説明の流れ はじめに JPCERT/CC の紹介 2017 年に観測された IoT 関連のインシデント 2017 年に報告された IoT 関連の脆弱性 IoT でセキュリティに取り組む上での課題 まとめ 2

IoT

をとりまく

セキュリティの現状と課題

2017年11月20日 JPCERTコーディネーションセンター 早期警戒グループ 洞田 慎一

説明の流れ

はじめに

— JPCERT/CC の紹介

2017

年に観測された IoT 関連のインシデント

2017

年に報告された IoT 関連の脆弱性

IoT

でセキュリティに取り組む上での課題

まとめ

JPCERT/CC とは

一般社団法人 JPCERT コーディネーションセンター

Japan Computer Emergency Response Team / Coordination Center

 コンピュータセキュリティインシデントへの対応、国内外にセンサをお いたインターネット定点観測、ソフトウエアや情報システム・制御シス テム機器等の脆弱性への対応など日本の「セキュリティ向上を推進する 活動」を実施  サービス対象: 日本国内のインターネット利用者やセキュリティ管理担 当者、ソフトウエア製品開発者等（主に、情報セキュリティ担当者）  インシデント対応をはじめとする、国際連携が必要なオペレーションや 情報連携に関する、日本の窓口となる「CSIRT」 ※各国に同様の窓口となるCSIRTが存在する

(例、米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC)

経済産業省からの委託事業として、サイバー攻撃等国際連携対応調

「JPCERT/CCをご存知ですか？」

JPCERT/CC

の活動

重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信 早期警戒情報 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援 CSIRT構築支援 脆弱性情報ハンドリング  _{未公開の脆弱性関連情報を製品開発者} へ提供し、対応依頼  _{関係機関と連携し、国際的に情報公開} 日を調整  セキュアなコーディング手法の普及  制御システムに関する脆弱性関連情報 の適切な流通 マルウエア（不正プログラム）等の攻撃手法の分析、解析 アーティファクト分析 各種業務を円滑に行うための海外関係機関との連携 国際連携 インシデントの予測と捕捉 インシデント予防 発生したインシデントへの対応 制御システムに関するインシデントハンドリング/情報収集,分析発信 制御システムセキュリティ 日本シーサート協議会、フィッシング対策協議会の事務局運営等 国内外関係者との連携  _{マルウエアの接続先等の攻撃関連サイ} ト等の閉鎖等による被害最小化  _{攻撃手法の分析支援による被害可能性} の確認、拡散抑止  再発防止に向けた関係各関の情報交換 及び情報共有 インシデントハンドリング （インシデント対応調整支援） 情報収集・分析・発信 定点観測（TSUBAME）  _{ネットワークトラフィック情報の収集} 分析  _{セキュリティ上の脅威情報の収集、分} 析、必要とする組織への提供

サイバーセキュリティ・インシデントに沿った活動

発生したインシデントへの対応 (主に CSIRT)

— インシデント初動対応への技術的な支援、助言

例）インシデントレスポンス、アーティファクト分析など — CSIRT : Computer Security Incident Response Team

製品の脆弱性への対応 (主に PSIRT)

— 届けられた製品の脆弱性についての調整、脆弱性情報の公開

— PSIRT : Product Security Incident Response Team

事前、事後への対応

— 情報提供、情報共有、インターネット上の脅威への分析

制御システムセキュリティ分野 (ICS) についての活動も

行っています

サイバー攻撃のリスクを下げる活動

攻撃：コストとベネフィット

— 攻撃にもコストが必要 (攻撃インフラ、ツール等) — 環境を改善しない限り攻撃は終わりません

インシデントを防ぎ、サイバー攻撃のリスクを下げる

には、攻撃のコストを上げていけるかが鍵

— 適切かつ迅速な初動活動・対応 — 正確な技術情報 — 普段からの脆弱性への対応 (作る側・使う側)

costs benefits costs benefits

利益の方が大きい

→攻撃動機を助長 コストの方が大きい→攻撃動機が減退

攻撃のリスクを下げる取り組みの例

脆弱性情報への適切な対応 (主に事前)

— 報告者、開発者と脆弱性情報を適切に取り扱い、アップ デート情報とともに情報を公開 (IPA、JPCERT/CC) — 公開された情報を基に早期にアップデートを実施 (利用者) — セキュアコーディング等の脆弱性を作りこまない方法の啓 発 (開発者)

正しい技術情報に基づいた適切かつ迅速なインシデント

対応 (主に事中・事後)

— アーティファクト分析に基づいた迅速な対応

その後の脅威へのモニタリングと集団防護 (主に事後)

— 継続的なモニタリングによる脅威の発見 — 同じタイプの攻撃を防ぐため、グループでの情報共有

インシデント件数のカテゴリ別割合 「サイバー攻撃の傾向」

インシデント対応状況

（2016年4月～2017年3月） JPCERT/CCへの報告 — 全報告件数

15,954件

— 全インシデント件数

15,570件

JPCERT/CCからの連絡 — 全調整件数

10,641件

JPCERT/CC インシデント報告対応四半期レポートより https://www.jpcert.or.jp/ir/report.html カテゴリ 割合 スキャン 46.2% Webサイト改ざん 21.0% フィッシングサイト 15.0% マルウエアサイト 6.3% DoS / DDoS 1.3% 標的型攻撃 0.3% 制御システム関連 0.3% その他 9.6% 9,865 8,485 20,019 29,191 22,255 17,342 15,954 2010 2011 2012 2013 2014 2015 2016 年度 インシデント報告件数の推移

2017

年に観測された

IoT botnet

の問題は継続して発生

2017

年の脅威予測として昨年末・年始に多く取り上げら

れていた問題

— IoT botnetによるDDoS攻撃の活発化

23/tcp

及び 2323/tcp へのスキャン観測状況

0 20000 40000 60000 80000 100000 120000 140000 160000 180000 4/1 5/1 6/1 7/1 8/1 9/1 10/1 11/1 12/1 1/1 2/1 3/1 23/tcp (2016年度) 2323/tcp (2016年度) 23/tcp (2017年度) 2323/tcp (2017年度) Miraiの感染拡大 (2016年度) 2017年度は、~1Tbpsという巨大なDDoSは観測されていないが、 IoT botnetの問題は継続している

2017

年6月に観測された状況から

国内モバイル網のIPからの ssh (22/tcp) の増加を観測

アクセス増加の背景にはワーム感染が関係

— Miraiとは異なるマルウエアを観測 (TSUNAMI) — SSHコンソールが WAN 側に開いていた問題 ISPにより影響は異なる — 利用者への通知の問題

引用: Malware Analysis Tech,

http://malwareanalysis.tech/2017/01/brute-force-ssh-attack-from-ip-7 2-202-134-97-downloaded-trojan-linux-tsunami-from-ip-52-74-21-59/ 0 50 100 150 200 250 300 350 400 2017/6/1 2017/7/1 2017/8/1 国内IPからの22/tcp スキャン観測状況 0 2000 4000 6000 8000 10000 12000 2017/6/1 2017/7/1 2017/8/1 同時期での全体の 22/tcp 観測状況 マルウエア本体 に含まれる 特徴的な文字列

狙われるのは脆弱なパスワードとは限らない (1/2)

IoTroop Botnet (IoT_reaper)

— 脆弱なパスワードを悪用するのではなく、 機器の既知の脆弱性を悪用し感染を拡大 (2017年) D-Link, Netgear, Vacron, Linksys, AVTECHなどの製品 に対する脆弱性が 挙げられている — Lua実行環境を内包 DDoS攻撃実行機能 (DNS amp攻撃) が確認されている

引用: Check Pont, IoTroop Botnet: The Full Investigation,

その他 ～インシデントの背景にIoT機器？

その他にも、インシデントの背景を調べると、IoT機器や

高機能NASなどが踏み台となっている場合もある

— フィッシングサイトの踏み台としての悪用 — サイバー攻撃の踏み台としての悪用

原因はさまざま

— 脆弱性の問題だけでなく、実装上の問題や、動作環境の問 題、利用者の問題と幅広い — UPnP機能に関する問題 NASやウェブカメラが便利に使える一方で、落とし穴も存在 便利に利用することとセキュリティの両面を利用者が 考えられる (異変に気付ける) 設計にしておく必要がある

2017

年に報告された

IoT

において考えたい脆弱性の問題 ~2017年~

2017

年はモバイル端末を含め広く影響を与える問題が複

数指摘された

— “Broadpwn” Broadcom WiFi SoCにおける問題 — “BlueBorne” の脆弱性

— “KRACK Attacks” WPA2における問題

仕様・実装の問題や、製品の特徴を捉えた指摘

— コンソールを悪用される問題や、Web管理画面の脆弱性な どではなく、プロトコルや実装の本質に議論が及ぶ — 脆弱性を現実に悪用するには、条件などの環境上の問題は 残っているが、実証コードも公開される — IoTの脅威の今後を考えた場合に、これらの仕様や実装に関 する指摘をそのままにしておいてよいだろうか

Broadcom WiFi SoC

における問題

Broadcom BCM4355C0 Wi-Fi

などのチップの Wi-Fi

ファームウェアにおける内部バッファエラーの脆弱性

(CVE-2017-11120)

— ARMコアを搭載 — ワイヤレスローミング処理時にバッファエラーが存在 — BCM4339 上で、WiFi 経由にて任意のコードが実行可能

iPhone7 (iOS10.2)

についての解説が公開

— 脆弱性を利用して BCM4339 ファームウェアにバックドア を設置 — バックドアを介して本体メモリへアクセス — 細工された AP / 細工された WIFI メッセージにて悪用

参考: Project Zero, Over The Air: Exploiting Broadcom’s Wi-Fi Stack (Part 1)

https://googleprojectzero.blogspot.jp/2017/04/over-air-exploiting-broadcoms-wi-fi_4.html

参考: Project Zero, Over The Air - Vol. 2, Pt. 1: Exploiting The Wi-Fi Stack on Apple Devices, https://googleprojectzero.blogspot.jp/2017/09/over-air-vol-2-pt-1-exploiting-wi-fi.html

Bluetooth の実装における脆弱性 (群) に関して技術レポートが公開 — 複数の脆弱性からなる Android セキュリティパッチレベル 2017年 9月を適用していないバージョン (CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785)

Linux Kernel 3.3-rc1 以降のバージョン (CVE-2017-1000251)

Linux BlueZ すべてのバージョン (CVE-2017-1000250)

iOS version 9.3.5 およびそれ以前 (CVE-2017-14315)

tvOS version 7.2.2 およびそれ以前 (CVE-2017-14315)

Windows Vista 以降の2017年 9月マイクロソフトセキュリティ更

新プログラムを適用していないバージョン (CVE-2017-8628)

— 仕様に対する実装時の誤解や、KASLR (kernel address Space

Layout Randomization) を突破する技術など様々な問題を応用

“BlueBorne”

の脆弱性

参考: Armis, BlueBorne,

Armis

によるデモ

— Google Pixelをリモートから操作するデモ 任意のコードが実行される — Windowsからの PAN接続時の通信を摂取し、フォームの入 力情報を取得するデモ 中間者攻撃により情報を摂取される — “SmartWatch” への攻撃デモ

“BlueBorne”

に関するさまざまなデモが公開

“IoT” ならではの攻撃シナリオとなっている

KRACK Attacks

における問題

Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題

— 中間者攻撃による通信内容の復号など

— Channel-based MITM や 802.11r (FT) 処理などを悪用

4-way handsake における Pairwse Key, Group Key, Integrity Group Key の再利用

(CVE-2017-13077,13078,13079) — PTKが再設定され、Client->APの通信を復号する助けとなる Fast BSS Transition 再接続 リクエストの再送許可とその処理における Pairwise Key の再 利用 (CVE-2017-13082) — PTK が再設定され、AP->Client通信を復号する際の助けとなる

参考： M. Vanhoef and F. Piessens,

その他の脆弱性｜Infineon製RSAライブラリでの問題

引用: ROCA: Vulnerable RSA generation (CVE-2017-15361), https://crocs.fi.muni.cz/public/papers/rsa_ccs17 Infineon 製RSAライブラリがRSA鍵ペアを適切に生成しない問題 (CVE-2017-15361) — 素数の生成に問題があり、短時間で解ける可能性が指摘された — 512bit 1.93 CPU hours (Intel E5-2650) — 1024bit 97.1 CPU hours (Intel E5-2650) 問題のある生成アルゴリズム を使わないようにするか、 ファームウエアをアップデート することが必要 — しかし、多くの製品が影響を受ける ため、全ての製品を対応するのは 難しいと考えられる

IoT

でセキュリティに取り組む

上での課題

IoT

全般の課題｜1

IoT

機器の課題

— 性能・機能の向上により“スマートな”機器に対する脅威は PCとほぼ変わらない — 設置された後、適切にメンテナンスされない可能性も考慮 する必要がある

Internet of Threats

に関する課題

— IoTには、何かしらの“モノへの制御機能”が備わる — モノのスケールが大きくなると Cyber-Physical Threatな問 題に発展する可能性がある — インターネットに“モノ”を直接接続することでセーフティ に影響が及ばないかを考える必要がある セーフティとセキュリティの両方の観点を考慮する必要がある

IoT

全般の課題｜2

IoT

という言葉で認識する対象範囲の違いによる課題

— IoTの問題は機器だけでなく、クラウド、サーバ、ネット ワークなどシステム全体の問題である — 開発者はそれぞれの立場で自分と繋がる“何か”を意識し、 影響を考慮する必要がある — 開発者 (ベンダ) 、利用者 (ユーザ) 双方がシステム全体の特 徴を知る必要がある Sensors Aggregator eUtility

(cloud) Decision Trigger

eUtility (non-cloud) Communication

Channel

引用: J. Voas, “Networks of ‘Things’”,

脆弱性に対する製品の管理における課題

ファームウエアや、サードパーティのライブラリなどでの脆 弱性をどう考えるか？ — アップデートに対する製造者にかかる責任/負担 — 最終的な製品がどの脆弱性の影響を受けるのか、影響範囲が どこまでなのかといった脆弱性の管理が必要 — 開発が大規模になればなるほど、既知の脆弱性対策の反映が困難 脆弱性情報の収集と取り纏め 外部委託先での管理 IoT では、影響が広い範囲に 及ぶケースも考えられる — 製品に脆弱性が発見された 場合、ユーザに不安を与えず、 冷静に対処してもらうことも重要 — 業界全体で対応を検討していく ことも必要 （脆弱なコンポーネント）ライブラリ供給 モジュール供給 A社 モジュール供給 B社 C社製品 D社製品 E社製品 以前は供給 影響を受ける？ サイバー攻撃を受けることを前提とした対策の検討が肝要 影響を受ける？

IoT

・製品を取り巻くエコシステムにおける課題｜1

想定外の利用によって発生しうるセキュリティ上の

問題をどのように対応するのか

— 共通コンポーネント、ライブラリ、OSなど、共通する フレームワークに脆弱性があった場合、複数の製品など 広い範囲に影響が出る可能性がある そのときに・・・ 誰がコストを負担するのか 関係者に誰が説明するのか 運用中のシステムに適用できるのか

IoT

・製品を取り巻くエコシステムにおける課題｜2

1

1

1

1

ISP事業者 被害組織 ベンダ(国内・海外) _{設置事業者・販売店} ユーザ・管理者 ファームウエアの アップデート開発 課題： ・使用可能な機能を制限す ることは対処しづらい ・OEM製品の場合、自社に よる対応が困難 アップデートや機器の 復旧方法のアナウンス 課題：販売先、設置先管 理まで面倒は見られない ファームウエアのアップデート実施 課題： ・そもそも感染に気付けない ・自らは被害者ではないので、対策 をとるインセンティブがない 脆弱性などのある機器の特定 課題：ネットワーク上の機器の 状態を認知することが困難 インシデント対応支援 課題：被害組織や原因が必ず 特定できるわけではない 被害への対応 課題：影響範囲の特定 や対策の実施には時間 がかかる お互いの立場や範囲を理解し、 協力していくことが重要！

業界や関係者で情報共有を行うことの重要性

対策を進める上で、PSIRT の構築や、

情報共有 (PSIRT間、同業他社、コミュニティ) がカギ

— 情報セキュリティの分野では、ISAC (Information Sharing and

Analysis Center) による脅威情報の共有が進められている — 特に、脅威や影響などに関して共通の話題がある場合には情報共 有は進みやすい コミュニティでの取り組み例 — コンシューマ向けIoTセキュリティガイド http://www.jnsa.org/result/iot/ JNSA IoT セキュリティ WG にてとりまとめ (2016年) 業界を横断して横のつながりで情報を整理 — セキュリティベンダ、メーカ、その他 TCGなどのコミュニティ活動がIoTセキュリティにとって大きな 役割を担ってくると考えられる

2017

年におけるIoTセキュリティの動向

インシデントに関する問題

— IoT botnetの問題は継続中 コンソールへのアクセスだけでなく、製品の脆弱性を悪用 するケース (IoT reaper) も観測されている — botnet だけでなくフィッシングサイトやサイバー攻撃の踏 み台にされている事例も観測されている

脆弱性に関する問題

— 仕様や実装の問題や特徴がよく考えられた指摘が続いた — 現在はまだ、Web管理インターフェースにある脆弱性が悪 用されているものが多いが、今後はより攻撃が複雑になっ ていく可能性がある

インターネットに接続されたモノに対する脅威は

増加している

— 脆弱性の問題の悪用にも注意 — 脆弱性への対策は、製品の運用時だけでなく、製品を作る際に おいても考慮が不可欠

実際の攻撃では一瞬のスキを突かれてしまう

— アップデートまでの時間差 — 仕様上の問題、実装上の問題 — 共通ライブラリにおける脆弱性などの問題

IoT

・製品を取り巻くエコシステムに対する課題

— インシデントを防止、軽減するためにも同業他社、業界を超えた 協力が不可欠

おわりに

セキュリティに関して何かございましたら、

JPCERT/CC

までご一報ください！

お問合せ、インシデント対応のご依頼は

JPCERTコーディネーションセンター — Email：pr@jpcert.or.jp — Tel：03-3518-4600 — https://www.jpcert.or.jp/ インシデント報告 — Email：info@jpcert.or.jp — https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email：icsr-ir@jpcert.or.jp — https://www.jpcert.or.jp/ics/ics-form