IoT をとりまく セキュリティの現状と課題 2017 年 11 月 20 日 JPCERTコーディネーションセンター早期警戒グループ洞田慎一
説明の流れ はじめに JPCERT/CC の紹介 2017 年に観測された IoT 関連のインシデント 2017 年に報告された IoT 関連の脆弱性 IoT でセキュリティに取り組む上での課題 まとめ 2
はじめに 3
JPCERT/CC とは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team / Coordination Center コンピュータセキュリティインシデントへの対応 国内外にセンサをおいたインターネット定点観測 ソフトウエアや情報システム 制御システム機器等の脆弱性への対応など日本の セキュリティ向上を推進する活動 を実施 サービス対象 : 日本国内のインターネット利用者やセキュリティ管理担当者 ソフトウエア製品開発者等 ( 主に 情報セキュリティ担当者 ) インシデント対応をはじめとする 国際連携が必要なオペレーションや情報連携に関する 日本の窓口となる CSIRT 各国に同様の窓口となる CSIRT が存在する ( 例 米国の US-CERT, CERT/CC, 中国の CNCERT, 韓国の KrCERT/CC) 経済産業省からの委託事業として サイバー攻撃等国際連携対応調整事業を実施 4
JPCERT/CC をご存知ですか? JPCERT/CC の活動 インシデント予防 インシデントの予測と捕捉 発生したインシデントへの対応 脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者へ提供し 対応依頼 関係機関と連携し 国際的に情報公開日を調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報の適切な流通 情報収集 分析 発信定点観測 (TSUBAME) ネットワークトラフィック情報の収集分析 セキュリティ上の脅威情報の収集 分析 必要とする組織への提供 インシデントハンドリング ( インシデント対応調整支援 ) マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化 攻撃手法の分析支援による被害可能性の確認 拡散抑止 再発防止に向けた関係各関の情報交換及び情報共有 早期警戒情報 CSIRT 構築支援 重要インフラ 重要情報インフラ事業者等の特定組織向け情報発信 海外の National-CSIRT や企業内のセキュリティ対応組織の構築 運用支援 制御システムセキュリティアーティファクト分析国内外関係者との連携国際連携 制御システムに関するインシデントハンドリング / 情報収集, 分析発信マルウエア ( 不正プログラム ) 等の攻撃手法の分析 解析日本シーサート協議会 フィッシング対策協議会の事務局運営等各種業務を円滑に行うための海外関係機関との連携 5
サイバーセキュリティ インシデントに沿った活動 発生したインシデントへの対応 ( 主に CSIRT) インシデント初動対応への技術的な支援 助言例 ) インシデントレスポンス アーティファクト分析など CSIRT : Computer Security Incident Response Team 製品の脆弱性への対応 ( 主に PSIRT) 届けられた製品の脆弱性についての調整 脆弱性情報の公開 PSIRT : Product Security Incident Response Team 事前 事後への対応 情報提供 情報共有 インターネット上の脅威への分析 制御システムセキュリティ分野 (ICS) についての活動も行っています 6
サイバー攻撃のリスクを下げる活動 攻撃 : コストとベネフィット 攻撃にもコストが必要 ( 攻撃インフラ ツール等 ) 環境を改善しない限り攻撃は終わりません costs benefits costs benefits 利益の方が大きい 攻撃動機を助長 コストの方が大きい 攻撃動機が減退 インシデントを防ぎ サイバー攻撃のリスクを下げるには 攻撃のコストを上げていけるかが鍵 適切かつ迅速な初動活動 対応 正確な技術情報 普段からの脆弱性への対応 ( 作る側 使う側 ) JPCERT/CC は サイバー攻撃のリスクを下げるための活動を展開しています 7
攻撃のリスクを下げる取り組みの例 脆弱性情報への適切な対応 ( 主に事前 ) 報告者 開発者と脆弱性情報を適切に取り扱い アップデート情報とともに情報を公開 (IPA JPCERT/CC) 公開された情報を基に早期にアップデートを実施 ( 利用者 ) セキュアコーディング等の脆弱性を作りこまない方法の啓発 ( 開発者 ) 正しい技術情報に基づいた適切かつ迅速なインシデント対応 ( 主に事中 事後 ) アーティファクト分析に基づいた迅速な対応 その後の脅威へのモニタリングと集団防護 ( 主に事後 ) 継続的なモニタリングによる脅威の発見 同じタイプの攻撃を防ぐため グループでの情報共有 8
サイバー攻撃の傾向 インシデント対応状況 (2016 年 4 月 ~2017 年 3 月 ) JPCERT/CC への報告 全報告件数 15,954 件 全インシデント件数 15,570 件 JPCERT/CC からの連絡 全調整件数 10,641 件 インシデント報告件数の推移 インシデント件数のカテゴリ別割合 カテゴリ 割合 スキャン 46.2% Web サイト改ざん 21.0% フィッシングサイト 15.0% 9,865 8,485 20,019 29,191 22,255 17,342 15,954 マルウエアサイト 6.3% DoS / DDoS 1.3% 標的型攻撃 0.3% 制御システム関連 0.3% その他 9.6% 2010 2011 2012 2013 2014 2015 2016 年度 JPCERT/CC インシデント報告対応四半期レポートより https://www.jpcert.or.jp/ir/report.html 9
2017 年に観測された IoT 関連のインシデント 10
IoT botnet の問題は継続して発生 2017 年の脅威予測として昨年末 年始に多く取り上げられていた問題 IoT botnet による DDoS 攻撃の活発化 23/tcp 及び 2323/tcp へのスキャン観測状況 180000 160000 140000 120000 100000 80000 60000 40000 20000 23/tcp (2016 年度 ) 2323/tcp (2016 年度 ) 23/tcp (2017 年度 ) 2323/tcp (2017 年度 ) Mirai の感染拡大 (2016 年度 ) 0 4/1 5/1 6/1 7/1 8/1 9/1 10/1 11/1 12/1 1/1 2/1 3/1 2017 年度は ~1Tbps という巨大な DDoS は観測されていないが IoT botnet の問題は継続している 11
2017 年 6 月に観測された状況から 国内モバイル網の IP からの ssh (22/tcp) の増加を観測 400 350 300 250 200 150 100 50 0 2017/6/1 2017/7/1 2017/8/1 国内 IP からの 22/tcp スキャン観測状況 アクセス増加の背景にはワーム感染が関係 Mirai とは異なるマルウエアを観測 (TSUNAMI) SSH コンソールが WAN 側に開いていた問題 ISP により影響は異なる 利用者への通知の問題 12000 10000 8000 6000 4000 2000 0 同時期での全体の 22/tcp 観測状況 2017/6/1 2017/7/1 2017/8/1 マルウエア本体に含まれる特徴的な文字列 引用 : Malware Analysis Tech, http://malwareanalysis.tech/2017/01/brute-force-ssh-attack-from-ip-7 2-202-134-97-downloaded-trojan-linux-tsunami-from-ip-52-74-21-59/ 12
狙われるのは脆弱なパスワードとは限らない (1/2) IoTroop Botnet (IoT_reaper) 脆弱なパスワードを悪用するのではなく 機器の既知の脆弱性を悪用し感染を拡大 (2017 年 ) D-Link, Netgear, Vacron, Linksys, AVTECH などの製品に対する脆弱性が挙げられている Lua 実行環境を内包 DDoS 攻撃実行機能 (DNS amp 攻撃 ) が確認されている 引用 : Check Pont, IoTroop Botnet: The Full Investigation, https://research.checkpoint.com/iotroop-botnet-full-investigation/ 13
その他 ~ インシデントの背景に IoT 機器? その他にも インシデントの背景を調べると IoT 機器や高機能 NAS などが踏み台となっている場合もある フィッシングサイトの踏み台としての悪用 サイバー攻撃の踏み台としての悪用 原因はさまざま 脆弱性の問題だけでなく 実装上の問題や 動作環境の問題 利用者の問題と幅広い UPnP 機能に関する問題 NASやウェブカメラが便利に使える一方で 落とし穴も存在 便利に利用することとセキュリティの両面を利用者が考えられる ( 異変に気付ける ) 設計にしておく必要がある 14
2017 年に報告された IoT 関連の脆弱性について 15
IoT において考えたい脆弱性の問題 ~2017 年 ~ 2017 年はモバイル端末を含め広く影響を与える問題が複数指摘された Broadpwn Broadcom WiFi SoC における問題 BlueBorne の脆弱性 KRACK Attacks WPA2 における問題 仕様 実装の問題や 製品の特徴を捉えた指摘 コンソールを悪用される問題や Web 管理画面の脆弱性などではなく プロトコルや実装の本質に議論が及ぶ 脆弱性を現実に悪用するには 条件などの環境上の問題は残っているが 実証コードも公開される IoTの脅威の今後を考えた場合に これらの仕様や実装に関する指摘をそのままにしておいてよいだろうか 16
Broadcom WiFi SoC における問題 Broadcom BCM4355C0 Wi-Fi などのチップの Wi-Fi ファームウェアにおける内部バッファエラーの脆弱性 (CVE-2017-11120) ARM コアを搭載 参考 : Project Zero, Over The Air: Exploiting Broadcom s Wi-Fi Stack (Part 1) https://googleprojectzero.blogspot.jp/2017/04/over-airexploiting-broadcoms-wi-fi_4.html ワイヤレスローミング処理時にバッファエラーが存在 BCM4339 上で WiFi 経由にて任意のコードが実行可能 iphone7 (ios10.2) についての解説が公開 脆弱性を利用して BCM4339 ファームウェアにバックドアを設置 バックドアを介して本体メモリへアクセス 細工された AP / 細工された WIFI メッセージにて悪用 Kernel やファームウェアの特性 処理を巧みに利用 参考 : Project Zero, Over The Air - Vol. 2, Pt. 1: Exploiting The Wi-Fi Stack on Apple Devices, https://googleprojectzero.blogspot.jp/2017/09/over-air-vol-2-pt-1-exploiting-wi-fi.html 17
BlueBorne の脆弱性 Bluetooth の実装における脆弱性 ( 群 ) に関して技術レポートが公開 参考 : Armis, BlueBorne, http://go.armis.com/hubfs/blueborne%20technical%20white%20paper-1.pdf 複数の脆弱性からなる Android セキュリティパッチレベル 2017 年 9 月を適用していないバージョン (CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785) Linux Kernel 3.3-rc1 以降のバージョン (CVE-2017-1000251) Linux BlueZ すべてのバージョン (CVE-2017-1000250) ios version 9.3.5 およびそれ以前 (CVE-2017-14315) tvos version 7.2.2 およびそれ以前 (CVE-2017-14315) Windows Vista 以降の 2017 年 9 月マイクロソフトセキュリティ更新プログラムを適用していないバージョン (CVE-2017-8628) 仕様に対する実装時の誤解や KASLR (kernel address Space Layout Randomization) を突破する技術など様々な問題を応用 18
BlueBorne に関するさまざまなデモが公開 Armis によるデモ Google Pixelをリモートから操作するデモ任意のコードが実行される Windows からの PAN 接続時の通信を摂取し フォームの入力情報を取得するデモ 中間者攻撃により情報を摂取される SmartWatch への攻撃デモ IoT ならではの攻撃シナリオとなっている 19
KRACK Attacks における問題 Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題 中間者攻撃による通信内容の復号など Channel-based MITM や 802.11r (FT) 処理などを悪用 4-way handsake における Pairwse Key, Group Key, Integrity Group Key の再利用 (CVE-2017-13077,13078,13079) PTK が再設定され Client->AP の通信を復号する助けとなる Fast BSS Transition 再接続リクエストの再送許可とその処理における Pairwise Key の再利用 (CVE-2017-13082) PTK が再設定され AP->Client 通信を復号する際の助けとなる 参考 : M. Vanhoef and F. Piessens, Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 20
その他の脆弱性 Infineon 製 RSA ライブラリでの問題 Infineon 製 RSA ライブラリが RSA 鍵ペアを適切に生成しない問題 (CVE-2017-15361) 素数の生成に問題があり 短時間で解ける可能性が指摘された 512bit 1.93 CPU hours (Intel E5-2650) 1024bit 97.1 CPU hours (Intel E5-2650) 問題のある生成アルゴリズムを使わないようにするか ファームウエアをアップデートすることが必要 しかし 多くの製品が影響を受けるため 全ての製品を対応するのは難しいと考えられる 引用 : ROCA: Vulnerable RSA generation (CVE-2017-15361), https://crocs.fi.muni.cz/public/papers/rsa_ccs17 21
IoT でセキュリティに取り組む 上での課題 22
IoT 全般の課題 1 IoT 機器の課題 性能 機能の向上により スマートな 機器に対する脅威は PC とほぼ変わらない 設置された後 適切にメンテナンスされない可能性も考慮する必要がある Internet of Threats に関する課題 IoTには 何かしらの モノへの制御機能 が備わる モノのスケールが大きくなると Cyber-Physical Threatな問題に発展する可能性がある インターネットに モノ を直接接続することでセーフティに影響が及ばないかを考える必要があるセーフティとセキュリティの両方の観点を考慮する必要がある 23
IoT 全般の課題 2 IoT という言葉で認識する対象範囲の違いによる課題 IoTの問題は機器だけでなく クラウド サーバ ネットワークなどシステム全体の問題である 開発者はそれぞれの立場で自分と繋がる 何か を意識し 影響を考慮する必要がある 開発者 ( ベンダ ) 利用者 ( ユーザ ) 双方がシステム全体の特徴を知る必要がある Communication Channel eutility (cloud) Decision Trigger Aggregator Sensors eutility (non-cloud) 引用 : J. Voas, Networks of Things, http://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-183.pdfm, NIST SP 800-183. 24
脆弱性に対する製品の管理における課題 ファームウエアや サードパーティのライブラリなどでの脆弱性をどう考えるか? アップデートに対する製造者にかかる責任 / 負担 最終的な製品がどの脆弱性の影響を受けるのか 影響範囲がどこまでなのかといった脆弱性の管理が必要 開発が大規模になればなるほど 既知の脆弱性対策の反映が困難 脆弱性情報の収集と取り纏め外部委託先での管理 影響を受ける? C 社製品 D 社製品 E 社製品 IoT では 影響が広い範囲に及ぶケースも考えられる 製品に脆弱性が発見された場合 ユーザに不安を与えず 冷静に対処してもらうことも重要 業界全体で対応を検討していくことも必要 モジュール供給 A 社 モジュール供給 B 社 以前は供給 ライブラリ供給 ( 脆弱なコンポーネント ) 影響を受ける? サイバー攻撃を受けることを前提とした対策の検討が肝要 25
IoT 製品を取り巻くエコシステムにおける課題 1 想定外の利用によって発生しうるセキュリティ上の問題をどのように対応するのか 共通コンポーネント ライブラリ OSなど 共通するフレームワークに脆弱性があった場合 複数の製品など広い範囲に影響が出る可能性があるそのときに 誰がコストを負担するのか関係者に誰が説明するのか運用中のシステムに適用できるのか 26
IoT 製品を取り巻くエコシステムにおける課題 2 被害への対応 課題 : 影響範囲の特定や対策の実施には時間がかかる 脆弱性などのある機器の特定課題 : ネットワーク上の機器の状態を認知することが困難 1 ISP 事業者 お互いの立場や範囲を理解し 協力していくことが重要! ファームウエアのアップデート実施課題 : そもそも感染に気付けない 自らは被害者ではないので 対策をとるインセンティブがない 1 被害組織 ユーザ 管理者 ファームウエアのアップデート開発 課題 : 使用可能な機能を制限することは対処しづらい OEM 製品の場合 自社による対応が困難 1 インシデント対応支援 課題 : 被害組織や原因が必ず特定できるわけではない 1 アップデートや機器の復旧方法のアナウンス課題 : 販売先 設置先管理まで面倒は見られない ベンダ ( 国内 海外 ) 設置事業者 販売店 27
業界や関係者で情報共有を行うことの重要性 対策を進める上で PSIRT の構築や 情報共有 (PSIRT 間 同業他社 コミュニティ ) がカギ 情報セキュリティの分野では ISAC (Information Sharing and Analysis Center) による脅威情報の共有が進められている 特に 脅威や影響などに関して共通の話題がある場合には情報共有は進みやすい コミュニティでの取り組み例 コンシューマ向けIoTセキュリティガイド http://www.jnsa.org/result/iot/ JNSA IoT セキュリティ WG にてとりまとめ (2016 年 ) 業界を横断して横のつながりで情報を整理 セキュリティベンダ メーカ その他 TCG などのコミュニティ活動が IoT セキュリティにとって大きな役割を担ってくると考えられる 28
まとめ 29
2017 年における IoT セキュリティの動向 インシデントに関する問題 IoT botnetの問題は継続中コンソールへのアクセスだけでなく 製品の脆弱性を悪用するケース (IoT reaper) も観測されている botnet だけでなくフィッシングサイトやサイバー攻撃の踏み台にされている事例も観測されている 脆弱性に関する問題 仕様や実装の問題や特徴がよく考えられた指摘が続いた 現在はまだ Web 管理インターフェースにある脆弱性が悪用されているものが多いが 今後はより攻撃が複雑になっていく可能性がある 30
おわりに インターネットに接続されたモノに対する脅威は増加している 脆弱性の問題の悪用にも注意 脆弱性への対策は 製品の運用時だけでなく 製品を作る際においても考慮が不可欠実際の攻撃では一瞬のスキを突かれてしまう アップデートまでの時間差 仕様上の問題 実装上の問題 共通ライブラリにおける脆弱性などの問題 IoT 製品を取り巻くエコシステムに対する課題 インシデントを防止 軽減するためにも同業他社 業界を超えた協力が不可欠 セキュリティに関して何かございましたら JPCERT/CC までご一報ください! 31
お問合せ インシデント対応のご依頼は JPCERT コーディネーションセンター Email:pr@jpcert.or.jp Tel:03-3518-4600 https://www.jpcert.or.jp/ インシデント報告 Email:info@jpcert.or.jp https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 Email:icsr-ir@jpcert.or.jp https://www.jpcert.or.jp/ics/ics-form 32
ご静聴ありがとうございました 33