2020 年までに IoT デバイス数は 500 億超人口 70 億人 90 億ユニットのデバイス 2020 年には, 500 億ユニットがインターネットに接続億 250 億 500 億億 Copyright (c) NP

産業別の IoT 利用形態自動車 Telematics In-vehicle entertainment Navigation Safety services Concierge services Remote diagnostics Personalized insurance 産業 Supply chain management Geo-fencing Machine diagnostics Inventory control Industrial automation control Equipment monitoring 商取引 & ファイナンス Smart payments, cards Point of sale terminals ATM Vending machine monitoring Digital signage and electronic billboards ヘルスケア Home healthcare and hospital patient monitoring Remote telemedicine & physician consultation Body sensor monitoring ガス水道 Meter reading Industrial controls Pro-active alerts Smart Grid applications Remote temperature control スマートホーム Smart home appliances Connected home Video feed monitoring Parental Controls + 個人メイカー ( 基盤 + センサー +3D プリンタ ) Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 3 3

IoT のソリューションサービス意思決定データ分析ビジネスシステムとアプリケーション各役割 Data manipulation データ分析レポート生成データアクセス管理制御 IT システム制御と管理デバイス / センサーの監視と管理デバイス / センサーのソフトウェアの更新管理データの統合と管理データストレージの維持 / 管理とデータバックアップデータセンタのセキュリティと攻撃からの保護ネットワークアグリゲータワイヤレスサーバデータセンター PLCs Gateways データの暗号化 (over the air) デバイス / センサーからのデータを収集し IT システムへ攻撃からの保護デバイス / センサーの機器監視ネットワーク監視セキュリティ監視 ( 異常検知 ) センサー / デバイスデータ生成と収集デバイス / センサーアクチュエーターデバイス / センサーのデータ生成と収集デバイス認証デバイスとユーザ識別デバイスとユーザ認証データ暗号 ( 証明書有効期間 ) Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 8 8

家庭における IoT の脅威動向監視カメラやベビーモニターへのリアルな攻撃 : 最新レポートで確認済テレビ自動車医療機器への攻撃 : 実証済スパムメールを送信する冷蔵庫の報道は誇張されている NAT ルーターによりすべてのデバイスが単一の IP アドレスを持っているように見える NAT ルーター冷蔵庫と PC は同じ IP アドレスを持っているように見えるしかしスパムメールは W32.Waledac (Kelihos) によって送信された W32 は Windows OS を意味 Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 10

家庭における IoT の脅威動向 NAT ルータールーターでさえリスクに Linux.Darlloz が Linux PC や Linux を実行する IoT デバイスに感染 Linux.Aidra はケーブルや DSL モデムを標的にする感染したシステムは以下の目的に使用可能 DDoS 攻撃ブラウザーのリダイレクション仮想通貨のマイニングにもパッチを適用しないことによる脆弱性や変更していないデフォルトのパスワードがリスクを引き起こす Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 11

IoT の脅威 Top10 I1 Insecure Web Interface I2 Insufficient Authentication/Authorization I3 Insecure Network Services I4 Lack of Transport Encryption I5 Privacy Concerns I6 Insecure Cloud Interface I7 Insecure Mobile Interface I8 Insufficient Security Configurability I9 Insecure Software/Firmware I10 Poor Physical Security 出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 14

I1 Web インタフェース脅威 : 仕様内部および外部ネットワークからの Web アクセス攻撃 : 脆弱性認証の既定値認証の平文通信の盗聴アカウントリスト攻撃内部および外部からの攻撃弱点 : アカウントリストロックアウト機能無し安易なパスワード設定 Web インタフェースは内部からの設定を想定しているが外部からのアクセスと同様に重要問題は Web インタフェースの脆弱性は XSS の様にツールの利用等で簡単に見つけられること技術的な影響 : 重大データ漏えい破壊規約準拠の欠如サービス停止機器の乗っ取りビジネスへの影響脆弱な Web インタフェースは危ないデバイスとなり顧客を危険にさらすブランドイメージの失墜となる出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 15

I2 認証と認可脅威 : 仕様内部および外部ネットワークからの Web アクセス攻撃 : 脆弱性弱いパスワード脆弱なパスワード復旧機能弱い認証アクセス制御の欠如内部および外部からの攻撃弱点 : 弱いパスワードは認証 / 権限機能として不十分不十分な認証 / 権限機能は内部インタフェースのみのアクセスであり外部または他のネットワークでないインタフェースで認証 / 権限機能の欠如が見つかることがあるツール等のテストツールで簡単に発見可技術的な影響 : 重大データ漏えい破壊規約準拠の欠如サービス停止機器の乗っ取りビジネスへの影響脆弱な Web インタフェースは危ないデバイスとなり顧客を危険にさらすブランドイメージの失墜となる出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 16

I3 ネットワークサービス脅威 : 仕様内部および外部ネットワーク経由でのデバイスへのアクセス攻撃 : 脆弱性攻撃者はネットワークサービスの脆弱性を利用しデバイス自身またはバウンスを利用した攻撃がある弱点 : 脆弱なネットワークサービスはバッファオーバーフローサービス不能攻撃の影響を受けやすいポートスキャン等のツールにより脆弱性を発見することが可能である技術的な影響 : 中データ漏えい破壊サービス停止他の機器への攻撃ビジネスへの影響攻撃によりサービスが利用できない状態になるまた他の機器への攻撃をすることにより顧客や他の方への影響を与える可能性がある出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 17

I4 通信の暗号化の欠如脅威 : 仕様内部および外部ネットワーク経由でのデバイスへのアクセス攻撃 : 脆弱性攻撃者はネットワーク上の暗号化の欠如した通信のデータを覗き見できる攻撃は内部と外部からの者が行う弱点 : 暗号化通信の欠如は内部通信およびインターネット通信のデータを見られる内部ネットワークでは通信が限定的であることから十分に暗号化しないことが想像できる Wifi 通信に関しては設定ミスにより通信可能なエリアにおいて誰でもデータを見ることができるツール等により SSL TLS の脆弱性の有無をチェックできる技術的な影響 : 重大データ漏えいユーザアカウント情報の漏えいビジネスへの影響データ漏えい改ざんによりユーザに影響がある出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 18

I5 プライバシー脅威 : 仕様デバイスが繋がるもの ( 人 ) とアプリケーションと内部および外部のデータ保管環境攻撃 : 脆弱性攻撃者はパーソナルデータを得るために複数の攻撃方法を使う例えば不十分な認証弱い暗号化通信ネットワークの脆弱性設定ミス等のある機器を狙う弱点 : パーソナルデータの収集と適切な設定の欠如によりプライバシー問題になりうるプライバシー保護に関することは機器の活動とユーザ設定により収集されるデータをレビューすることにより容易に見つけられる技術的な影響 : 重大パーソナルデータの漏えいビジネスへの影響不適切な設定および不必要に収集されたデータの漏えい盗難により顧客に影響がでる出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 19

I6 クラウドインタフェース脅威 : 仕様クラウドへのアクセス攻撃 : 脆弱性攻撃者はデータへのアクセスまたはコントロールするためにクラウドの Web サイトに対して複数の攻撃方法を利用する例えば不十分な認証弱い暗号化通信ネットワークの脆弱性設定ミス等のある機器を狙う弱点 : 推測可能な認証やユーザリストの利用により晒されるクラウドインタフェースがセキュアでない場合コネクションまたはパスワードリセット機能により有効なユーザかどうかを容易に発見できユーザリストを作成できる技術的な影響 : 重大ユーザデータの漏えいと機器の管理が可能ビジネスへの影響データの盗難データ改ざんと機器を管理されることによる顧客への影響と評判出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 20

I7 モバイルインタフェース脅威 : 仕様モバイルアプリケーションのアクセス攻撃 : 脆弱性攻撃者はデータへのアクセスまたはコントロールするためにモバイルアプリケーションに対して複数の攻撃方法を利用する例えば不十分な認証弱い暗号化通信アカウントリスト等がある弱点 : 推測可能な認証やユーザリストの利用により晒されるモバイルインタフェースがセキュアでない場合コネクションまたはパスワードリセット機能により有効なユーザかどうかを容易に発見できユーザリストを作成できる技術的な影響 : 重大ユーザデータの漏えいと機器の管理が可能ビジネスへの影響データの盗難データ改ざんと機器を管理されることによる顧客への影響と評判出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 21

I8 セキュリティ設定脅威 : 仕様機器へのアクセス攻撃 : 脆弱性攻撃者はアクセス権設定の不備をついてデータへのアクセスまたは機器の管理するまた暗号設定パスワードオプションの不備をつき機器の障害やデータ漏えいになる故意または事故的なアカウントに関係なく起こりうる弱点 : 限定されたユーザやセキュリティ機能の変更ができないもので発生する機器の管理 Web インタフェースにユーザパーミションが無い例えば強いパスワードを作成する等ユーザマニュアルをチェックするだけで見つけられる技術的な影響 : 中ユーザデータの漏えいと機器の管理が可能ビジネスへの影響データの盗難データ改ざんと機器を管理されることによる顧客への影響と評判出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 22

I9 ファームウェア脅威 : 仕様機器へのアクセスおよび機器に搭載されるもの攻撃 : 脆弱性攻撃者は複数の攻撃方法を利用する例えば DNS の乗っ取りにより暗号化されていない通信の更新ファイルの取得悪意のあるダウンロードファイルの配布により侵入する弱点 : ソフトウェアファームウェアの配布のために保護の仕組みがないまたソフトウェアファームウェアに重要なデータ例えばパスワード等をハードコーディングしている場合もセキュアでないこれらの脆弱性はソフトウェアのアップデート時にネットワークのキャプチャを取得することで容易に分かる技術的な影響 : 重要ユーザデータの漏えいと機器の管理および他の機器へ拡散ビジネスへの影響データの盗難データ改ざんと機器を管理されることによる顧客への影響と評判出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 23

I10 物理的セキュリティ脅威 : 仕様機器への物理的なアクセス攻撃 : 脆弱性攻撃者は USB SD カードまたはその他のストレージを介して OS へのアクセスを試み機器上にデータをコピーする弱点 : 記憶装置等に容易にアクセスできることにより機器の逆アセンブルが可能である USB や外部ポートを利用した構成メンテナンスする機器の場合その利用が狙われる技術的な影響 : 重要ユーザデータの漏えいと機器の管理および他の機器へ拡散ビジネスへの影響データの盗難データ改ざんと機器を管理されることによる顧客への影響と評判出典 :OWASP Internet of Things Top Ten Project https://www.owasp.org/index.php/owasp_internet_of_things_top_ten_project Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 24

IoT 将来予測 IoT を有効活用するためにパーソナルデータの利活用が必須になり多くのデータがデータセンターに集約される家庭内の家電計測メータがホームネットワークとして接続されリモートからのコントロールが可能となる企業が提供する B2B B2C のサービスも IoT 機器を活用することによりこれまでと異なる脅威が出現する Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 25

JNSA IoT セキュリティ WG の取組 Internet of things もののインターネットが注目されているものがインターネットに接続されるが安全維持できるのか個人がメーカーとしてものを作り販売できるが安全なものか増え続ける機器がセキュリティ管理されていることを期待するがそのとおりか個人が作成する機器がセキュリティ対策していない場合脅威になるのではないか Copyright (c) 2000-2015 NPO 日本ネットワークセキュリティ協会 Page 26

2020 年までに IoT デバイス数は 500 億超 人口 70 億人 90 億ユニットのデバイス 2020 年には, 500 億ユニットがインターネットに接続 億 250 億 500 億 億 Copyright (c) NP

2020 年までに IoT デバイス数は 500 億超人口 70 億人 90 億ユニットのデバイス 2020 年には, 500 億ユニットがインターネットに接続億 250 億 500 億億 Copyright (c) NP