目次 はじめに IoT 関連のセキュリティ事例セキュリティに関する対応を行う上での課題 IoTセキュリティ評価のためのチェックリストについてまとめ 2

Similar documents
説明の流れ はじめに JPCERT/CC の紹介 2017 年に観測された IoT 関連のインシデント 2017 年に報告された IoT 関連の脆弱性 IoT でセキュリティに取り組む上での課題 まとめ 2

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

目次 はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃 まとめ 1

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

ログを活用したActive Directoryに対する攻撃の検知と対策

インシデントハンドリング業務報告書

ICT-ISACにおけるIoTセキュリティの取組について

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

TCG JRF 第四回公開ワークショップ JPCERT コーディネーションセンター理事 分析センター長真鍋敬士 2012 年 11 月 28 日

脆弱性届出制度における 調整活動 JPCERTコーディネーションセンター脆弱性コーディネーショングループリーダー高橋紀子

本日お話ししたいこと 3) 攻撃事例に見る情報連携の役割と取り組みの紹介 講演者 : 真鍋敬士 (JPCERT コーディネーションセンター ) 17:10-18:00 内容 : 標的型攻撃による被害というのは 攻撃の対象や進行度によって異なり なかなかはっきりしないものです しかし 人や組織を孤立

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

Zone Poisoning

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

本日 お話しすること 第一部多様化する IoT のセキュリティ脅威 IoT 機器に感染するウイルスの多様化 脆弱性を有する IoT 機器の散在 国内に広がる感染被害 第二部開発者 製造者の対策 IoT 開発におけるセキュリティ設計の手引き 開発段階からセキュリティを考慮 ( セキュリティ バイ デザ

最近 話題になったセキュリティ上の出来事は? ストレージメディアを介した感染 リムーバブルメディア (USB メモリ, デジタルカメラ ) ネットワークドライブマルウエア添付メール 標的型攻撃で使われている手法 時事ネタ ( 新型インフルエンザ等 ) への便乗改ざんされた Web サイトから悪意のあ

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

スライド 0

制御システムセキュリティアセスメントサービス

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

Microsoft PowerPoint - IncidentResponce

組織内CSIRTの役割とその範囲

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

講演者自己紹介 中野学 ( なかのまなぶ ) 所属 : 製品セキュリティセンター製品セキュリティグローバル戦略室 略歴 : 2006 年横浜国立大学博士課程修了 ( 情報学博士 ) 2006 年 ~2016 年 : ( 独 ) 情報処理推進機構においてセキュリティ調査 普及啓発活動に従事 担当は家電

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

最新のサイバーセキュリティの脅威

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

PowerPoint プレゼンテーション

これだけは知ってほしいVoIPセキュリティの基礎

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

ACTIVEプロジェクトの取り組み

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

SHODANを悪用した攻撃に備えて-制御システム編-

Internet of Things ET & IoT Technology West 2018 IPA ブースプレゼンテーション 多様化する IoT のセキュリティ脅威とその対策 ~ セキュリティ バイ デザインと脆弱性対策の重要性 ~ 2018 年 7 月 5 日 ( 木 ) 11:30-11:

Internet of Things 日経 xtech EXPO 2018 オープンシアター講演 多様化する IoT のセキュリティ脅威とその対策 ~ セキュリティ バイ デザインと脆弱性対策の重要性 ~ 2018 年 10 月 18 日 ( 木 ) 独立行政法人情報処理推進機構 (IPA) セキュ

— intra-martで運用する場合のセキュリティの考え方    

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

制御システムに関する最近の脅威と JPCERT/CC の取り組み 2018年03月10日 JPCERTコーディネーションセンター 制御システムセキュリティ対策グループ 阿部 真吾

Internet Week ショーケース 実践インシデント対応 ~ 侵入された痕跡を発見せよ ~ 2017 年 6 月 2 日 JPCERT コーディネーションセンター分析センターマネージャー竹田春樹

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

PowerPoint プレゼンテーション

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

日本企業のCSIRT実例紹介

外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1

講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

ESET Mobile Security V4.1 リリースノート (Build )

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

metis ami サービス仕様書

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

IoTセキュリティセミナー IoT時代のCSIRT PSIRT構築の課題 株式会社ラック 原子 拓 Copyright LAC Co., Ltd. All Rights Reserved.

- JPCERT/CC をご存知ですか? - JPCERT/CC とは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネンションセンター 日本国内

KSforWindowsServerのご紹介

セキュリティ委員会活動報告

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

<4D F736F F F696E74202D F90C68EE390AB837D836C CC8CF897A689BB82F08E B782E94B454E47494E4582CC8FD089E

Microsoft PowerPoint - A7_松岡(プレゼン用)jnsa-総会-IoTWG-2015.pptx

Microsoft PowerPoint - インターネットセキュリティ動向 Web

今企業が取るべきセキュリティ対策とは策

マイナンバー対策マニュアル(技術的安全管理措置)

Microsoft PowerPoint - APC pptx

ESET Mobile Security V3.6 リリースノート (Build )

JPCERT/CC 脆弱性関連情報取扱いガイドライン ver6.0

目次 フィッシング対策協議会について フィッシングの動向 フィッシング事例 地方銀行 LINE 大学 フィッシング対策 まとめ 2

PowerPoint プレゼンテーション

PowerPoint Presentation

JPCERTコーディネーションセンター製品開発者リスト登録規約

PowerPoint プレゼンテーション

SOC Report

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0

情報セキュリティの現状と課題

3. 対応している基本的な Microsoft Exchange 機能 サーバとの同期 Microsoft Exchange Server 上にあるメール 連絡先 カレンダーなどの情報をスマートフォンと自動同期 ( ダイレクトプッシュ ) できます スマートフォン利用者が特に意識することなくリアルタ

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

製品概要

中小企業向け サイバーセキュリティ対策の極意

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

スライド 1

PowerPoint プレゼンテーション

福岡大学ネットワーク認証・検疫システム実施マニュアル

HTML5 Security & Headers- X-Crawling-Response-Header-

情報セキュリティ白書 2016 今そこにある脅威 : 意識を高め実践的な取り組みを 2015 年度に情報セキュリティの分野で起きた注目すべき 10 の出来事を分かりやすく解説 2016 年 7 月 15 日発売 国内外における情報セキュリティインシデントの状況や事例 攻撃の手口や脆弱性の動向 企業や

改版履歴 版数 日付 内容 担当 V /0/27 初版発行 STS V..0 20/03/04 トラブルシューティング改訂 STS P-2

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

在学生向けメールサービス

Transcription:

IoTセキュリティ評価のための チェックリストを使った取組み JPCERTコーディネーションセンター 早期警戒グループ 輿石 隆

目次 はじめに IoT 関連のセキュリティ事例セキュリティに関する対応を行う上での課題 IoTセキュリティ評価のためのチェックリストについてまとめ 2

はじめに 3

JPCERT/CC とは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team / Coordination Center コンピュータセキュリティインシデントへの対応 国内外にセンサをおいたインターネット定点観測 ソフトウエアや情報システム 制御システム機器等の脆弱性への対応など日本の セキュリティ向上を推進する活動 を実施 サービス対象 : 日本国内のインターネット利用者やセキュリティ管理担当者 ソフトウエア製品開発者等 ( 主に 情報セキュリティ担当者 ) インシデント対応をはじめとする 国際連携が必要なオペレーションや情報連携に関する 日本の窓口となる CSIRT 各国に同様の窓口となる CSIRT が存在する ( 例 米国の US-CERT, CERT/CC, 中国の CNCERT, 韓国の KrCERT/CC) 経済産業省からの委託事業として サイバー攻撃等国際連携対応調整事業を実施 4

JPCERT/CCをご存知ですか JPCERT/CCの活動 インシデント予防 インシデントの予測と捕捉 発生したインシデントへの対応 脆弱性情報ハンドリング 情報収集 分析 発信 インシデントハンドリング 定点観測 TSUBAME インシデント対応調整支援 未公開の脆弱性関連情報を製品開発者 へ提供し 対応依頼 関係機関と連携し 国際的に情報公開 日を調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報 の適切な流通 ネットワークトラフィック情報の収集 分析 セキュリティ上の脅威情報の収集 分 析 必要とする組織への提供 早期警戒情報 CSIRT構築支援 重要インフラ 重要情報インフラ事業者等の特定組織向け情報発信 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築 運用支援 制御システムセキュリティ 制御システムに関するインシデントハンドリング/情報収集,分析発信 アーティファクト分析 マルウエア 不正プログラム 等の攻撃手法の分析 解析 国内外関係者との連携 日本シーサート協議会 フィッシング対策協議会の事務局運営等 国際連携 5 マルウエアの接続先等の攻撃関連サイ ト等の閉鎖等による被害最小化 攻撃手法の分析支援による被害可能性 の確認 拡散抑止 再発防止に向けた関係各関の情報交換 及び情報共有 各種業務を円滑に行うための海外関係機関との連携

サイバーセキュリティ インシデントに沿った活動 発生したインシデントへの対応 ( 主に CSIRT) インシデント初動対応への技術的な支援 助言例 ) インシデントレスポンス アーティファクト分析など CSIRT : Computer Security Incident Response Team 製品の脆弱性への対応 ( 主に PSIRT) 届けられた製品の脆弱性についての調整 脆弱性情報の公開 PSIRT : Product Security Incident Response Team 事前 事後への対応 情報提供 情報共有 インターネット上の脅威への分析 制御システムセキュリティ分野 (ICS) についての活動も行っています 6

サイバー攻撃のリスクを下げる活動 攻撃 : コストとベネフィット 攻撃にもコストが必要 ( 攻撃インフラ ツール等 ) 環境を改善しない限り攻撃は終わりません costs benefits costs benefits 利益の方が大きい 攻撃動機を助長 コストの方が大きい 攻撃動機が減退 インシデントを防ぎ サイバー攻撃のリスクを下げるには 攻撃のコストを上げていけるかが鍵 適切かつ迅速な初動活動 対応 正確な技術情報 普段からの脆弱性への対応 ( 作る側 使う側 ) JPCERT/CC は サイバー攻撃のリスクを下げるための活動を展開しています 7

攻撃のリスクを下げる取り組みの例 脆弱性情報への適切な対応 ( 主に事前 ) 報告者 開発者と脆弱性情報を適切に取り扱い 対応策 アップデート情報を JVN に公開 ユーザへの早期アップデート実施の呼びかけ 脆弱性の低減方策の調査研究 開発 セキュアコーディングセミナー等による製品ベンダへの普及啓発 正しい技術情報に基づいた適切かつ迅速なインシデント対応 ( 主に事中 事後 ) アーティファクト分析に基づいた迅速な対応 その後の脅威へのモニタリングと集団防護 ( 主に事後 ) 継続的なモニタリングによる脅威の発見 同じタイプの攻撃を防ぐため グループでの情報共有 8

製品開発者にとって 脆弱性の存在は不可避 全ての攻撃の脅威に備えるのは不可能 新たな攻撃手法が出現 開発が大規模になればなるほど 既知の脆弱性対策の反 映が困難 脆弱性情報の収集と取り纏め 外部委託先での管理 製品に脆弱性が発見された場合 ユーザに不安を与えず 冷静に対処してもらうことが重 要 適切な情報公開のためのプロセスが 存在 9

脆弱性対策情報ポータルサイト JVN(Japan Vulnerability Notes) 国内外の脆弱性について記載 JPCERT/CC で調整 公表 US-CERT の注意喚起の翻訳など 開発ベンダに修正パッチなどの作成を依頼 脆弱性公表日などの調整 早期警戒パートナーシップ 脆弱性発見者 届出 受付機関 (IPA) 通知 調整 調整機関 (JPCERT) パッチができ 関係者合意の元 JVN 発行ユーザ 早期警戒パートナーシップに沿って脆弱性が扱われることで 未修正の脆弱性が公開されるのを防いでいる 10

IoT 関連のセキュリティ事例 11

scan/day IoT botnet の問題 IoT botnet の脅威 2017 年の脅威予測として 2016 年末 2017 年始に多く取り上げられていた問題 1Tbps 規模の DDoS は観測されなかったが IoT botnet の問題は継続している 180,000 Mirai 及びその亜種とみられるスキャン観測状況 JPCERT/CC 定点観測システム TSUBAME) 160,000 23/tcp 140,000 120,000 2323/tcp 100,000 80,000 60,000 40,000 20,000 0 Mirai (2016 年 ) Satori 等 (2017 年 ) 12

scan/day Mirai 亜種の感染拡大の観測 (2017 年 12 月 ) Mirai (2016 年 ) Satori 等 (2017 年 ) での変化 従来 Mirai や Mirai 亜種の感染には 機器の管理コンソール (telnet 等 ) におけるデフォルトの ID / PASSWD の悪用が主な拡大原因であった 従来の脅威に加えて 脆弱性を悪用して感染を拡大させる 52869/tcp および 37216/tcp のアクセス増加 2017 年 10 月 -12 月におけるスキャン 7,000 6,000 5,000 4,000 3,000 2,000 1,000 Point.1 探索 Point.2 拡大 25,000 20,000 15,000 10,000 5,000 scan/day (2323/tcp) 0 10/1 11/1 12/1 37216/tcp 52869/tcp 2323/tcp JPCERT/CC 定点観測システム TSUBAME) 0 13

感染拡大に悪用されている脆弱性 CVE-2014-8361 の悪用 Realtek SDK - Miniigd UPnP SOAP Command Execution (Metasploit), https://www.exploit-db.com/exploits/37169/ UPnP SOAP webinterface における OS command injection Point1 : SoC 開発元より提供されるファームウェア内に存在する問題 国内で感染が確認された機器 ロジテック製 300Mbps 無線 LAN ブロードバンドルータおよび セットモデル ( 全 11 モデル ) 同製品に対する UPnP に対する応答は 2014 年に解消済み Point2 : 過去の対策が行き届かなった機器が攻撃の影響を受けた 14

2017 年におけるその他の IoT 関連 botnet の観測例 IoT reaper 2017 年 9 月におけるクラウド上ハニーポット上における IoT reaper によるものとみられる脆弱性スキャンの観測 Mirai とは異なるマルウエア IoT reaper 脆弱なパスワードを悪用するのではなく 機器の既知の脆弱性を悪用し感染を拡大 (2017 年 ) D-Link, Netgear, Vacron, Linksys, AVTECH などの製品に対する脆弱性が挙げられている Lua 実行環境を内包 DDoS 攻撃実行機能 (DNS amp 攻撃 ) が確認されている 引用 : Check Pont, IoTroop Botnet: The Full Investigation, https://research.checkpoint.com/iotroop-botnet-full-investigation/ 15

2017 年におけるその他の IoT 関連 botnet の観測例 IoT_reaper とみられる脆弱性スキャンの観測状況 Web 管理コンソールにおける脆弱性が悪用されている 認証なく遠隔からコードが実行可能 多くが OS コマンドインジェクション メソッド URL ヘッダ クエリー脆弱性が悪用される可能性のある製品 GET / POST /command.php cmd = cat /var/passwd D-Link DIR300/DIR600 GET /system.ini GoAhead HTTP server GET /upgrade_handle.php uploaddir = ';echo nuuo 123456;' cmd = writeuploaddir NetGear Surveillance POST /board.cgi cmd = cat /etc/passwd Vacron NVR POST /hedwig.cgi cookie:uid=qdxppsresd D-Link 850L POST /apply.cgi Linksys E1500/E2500 GET /setup.cgi todo=syscmd 脆弱性スキャンの一連の流れ currentsetting.htm=1 cmd=echo dgn 123456 next_file=netgear.cfg curpath=/ NetGear DGN DSL モデム GET /cgi-bin/user/config.cgi AVTech IP cameras, DVRs and NVRs GET /shell 16

2017 年における IoT 機器への攻撃 脆弱性の悪用が加わりつつある 管理コンソールへのアクセスは依然として狙われているものの 既知の脆弱性を狙った攻撃が観測されている 対策は有効に機能しているか? ユーザが全員対策が可能とは限らない アップデートなどの対策は 完全にはできない IoT botnet は気が付きにくい問題 まさか 自分の機器が? 感染したからといって 目に見えた影響が発生しにくいため どうしても感染に気が付きにくく 対策も遅れがち 利用者だけでなく 開発者においても対策を施していくことが重要 17

セキュリティに関する対応を 行う上での課題 18

脆弱性に対する製品の管理における課題 ファームウエアや サードパーティのライブラリなどでの脆弱性をどう考えるか? アップデートに対する製造者にかかる責任 / 負担 最終的な製品がどの脆弱性の影響を受けるのか 影響範囲がどこまでなのかといった脆弱性の管理が必要 開発が大規模になればなるほど 既知の脆弱性対策の反映が困難 脆弱性情報の収集と取り纏め外部委託先での管理 影響を受ける? C 社製品 D 社製品 E 社製品 IoT では 影響が広い範囲に及ぶケースも考えられる 製品に脆弱性が発見された場合 ユーザに不安を与えず 冷静に対処してもらうことも重要 業界全体で対応を検討していくことも必要 モジュール供給 A 社 モジュール供給 B 社 以前は供給 ライブラリ供給 ( 脆弱なコンポーネント ) 影響を受ける? サイバー攻撃を受けることを前提とした対策の検討が肝要 19

組織内での部門連携の問題 セキュリティに関する情報が外部から届いたら セキュリティ担当者が直接外部からの情報を受け取るケースは少ない 情報を受け取った人が適切な部署に情報を展開する必要がある 情報のトリアージ さらに内容によって組織内の様々な部門との連携が必要 設計の見直し コード修正 パッチ作成 テスト リリース 発見者への報告 対応完了前に発見者がセキュリティに関する情報 ( 脆弱性の詳細や PoC コードなど ) を公開してしまう場合もあるので慎重な対応が求められる ベンダ 広報 営業 設計 4: 連携 対応 4: 連携 対応 開発 研究 1: 連絡 発見者 3: 第一報 6: フィードバック 2: 一次受け 3: 情報の展開 5: フィードバック 20

IoT 製品を取り巻くエコシステムにおける課題 脆弱性などのある機器の特定 ファームウエアのアップデート実施 課題 ネットワーク上の機器の 状態を認知することが困難 課題 そもそも感染に気付けない 被害への対応 課題 影響範囲の特定 や対策の実施には時間 がかかる ISP事業者 自らは被害者ではないので 対策 をとるインセンティブがない お互いの立場や範囲を理解し 協力していくことが重要 1 被害組織 ユーザ 管理者 ファームウエアの アップデート開発 インシデント対応支援 課題 被害組織や原因が必ず 特定できるわけではない 課題 アップデートや機器の 復旧方法のアナウンス 使用可能な機能を制限す ることは対処しづらい OEM製品の場合 自社に よる対応が困難 1 ベンダ(国内 海外) 21 1 1 課題 販売先 設置先管 理まで面倒は見られない 設置事業者 販売店

IoT 全般の課題 1 IoT 機器の課題 性能 機能の向上により スマートな 機器に対する脅威は PC とほぼ変わらない 設置された後 適切にメンテナンスされない可能性も考慮する必要がある Internet of Threats に関する課題 IoT には 何かしらの モノへの制御機能 が備わる モノのスケールが大きくなると Cyber-Physical Threat な問題に発展する可能性がある インターネットに モノ を直接接続することでセーフティに影響が及ばないかを考える必要がある セーフティとセキュリティの両方の観点を考慮する必要がある 22

業界や関係者で情報共有を行うことの重要性 対策を進める上で PSIRT の構築や 情報共有 (PSIRT 間 同業他社 コミュニティ ) がカギ 情報セキュリティの分野では ISAC (Information Sharing and Analysis Center) による脅威情報の共有が進められている 特に 脅威や影響などに関して共通の話題がある場合には情報共有は進みやすい コミュニティでの取り組み例 コンシューマ向け IoT セキュリティガイド http://www.jnsa.org/result/iot/ JNSA IoT セキュリティ WG にてとりまとめ (2016 年 ) 業界を横断して横のつながりで情報を整理 セキュリティベンダ メーカ その他 コミュニティでの活動が IoT セキュリティをとりまく環境を改善していく上で大きな役割を担うのではないかと考えられる 23

IoT 全般の課題 2 IoT という言葉で認識する対象範囲の違いによる課題 IoT の問題は機器だけでなく クラウド サーバ ネットワークなどシステム全体の問題である 開発者はそれぞれの立場で自分と繋がる 何か を意識し 影響を考慮する必要がある 開発者 ( ベンダ ) 利用者 ( ユーザ ) 双方がシステム全体の特徴を知る必要がある Communication Channel eutility (cloud) Decision Trigger Aggregator Sensors 参考 : J. Voas, Networks of Things, NIST SP 800-183 http://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-183.pdf eutility (non-cloud) 24

IoT の構成要素 NIST SP 800-183 によると IoT は以下のように機能ごとに要素を分類できる Sensor: 温度 加速度 重量 音 位置などを測定するための機器 Aggregator: センサからのデータを集約して処理をする機器 Communication channel: データの送受信を行うための通信路 eutility(external utility): サービスを提供する / 受ける機器 Decision trigger: データの加工や計算をするための機器 IoT システムの構成要素ごとの特徴を把握し それぞれの要素ごとに適切な実装を行っていく必要がある 25

IoT の構成要素 利用している IoT システムのパーツごとの機能を考えて 分類をしてみる Communication Channel e-utility Sensor 26 Aggregator Decision trigger

IoT セキュリティ評価のための チェックリストについて 27

IoT のセキュリティガイドライン IoT に関するセキュリティガイドラインが多く公開されている IoT にまつわるサイバーでの問題が出始めた 2016 年ごろより国内外の複数の組織より IoT のセキュリティに関するガイドラインが公開されはじめた 公開している組織により対象とする想定読者やレイヤーに違いがある ポリシーレベルのガイドラインではなく 運用レベルにフォーカスしたドキュメントの作成を検討した 28

IoT セキュリティ評価のためのチェックリスト 運用レベルでの IoTの脅威と対策を理解するため 開発者 利用者双方が確認したい項目をなるべく具体的に まとめたチェックリストを作成中 29

IoT セキュリティ評価のためのチェック項目 複数の IoT IT のセキュリティのガイドラインを参考に確認すべき 7 つの大項目 39 のチェック項目を作成 大項目ユーザ管理ソフトウェア管理セキュリティ管理アクセス制御不正な接続暗号化システム設定通知 チェック項目 アカウントロックアウトメカニズム 有効期限切れパスワードへの強制失効オプション パスワード強度の担保機能 パスワードセキュリティオプション (2 要素認証など ) サービスやプロセスを起動するアカウントの権限管理 共有ユーザアカウント 以下のようなガイドラインを参考に要素を抽出 IoT Security Guidance https://www.owasp.org/index.php/iot_security_guidance The Penetration Testing Execution Standard http://www.pentest-standard.org/index.php/main_page The STRIDE Threat Model https://msdn.microsoft.com/enus/library/ee823878(v=cs.20).aspx 30

チェック項目のポイント 全ての項目を確認する必要はない 想定する利用シーンや目的によっては対策を実施しない項目もありうる 理由を明記し 要件を満たさなくてよい理由を関係者にわかるようにしておく 各項目についてイメージしやすいように解説図を添付 確認する際にセキュリティに関する言葉がわからない場合がある 簡単な確認内容とその例を図で説明し 具体的なイメージを持てるようにしている 31

例 : ユーザ管理 / アカウントロックメカニズム 第三者が端末を不正に操作できないようにする 開発の際に気を付けること 連続した規定回数以上のログイン失敗や多重ログインなどの痕跡を確認したら アカウントをロックし ログインが不可になる機能を持たせる 利用する際に気を付けること アカウントロックに関する設定可能な内容を確認し 自身で設定したとおりにアカウントがロックされるか確認する 32

例 : ユーザ管理 / パスワードセキュリティオプション 第三者がシステムにログインすることを困難にする 開発の際に気を付けること パスワードセキュリティオプションを利用できるようにする ( 例 : 二要素認証など ) 利用する際に気を付けること パスワードセキュリティオプションが利用できることを確認する 33

IoT を構成する要素ごとの評価 デバイスだけを評価すればいいわけではない NIST SP 800-183 に定義されている IoT の構成要素 (Sensor, Aggregator, Communication Channel, e-utility, Decision trigger) IoT の構成要素ごとに確認すべき項目を抽出 チェック項目アカウントロックアウトメカニズム有効期限切れパスワードへの強制失効オプションパスワード強度の担保機能パスワードセキュリティオプション (2 要素認証など ) サービスやプロセスを起動するアカウントの権限管理共有ユーザアカウント 本項目は次の構成要素となる製品が確認 Sensor Aggregator e-utility Decision trigger 本項目は次の構成要素となる製品が確認 Aggregator e-utility Decision trigger 34

活用 本チェックリストの対象者は IoT の製品開発者ビジネスレベルの IoT の製品利用者 ある程度の IT などの知識が必要 どんな場面で本チェックリストを使うのか 例 : 製品開発時の要件のチェック 開発工程の各段階の仕様確認の際に確認 設計段階で特に確認したい項目を選んでおく確認したい項目を満たしているか各工程の確認者が改めて確認をする 35

課題 公開に向けて作成したチェックリストについて意見を募集しています 現在の項目数に抜け漏れがないか確認をしたい今回作成した基本的な項目の他に足りないものがあるかもしれない セキュリティの観点からリストを作成している IT のセキュリティに関する知識と製品側のセキュリティ ( セーフティ ) に関する知識は大きく違うのかもしれない まだまだ 多くの方に意見を頂いていく必要がございます チェックリストの評価など興味を持たれた方は ぜひ会話させてください 36

まとめ 37

2017 年における IoT セキュリティの動向 インシデントに関する問題 IoT botnet の問題は継続中コンソールへのアクセスだけでなく 製品の脆弱性を悪用するケース (IoT reaper) も観測されている botnet だけでなくフィッシングサイトやサイバー攻撃の踏み台にされている事例も観測されている 脆弱性に関する問題 仕様や実装の問題や特徴がよく考えられた指摘が続いた 現在はまだ Web 管理インターフェースにある脆弱性が悪用されているものが多いが 今後はより攻撃が複雑になっていく可能性がある 38

おわりに インターネットに接続されたモノに対する脅威は増加している 脆弱性の問題の悪用にも注意 脆弱性への対策は 製品の運用時だけでなく 製品を作る際においても考慮が不可欠 実際の攻撃では一瞬のスキを突かれてしまう アップデートまでの時間差 仕様上の問題 実装上の問題 共通ライブラリにおける脆弱性などの問題 IoT 製品を取り巻くエコシステムに対する課題 インシデントを防止 軽減するためにも同業他社 業界を超えた協力が不可欠 セキュリティに関して何かございましたら JPCERT/CC までご一報ください! 39

お問合せ インシデント対応のご依頼は JPCERT コーディネーションセンター Email:pr@jpcert.or.jp Tel:03-3518-4600 https://www.jpcert.or.jp/ インシデント報告 Email:info@jpcert.or.jp https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 Email:icsr-ir@jpcert.or.jp https://www.jpcert.or.jp/ics/icsform.html 40

ご静聴ありがとうございました 41

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック