimental Security Analysis of a Modern Automobile にて CAN 本体について ; (1)CAN 通信は同一バス上に同報する方式で 盗聴 解析が容易 (2) 認証フィールドとは発信元 ( ソースアドレス ) がなく なりすましが容易など CAN を利用した車載 LAN 上機器の処理の不足や標準的な処理の不備などについて ; (3) 走行中には無視しなければならないはずの CAN バス全体の通信停止メッセージが 実際には有効 (4) 走行中の ECU の書換えは禁止されているはずであるが 実際には書換えモードに入ることが可能 (5)OBD-II に接続した実験用の PC から上記のテレマティクス端末のソフトウェアを認証手順なしで書換え 現在は 攻撃を行うための機材とソフトウェアは市販製品では機能不足のため開発が必要で 攻撃の難易度は高い ECU 単体の解析 ( 左 ) 静止時の車台上での ECU 間解析と試験 ( 中 ) 走行中の動作試験 ( 右 ) 出典 : 11

12 組込みシステムへのセキュリティ対策は進んでいるか 信号機に対するハッキング 発生した国 : 米国 業種 : 道路管理 原因 : システムが脆弱な状態 2009 年 1 月 米国の複数の州における信号機 ( 交通メッセージ表示 ) が ゾンビ注意 (ZOMBIES AHEAD) に変更された この例はいたずらだが 原因はシステムにおけるパスワードをデフォルトのままにしていたり 本来ロックしておかなければならない機能をロックしていなかったりシステムが脆弱な状態にあったため いたずらに利用された 写真 :The Telegraph Source: Los Angels Times 年 1 月 9 日報道 ロサンゼルスのダウンタウンで 交通情報を表示する電光掲示板がハッキングされる 掲示板の所有者の Traffic Management Incorporated 社によれば 手口は不明だが 装置のある場所に侵入して書き換えたか WiFi が使えるタイプで リモートから書き換えられた可能性もあり Source: LA WEEKLY

13 セキュリティ検討 対策の一例 ~ これまでの調査と IPA のツールから ~ 13

14 利用者や利用シーン等の整理 (1/2) ~IPA における医療機器の分類 ~ IPA では医療機器を利用方法や重要度にあわせ 以下のように分類した 療従事者による利用一般利用者による利電気治療器 医用高度管理医療機器 ( クラスⅢ Ⅳ) 不具合が生じた場合 人体への影響が大きい機器 A 群 B 群 人工呼吸器 除細動電極 輸液ポンプ 麻酔システム 透析器 ペースメーカー 人工心臓弁 インスリンポンプ 医療機器 ( 薬事法の対象 ) 一般医療機器 ( クラス Ⅰ) / 管理医療機器 ( クラス Ⅱ) 不具合が生じた場合でも 人体への影響が軽微な機器 MRI 電子内視鏡 超音波診断装置 X 線フィルム 聴診器 携帯型電子式血圧計携帯型心電計 C 群 医療情報システム 医療事務や診療を支援するシステムや 患者情報を扱うも端末やネットワーク D 群 ヘルスケア機器 使用することにより健康の増進や体型の維持向上が期待できるとされている器具 オーダリングシステム 医事会計システム 電子カルテ エアロバイク等 活動量計 睡眠計体組成計 14

15 利用者や利用シーン等の整理 (2/2) ~IPA における医療機器の分類 ~ A 群 ( 医療機関で取り扱われる専門機器 ) 機器一台が高額, かつ細やかな設定がなされている 病院内での利用に限られ, 基本的には安全な環境で利用される 不具合が発生した場合, 人体への影響は大きい B 群 ( 医療機関の判断で利用される専門機器 ) 一般利用者 ( 患者 ) が利用するが, 設定等は主に病院が行う センサ機能だけでは無く, 医療行為を行う機能がついている 病院外での利用に対応しており, 短距離無線機能を持つものも多い C 群 ( 健康促進 体調管理を目的として利用される機器 ) 一般利用者が家電量販店等で購入することが可能 主にセンサ及び情報集積機能のみであり, 医療行為は行わない データの信頼性は ( 現状のところでは ) 強く求められていない D 群 ( 医療行為のサポートを行うシステム ) 医療行為に大きな影響は無いが, 多くの機微情報を含む オープンソースのシステムもあるなど, 一般的な情報システムに酷似 15

16 適切な脅威分析 対策検討の実施 ~IPA による自動車セキュリティ分析の例 ~ 外部から 情報の入出力が出来るポートを持つ機能については PC と同様の脅威がある 一方で 制御系を外部から直接攻撃する手段に関しては 現状では見つからない ( 設定不良 蓄積情報漏えい 不正利用 不正設定 ウイルス感染 盗聴 ) A. B. 駆動系 シャーシ系 不正利用 不正設定 盗聴等 設定不良 ユーザ情報漏えい 盗聴 DoS 攻撃 F. G. ITS 機能 C. D. ボディ系 不正利用 蓄積情報漏えい 不正設定 ウイルス感染 盗聴 不正アクセス等 テレマティクス 安全快適機能 設定不良 蓄積情報漏えい DoS 攻撃等 ウイルス感染 蓄積情報漏えい 不正利用 不正設定 盗聴 不正アクセス等 H. インフォテイメント E. 診断 保守 設定不良 情報漏えい 不正アクセス等 Bluetooth 無線 LAN USB ポート SD スロット OBD-II 不正利用 不正設定 盗聴等 ウイルス感染 設定不良 操作ミス 不正利用 不正設定 盗聴 不正アクセス等 I. 持ち込み機器 スマートフォンパソコンタブレットプレーヤメモリ /HDD エコメータカスタムメータ 海外の研究発表の事例にもあるように 自動車制御に直接攻撃を仕掛けるのではなく 脆弱なシステムを踏み台にして 自動車制御に影響を与える危険性がある 16

17 ライフサイクルを通したセキュリティへの取組み ~ 組織としてのセキュリティ対策 ~ マネジメント ( セキュリティ関連商品でなくても メーカとして常に行うべき事柄 ) セキュリティルールの策定 セキュリティ教育の実施 セキュリティ情報の収集と展開 企画 ( ライフサイクル全体の計画を行うフェーズ ) セキュリティに配慮した要件定義の策定 セキュリティ関連予算の確保 開発外部委託におけるセキュリティへの配慮 新技術に関連する脅威への対応 開発 ( システムの開発を行うフェーズ ) 設計 実装時のセキュリティ対策 セキュリティ評価 デバッグ 利用者等への情報提供用コンテンツ等の準備 運用 ( 組込みシステムがユーザの手に渡った後 製品として利用されるフェーズ ) セキュリティ上の問題への対処 利用者や自動車関係者への情報提供 脆弱性関連情報の活用 廃棄 ( 買い替え 故障などで組込みシステムが廃棄 リサイクルされるフェーズ ) 廃棄方法の策定と周知 これらの紹介パネル 資料は当ブースにあります 17

18 情報システムにおけるセキュリティ対策の有効利用 (1/3) 脆弱性情報データベース JVN ipedia URL: 国内外の脆弱性対策情報を収集したディクショナリデータベース IPA が運営するサイト 国内ベンダーと連携をし 脆弱性対策情報を公開 海外の脆弱性 DB (NVD) の情報を日本語翻訳して公開 約 42,000 件の脆弱性対策情報を登録

19 情報システムにおけるセキュリティ対策の有効利用 (2/3) セキュリティ上の弱点 ( 脆弱性 ) を作りこまないための教育 学習によって脆弱性に対する理解を深める サンプルアプリで実際に手を動かして脆弱性を知る よくある脆弱性 に対するチェックを行う 学習テーマ選択後の流れ 学習の流れ 脆弱性原理解説 演習 影響解説 対策方法解説 脆弱性修正 解答 修正例確認 ウェブアプリの脆弱性体験学習ツール AppGoat Android アプリの脆弱性体験学習ツール AnCole

20 情報システムにおけるセキュリティ対策の有効利用 (3/3) ファジング ( 英名 :Fuzzing) の利用 何万種類もの問題を起こしそうなデータ ( 例 : 極端に長い文字列 ) を送り込み 対象製品の動作状態 ( 例 : 製品が異常終了する ) から脆弱性を発見する技術 ファジングツール (*1) (Fuzzing tool) 例えば Codenomicon Raven Peach イメージ図 検査データ (1 番目 ) 応答あり 検査データ (2 番目 ) 応答あり 何万種類の検査データを送信 検査データ (12345 番目 ) など 応答なし対象機器 (*2) IPAが実施したファジングでは ルータの脆弱性を発見 他の組込み機器に対しても調査中 IPAではこの調査結果や ファジングの利用ガイド等も随時公開 (*1): ファジングツールは 商用製品だけではなく オープンソースソフトウェア フリーソフトウェアも存在します (*2): この図では組込み機器を示していますが ソフトウェア製品でも同様です

21 既存制度の利用 改良 ~ 自動車の例を基に ~ IoT 機器は業界ごとに専用の制度 施設等が存在する 免許の取得 更新 利用者にセキュリティ教育を施す機会 公的機関によるものなので, 足並みを揃えるのが容易 車検 数年に一度とはいえ, 必ずメンテナンスできる機会 被害事例やパッチ適用率等も調査可能? ガソリンスタンドという情報ステーション 自動車利用者なら必ず訪れる場所 が存在 一般利用者にセキュリティ意識を持って頂く事はなかなかに難しい特定環境下もしくは特定利用者に利用される機器は利用者教育及び機器の一元管理がやりやすい状況にある

22 まとめ ~IoT セキュリティのこれから ~ 22

23 総合的 & 継続的なセキュリティ対策を 利用者 医療関係者 開発関連組織 セキュアな IoT 関連機器 サービス提供社 樽の理論何本もの樽材で組み合わせ タガを締めた樽には 一番短い樽材の位置までしか水は入らない それより長い樽材をどれほど高級なものにしたとしても この結果は変わらない 効果的なセキュリティ対策を実施するためには 組込み機器の開発関連組織のみならず それに関わる組織 人の連携が必要 セキュリティレベル IoT 関連組織 サービス提供社 利用者 攻撃者はサービス システム全体を分析した上で 一番弱点となっている所を狙う 場合によってはそれを踏み台としてさらに内部に攻撃をしかける事も 23

24 最後に : 安全でセキュアな社会に向けて 事故誤操作攻撃 Safety & Security 24

25 Windows Server 2003 のサポート終了に伴う注意喚起 Windows Server 2003 のサポートが 2015 年 7 月 15 日に終了します サポート終了後は修正プログラムが提供されなくなり 脆弱性を悪用した攻撃が成功する可能性が高まります サポートが継続している OS への移行検討と OS 移行に伴う周辺ソフトウェアの影響調査や改修等について計画的に迅速な対応をお願いします 業務システム サービスの停止 破壊 重要な情報の漏えい データ消去 脆弱性を悪用した攻撃 脆弱性が未解決なサーバ ホームページの改ざん 他のシステムへの攻撃に悪用 会社の事業に悪影響を及ぼす被害を受ける可能性があります 詳しくは IPA win2003 検索 また WindowsXP を利用されている方はサポートが継続している OS への移行検討をお願いします 25

26 IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ i パス は IT を利活用するすべての社会人 学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です

27 ご清聴ありがとうございました! 本成果は IPA の Web サイトでダウンロードする事ができます Contact: IPA( 独立行政法人情報処理推進機構 ) 技術本部セキュリティセンター情報セキュリティ技術ラボラトリー TEL 03(5978)7527 FAX 03(5978)7518 電子メール vuln-inq@ipa.go.jp 27