IoTにおけるセキュリティの脅威と対策
2015年6月11日(木)
独立行政法人
情報処理推進機構(IPA)
技術本部 セキュリティセンター
情報セキュリティ技術ラボラトリー
博士(情報学)
中野 学
Embedded Technology West 2015
組込み総合技術展 関西
本日の講演の流れ
IoTセキュリティが必要となる社会的背景
IoTにおける脅威
IPAの提供するセキュリティ検討手法
と対策コンテンツ
まとめ
社会的背景
組込み機器の今昔
~繋がるモノ~
自動車 Car2X・これまでの組込みシステム
■スタンドアロンで動作
■機械的な制御
・これからの組込みシステム
■インターネットを含めた様々な
ネットワークと接続して動作。
■そしてクラウドへ。
■ソフトウェア制御。
■個人情報や操作情報のよう
な機微な情報を含めた様々な
情報(ビッグデータ)を扱う。
クラウドビックデータの時代へ
~繋がってしまうモノ~
情報の中には、複数のデータが組み合わさることで個人が特定される情報や、人によっては外に 出したくない情報など様々であり、ビックデータの中の情報をどれだけ守れば良いかと定義する事 は難しい。利用用途やサービス目的を鑑みつつ、情報を保護する手段や消去手段を持つ事が望ま れる。また、遠隔操作可能な機能を持つ事で、悪意ある者からの脆弱性を狙った攻撃や、不正利 用が考えられる。脆弱性を作りこまない開発や、攻撃を予防するセキュリティ対策が必要。 電話帳、メール、写真、 動画、音楽、GPS情報、 オートロック機能、etc… スキャン情報、FAX情報、 ユーザ情報、 データ送信機能、etc… 各種アカウント、電子マネー コンテンツ、 プレイデータ、etc… デジタル複合機 スマートフォン 車速、ハンドル舵角 燃費、充電情報、 自動運転機能、etc… 自動車 ユーザ情報、コンテンツ クレジットカード情報、 録画予約機能、etc… デジタルテレビ ゲーム機ビッグデータ
利用者情報、健康状態、 各種設定情報、 制御機能、etc… デジタルヘルス三つの進化と、それに伴うセキュリティ
新しいサービスの発達
ネットワークへの接続
汎用プロトコル等の利用
新しい技術や機器の 発展に伴って,様々な新しい サービスが創出される。 これにより,組込み業界に 様々なプレイヤーが係わり, 多様な情報が扱われる ようになる。 情報の価値や重要度に応じた セキュリティや情報の取扱いを 利用者が理解・選択出来る ような仕組みが必要となる。 また,新しいサービスの出現 に伴って,それに適した セキュリティを検討する 必要がある。 通信機能の搭載が 容易・必須になり インターネットを含めた 公共回線の利用が当然と なる。これによって様々な モノが繋がる世界になる。 これまでネットワーク経由の 攻撃が考慮されてこなかった 製品群が,今後は攻撃の 対象となるため,製品の セキュリティはもちろん, 利用者の教育についても 検討する必要がある。 多種多様な機器を 接続するためや, 機器のコスト競争等から, 例えばTCP/IPなどの 汎用プロトコルが 利用されるようになる。 これまで利用されてきた 独自プロトコルが標準化され, 一般的なPCでも利用される 汎用プロトコル等が 利用されることで,PCと 同様の脅威が発生する 可能性がある。IoTのこれから
新しいサービスの発達
•
車載センサの情報を活用したサービス(自動車)
•
健康促進に向けた身体情報の活用(ヘルスケア)
•
一般家庭における高度医療の実現(医療)
ネットワークへの接続
•
自動車とスマートフォンの連携(自動車)
•
院内LANと外部ネットワークの接続(医療)
汎用プロトコル等の利用
•
車載システムや医療機器への汎用プロトコル利用
•
自動車や医療を専門としないソフトウェアメーカ等の参入
インシデント等の事例
■
Webカメラの画像を意図しない相手が見ることが可能な事例
2015年3月に朝日新聞でWebカメラの利用の不備が指摘される
•
IPアドレス等から2,163台のWebカメラを検出、
内
769台でパスワードが未設定
• 非公開の試作品
や
店舗や工場の様子
が確認できた
•
カメラによっては
場所を特定
できるケースも
•
カメラの向き等を
第三者が操作
できた可能性も指摘される
パスワードが設定されていたとしても。。。
• デフォルトパスワード
の利用
•
Webカメラ自体に
脆弱性
がある可能性も
Webカメラの情報セキュリティに関連する事例
http://www.asahi.com/articles/ASH3654C1H36PTIL00W.html■
2011年Black Hat でJerome Radcliffe氏が報告したインスリンポンプへのハッキ
ング
ハッキングのために、インスリンポンプ及びCGMセンサについて、
付属のマニュア
ルや特許庁Webサイトから情報収集
を行い、機能や構成の情報を収集。
次にCGMセンサの通信情報を解読し、インスリンポンプにおいても機器のシリアル
番号を取得できれば無線通信により誤った命令を実行できるとしている。CGMセン
サ、インスリンポンプそれぞれにおいて、理論上は以下の攻撃が可能であると発表
している。
• CGM センサに対しては血糖値の改ざんや通信の妨害が可能
• インスリンポンプ攻撃例は設定を改ざんし、意図しない動作の誘発(インスリン
投入のタイミングや一回当たりの投入量の変更等)が可能
CGMセンサ: (continuous glucose monitors:継続的に糖濃 度を計測するシステム)医療機器セキュリティの事例
【CAN(Controller Area Network):主要な車載LAN方式の一つ】
・2010年ワシントン大学Kohno氏論文
「Experimental Security Analysis of a Modern Automobile」にて
CAN本体について;
(1)CAN通信は同一バス上に同報する方式で、盗聴、解析が容易 (2)認証フィールドとは発信元(ソースアドレス)がなく、なりすましが容易 などCANを利用した車載LAN上機器の処理の不足や標準的な処理の不備などについて;
(3)走行中には無視しなければならないはずのCANバス全体の通信停止メッセージが、実際には有効 (4)走行中のECUの書換えは禁止されているはずであるが、実際には書換えモードに入ることが可能 (5)OBD-IIに接続した実験用のPCから上記のテレマティクス端末のソフトウェアを認証手順なしで書換え ECU単体の解析(左)、静止時の車台上でのECU間解析と試験(中)、走行中の動作試験(右) 現在は、攻撃を行う ための機材とソフト ウェアは市販製品で は機能不足のため 開発が必要で、攻 撃の難易度は高い。自動車へのハッキングの事例
出典:http://www.autosec.org/pubs/cars-oakland2010.pdf組込みシステムへのセキュリティ対策は進んでいるか
信号機に対するハッキング
・発生した国 : 米国
・業種
: 道路管理
・原因
: システムが脆弱な状態
2009年1月、米国の複数の州における信号機(交通メッ セージ表示)が「ゾンビ注意(ZOMBIES AHEAD)」に変 更された。この例はいたずらだが、原因はシステムにお けるパスワードをデフォルトのままにしていたり、本来 ロックしておかなければならない機能をロックしていな かったりシステムが脆弱な状態にあったため、いたずら に利用された。Source: Los Angels Times
http://latimesblogs.latimes.com/lanow/2009/12/engineers-who-hacked-in-la-traffic-signal-computers-jamming-traffic-sentenced.html 写真:The Telegraph http://www.telegraph.co.uk/ 2015年1月9日報道、ロサンゼルスのダウンタウ ンで、交通情報を表示する電光掲示板がハッキ ングされる。掲示板の所有者のTraffic Management Incorporated社によれば、手口は 不明だが、装置のある場所に侵入して書き換え たか、WiFiが使えるタイプで、リモートから書き換 えられた可能性もあり
セキュリティ検討・対策の一例
ペースメーカー、 人工心臓弁、 インスリンポンプ 人工呼吸器、除細動電 極、輸液ポンプ、麻酔 システム、透析器 医療情報システム 医療事務や診療を支援するシステムや、 患者情報を扱うも端末やネットワーク オーダリングシステム、 医事会計システム、 電子カルテ エアロバイク等、 活動量計、睡眠計 体組成計 ヘルスケア機器 MRI、電子内視鏡、 超音波診断装置、 X線フィルム、聴診器 携帯型電子式血圧計 携帯型心電計、 電気治療器、 医療 従事者 に よ る 利用 一般利用者に よ る利用
D群
使用することにより健康の増進 や体型の維持向上が期待できる とされている器具 高度管理医療機器(クラスⅢ、Ⅳ) 不具合が生じた場合、人体への影 響が大きい機器 一般医療機器(クラスⅠ) /管理医療機器(クラスⅡ) 不具合が生じた場合でも、人体への 影響が軽微な機器 医療機器(薬事法の対象)A群
IPAでは医療機器を利用方法や重要度にあわせ、以下のように分類した。
利用者や利用シーン等の整理(1/2)
~IPAにおける医療機器の分類~
A群(医療機関で取り扱われる専門機器)
•
機器一台が高額,かつ細やかな設定がなされている。
•
病院内での利用に限られ,基本的には安全な環境で利用される。
•
不具合が発生した場合,人体への影響は大きい。
B群(医療機関の判断で利用される専門機器)
•
一般利用者(患者)が利用するが,設定等は主に病院が行う。
•
センサ機能だけでは無く,医療行為を行う機能がついている。
•
病院外での利用に対応しており,短距離無線機能を持つものも多い。
C群(健康促進・体調管理を目的として利用される機器)
•
一般利用者が家電量販店等で購入することが可能。
•
主にセンサ及び情報集積機能のみであり,医療行為は行わない。
•
データの信頼性は(現状のところでは)強く求められていない。
D群(医療行為のサポートを行うシステム)
•
医療行為に大きな影響は無いが,多くの機微情報を含む。
•
オープンソースのシステムもあるなど,一般的な情報システムに酷似
利用者や利用シーン等の整理(2/2)
~IPAにおける医療機器の分類~
適切な脅威分析・対策検討の実施
~IPAによる自動車セキュリティ分析の例~
駆動系 テレマ ティクス シャーシ 系 診断・ 保守 ITS 機能A.
B.
F.
G.
E.
安全 快適機能 ボディ系C.
D.
インフォ テイメント 持ち込み 機器 スマートフォン パソコン タブレット プレーヤ メモリ/HDD エコメータ カスタムメータI.
H.
Bluetooth 無線LAN USBポート SDスロット OBD-II 設定不良、 ユーザ情報漏 えい、盗聴、 DoS攻撃 蓄積情報漏えい、 不正設定、ウイ ルス感染、盗聴、 不正アクセス等 ウイルス感染、蓄積 情報漏えい、不正利 用、不正設定、盗聴、 不正アクセス 等 設定不良、情 報漏えい、不正 アクセス 等 設定不良、蓄 積情報漏えい、 DoS攻撃 等 不正利用 (設定不良、蓄積情報漏え い、不正利用、不正設定、 ウイルス感染、盗聴) 不正利用、 不正設定、 盗聴 等 ウイルス感染、設定 不良、操作ミス、不 正利用、不正設定、 盗聴、不正アクセス 等 不正利用、 不正設定、 盗聴 等外部から、
情報の入出力が出来るポートを持つ機能についてはPCと同様の脅威
がある。
一方で、制御系を外部から直接攻撃する手段に関しては、現状では見つからない。
海外の研究発表の事例にもあるように、自動車制御に直接攻撃を仕掛けるのではなく、
ライフサイクルを通したセキュリティへの取組み
~組織としてのセキュリティ対策~
マネジメント(セキュリティ関連商品でなくても、メーカとして常に行うべき事柄)
セキュリティルールの策定、セキュリティ教育の実施、セキュリティ情報の収集と展開
企画(ライフサイクル全体の計画を行うフェーズ)
セキュリティに配慮した要件定義の策定、セキュリティ関連予算の確保、
開発外部委託におけるセキュリティへの配慮、新技術に関連する脅威への対応
開発(システムの開発を行うフェーズ)
設計、実装時のセキュリティ対策、セキュリティ評価・デバッグ、
利用者等への情報提供用コンテンツ等の準備
運用(組込みシステムがユーザの手に渡った後、製品として利用されるフェーズ)
セキュリティ上の問題への対処、利用者や自動車関係者への情報提供、
脆弱性関連情報の活用
廃棄(買い替え、故障などで組込みシステムが廃棄、リサイクルされるフェーズ)
廃棄方法の策定と周知
これらの紹介パネル・資料は当ブースにあります。
脆弱性情報データベース JVN iPedia
URL:http://jvndb.jvn.jp/
国内外の脆弱性対策情報を収集したディクショナリデータベース
IPAが運営するサイト
国内ベンダーと連携を
し、脆弱性対策情報を
公開
海外の脆弱性DB
(NVD)の情報を日本語
翻訳して公開
約42,000件の脆弱性
対策情報を登録
情報システムにおける
セキュリティ対策の有効利用(1/3)
セキュリティ上の弱点(脆弱性)を作りこまないための教育
•
学習によって脆弱性に対する理解を深める
•
サンプルアプリで実際に手を動かして脆弱性を知る
•
「よくある脆弱性」に対するチェックを行う
情報システムにおける
セキュリティ対策の有効利用(2/3)
Androidアプリの脆弱性体験学習ツール
AnCole
ウェブアプリの脆弱性体験学習ツール
AppGoat
学習の流れ
学習テーマ選択後の流れ 脆弱性 原理解説 演習 影響解説 対策方法 解説 脆弱性 修正 解答・修正 例確認 ファジング(英名:Fuzzing)の利用
•
何万種類もの問題を起こしそうなデータ(例:極端に長い
文字列)を送り込み、対象製品の動作状態(例:製品が
異常終了する)から脆弱性を発見する技術
ファジング
ツール(*1)
(Fuzzing tool)
例えば、 「Codenomicon」 「Raven」 「Peach」 など。対象機器(*2)
検査データ(1番目) 応答あり 検査データ(2番目) 応答あり ・ ・ ・ ・ ・ ・ 検査データ(12345番目) 何万種類の検査データを送信 応答なし【イメージ図】
情報システムにおける
セキュリティ対策の有効利用(3/3)
IPAが実施したファジングでは、
ルータの脆弱性を発見
。他の組込み機器に対しても調査中。
IPAではこの調査結果や、ファジングの利用ガイド等も随時公開。
既存制度の利用・改良
~自動車の例を基に~
IoT機器は業界ごとに専用の制度・施設等が存在する
•
免許の取得・更新
•
利用者にセキュリティ教育を施す機会
•
公的機関によるものなので,足並みを揃えるのが容易
•
車検
•
数年に一度とはいえ,必ずメンテナンスできる機会
•
被害事例やパッチ適用率等も調査可能?
•
ガソリンスタンドという情報ステーション
•
「自動車利用者なら必ず訪れる場所」が存在
一般利用者にセキュリティ意識を持って頂く事はなかなかに難しい
特定環境下もしくは特定利用者に利用される機器は
利用者教育及び機器の一元管理がやりやすい
状況にある。
まとめ
総合的&継続的なセキュリティ対策を
サービス提供社
開発関連組織
利用者
樽の理論
何本もの樽材で組み合わせ、タガを締めた樽 には、一番短い樽材の位置までしか水は入らな い。それより長い樽材をどれほど高級なものにし たとしても、この結果は変わらない。効果的なセキュリティ対策を実施するため
には、組込み機器の開発関連組織のみな
らず、それに関わる組織・人の連携が必要
セキュアな
IoT関連機器
セキュリティレベル サ ービ ス 提供社 IoT 関連組織 攻撃者はサービス・システム 全体を分析した上で、一番 弱点となっている所を狙う。 場合によってはそれを踏み 台としてさらに内部に攻撃を しかける事も。医療関係者
最後に:
安全でセキュアな社会に向けて
事故
誤操作
攻撃
& Security
Safety
Windows Server 2003のサポートが、2015年7月15日に終了します。
サポート終了後は
修正プログラムが提供されなくなり
、脆弱性を悪用した攻撃が
成功する可能性が高まります。
サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの
影響調査や改修等について
計画的に迅速な対応
をお願いします。
会社の事業に悪影響を及ぼす被害を受ける可能性があります
IPA win2003
検索
詳しくは
またWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします 脆弱性が 未解決なサーバ脆弱性を
悪用した攻撃
ホームページの改ざん 重要な情報の漏えい 他のシステムへの攻撃に悪用 業務システム・サービスの停止・破壊 データ消去Windows Server 2003のサポート終了に伴う注意喚起
「iパス」は、ITを利活用する
すべての社会人・学生
が備えておくべき
ITパスポート公式キャラクター 上峰亜衣(うえみねあい)
