iotにおけるセキュリティの脅威と対策 - ipa ·...

IoTにおけるセキュリティの脅威と対策

2015年11月20日（金）

独立行政法人情報処理推進機構（IPA）

技術本部セキュリティセンター

情報セキュリティ技術ラボラトリー

博士（工学）辻宏郷1

Embedded Technology 2015

IoT Technology 2015

Copyright © 2015 独立行政法人情報処理推進機構

本日の講演の流れ

IoTセキュリティが必要となる社会的背景～情報セキュリティの昔と今、これから～

IoTにおける脅威事例～2015年に報告された事例から～

セキュリティ検討・対策の一例～IPAの提供するセキュリティ検討手法と対策コンテンツ～

まとめ


IoTセキュリティが必要となる社会的背景～情報セキュリティの昔と今、これから～

3Copyright © 2015 独立行政法人情報処理推進機構

組込み機器の昔と今～繋がるモノ～

自動車

Car2X

クラウド


・これまでの組込みシステム■スタンドアロンで動作■機械的な制御

・これからの組込みシステム■インターネットを含めた様々なネットワークと接続して動作。■クラウドの活用。■ソフトウェア制御。■個人情報や操作情報のような機微な情報を含めた様々な情報を扱う。

ビックデータの時代へ～繋がってしまうモノ～

組込みシステムが繋がっていく中では、情報だけでなく「機器の操作」も行われ、機器同士が連携するようになってくる。その為、これまでの情報漏えいや改ざん等への対策だけでは無く、攻撃者によって機器が利用者の意図しない動作を防ぐ対策も必要となる。

電話帳、メール、写真、動画、音楽、GPS情報、オートロック機能、etc…

スキャン情報、FAX情報、ユーザ情報、

データ送信機能、etc…

各種アカウント、電子マネーコンテンツ、

プレイデータ、etc…

デジタル複合機

スマートフォン車速、ハンドル舵角燃費、充電情報、

自動運転機能、etc…

自動車

ユーザ情報、コンテンツクレジットカード情報、録画予約機能、etc…

デジタルテレビ

ゲーム機

ビッグデータ利用者情報、健康状態、

各種設定情報、制御機能、etc…

デジタルヘルス


三つの進化と、それに伴うセキュリティ課題

新しいサービスの発達ネットワークへの接続汎用プロトコル等の利用

新しい技術や機器の発展に伴って，様々な新しいサービスが創出される。これにより，組込み業界に様々なプレイヤーが係わり，多様な情報が扱われる

ようになる。

情報の価値や重要度に応じたセキュリティや情報の取扱いを利用者が理解・選択出来るような仕組みが必要となる。また，新しいサービスの出現伴って，それに適したセキュリティを検討する

必要がある。

通信機能の搭載が容易・必須になり

インターネットを含めた公共回線の利用が当然となる。これによって様々なモノが繋がる世界になる。

これまでネットワーク経由の攻撃が考慮されてこなかった製品群が，今後は攻撃の対象となるため，製品のセキュリティはもちろん，利用者の教育についても検討する必要がある。

多種多様な機器を接続するためや，

機器のコスト競争等から，例えばTCP/IPなどの汎用プロトコルが

利用されるようになる。

これまで利用されてきた独自プロトコルが標準化され，一般的なPCでも利用される

汎用プロトコル等が利用されることで，PCと同様の脅威が発生する

可能性がある。


IoTのこれから

新しいサービスの発達• 車載センサの情報を活用したサービス（自動車）

• 健康促進に向けた身体情報の活用（ヘルスケア）

• 一般家庭における高度医療の実現（医療）


ネットワークへの接続• 自動車とスマートフォンの連携（自動車）

• 組織LANと外部ネットワークの接続（制御システム・医療）

汎用プロトコル等の利用• 様々なシステムへのオープンソース等の汎用プロトコル利用

• 業界を超えたソフトウェアメーカ等の参入

IoTにおける脅威事例～2015年に報告された事例から～


9

■ Webカメラの画像を意図しない相手が見ることが可能な事例2015年3月に朝日新聞でWebカメラの利用の不備が指摘される

• IPアドレス等から2,163台のWebカメラを検出、内769台でパスワードが未設定

• 非公開の試作品や店舗や工場の様子が確認できた

• カメラによっては場所を特定できるケースも

• カメラの向き等を第三者が操作できた可能性も指摘される

Webカメラのセキュリティ事例

http://www.asahi.com/articles/ASH3654C1H36PTIL00W.html


パスワードが設定されていたとしても。。。

• デフォルトパスワードの利用

• Webカメラ自体に脆弱性がある可能性も

10

■ スマートハウスが管理する情報を不正アクセスされる可能性2015年5月に朝日新聞でネットワーク接続方法の誤りが指摘される

• 次世代省エネ住宅「スマートハウス」の情報を一元管理する「HEMS: Home Energy Management System」をルータを介せずネットワークに繋げた場合、第三者に情報を見られたり、家庭内機器を遠隔操作されたりする可能性があったと報告。

スマートハウスのセキュリティ事例

http://www.asahi.com/articles/ASH525J2JH52PTIL00H.html


ルータ自体の脆弱性も従来から数多く報告されている。

• 脆弱性情報対策データベース（JVN iPedia）でルータの脆弱性を検索すると283件の情報（2015年9月現在）。最近のものでは2015年8月31

日にも、ハードコートされたパスワードや、バッファオーバーフローの脆弱性など、複数の脆弱性を含む機器が報告されている。

11

■ 2015年8月DEF CONにおいて、サムソン電子社のスマート冷蔵庫「RF28HMELBSR」に脆弱性が発見される。

冷蔵庫のインターネット通信機能におけるSSL証明書の検証処理に不備があり、中間者攻撃（MITM）が可能。

冷蔵庫の扉の液晶パネルに搭載されたGmail Calendarの通信時、Googleサービスへのログイン情報が窃取される可能性。

輸液ポンプ例：（出展：http://www.wired.com/2015/04/drug-pumps-security-flaw-lets-hackers-raise-dose-limits/ ）

情報家電・医療機器のセキュリティ事例

■ 2015年4月セキュリティ研究者のBilly Rios氏がホスピーラ社の薬剤ライブラリや輸液ポンプの設定等を管理するサーバソフトの脆弱性を報告

薬剤投与の人為的ミスを防ぐため、投与する薬や投薬量の設定が可能なシステム

脆弱性を利用することで、インターネット越しにサーバ上の投与する薬や投薬量を改ざんする事が可能。

認証機能が無いため、サーバから更にポンプ等へ不正アクセスが可能


スマート冷蔵庫と液晶パネル：（出展：https://www.pentestpartners.com/blog/hacking-defcon-23s-iot-village-samsung-fridge/）

12

■ 2015年8月Black Hat及びDEF CONにおいて、クライスラー社のJeep Cherokeeの脆弱性を攻撃し、遠隔操作を成功させる。

Jeep Cherokeeに搭載されている車載機Uconnectに認証回避の脆弱性があり、悪意あるファームウェアに書き換えることが可能。

UconnectにはIPアドレスが割り振られており、遠隔から特定の車に対して通信が可能。

ファームウェアを改ざんした車に対して攻撃コードを送りこむことで、ブレーキ、ステアリング、エアコン等への干渉が可能。

影響がある140万台に対してリコール。修正ソフトはオーナ及び整備工場にUSBメモリで配られた。

自動車へのハッキングのセキュリティ事例


（写真引用：http://www.wired.com/2015/07/hackers-

remotely-kill-jeep-highway/ ）

■ 上記DEF CONでは、テスラモーターズ社のModel Sにおいて、6つの脆弱性も報告される。

遠隔操作ではなく、車載ネットワークに直接PCを繋ぐことで攻撃が可能となる脆弱性。

二つの脆弱性ではインフォテイメントのルート権限を奪取できるもの。

これらの脆弱性を利用することでエンジンスタートや扉の開閉等が可能。

テスラモーターズ社は自動アップデートで対応。

13

■ 2015年1月ロサンゼルスのダウンタウンで交通情報を表示する電光掲示板がハッキングされたと報道される。

掲示板の所有者のTraffic Management

Incorporated社によれば、手口は不明だが、装置のある場所に侵入して書き換えたか、Wi-

Fiが使えるタイプなのでリモートから書き換えられた可能性もあり

交通システム（電光掲示板）のセキュリティ事例

■ 2009年1月にも米国の複数の州の電光掲示板が同様に攻撃されている。

パスワードがデフォルトのままであったり、本来はロックしておかなければいけない機能がロックされていないなど、セキュリティ的にみて脆弱な状態にあったことから、いたずらに利用された。

Source: LA WEEKLYhttp://www.laweekly.com/news/read-a-f-ing-book-street-sign-was-likely-a-hack-photos-5332229

Source: Los Angels Timeshttp://latimesblogs.latimes.com/lanow/2009/12/engineers-who-hacked-in-la-traffic-signal-computers-jamming-traffic-sentenced.html

写真：The Telegraph

http://www.telegraph.co.uk/


セキュリティ検討・対策の一例～IPAの提供するセキュリティ検討手法

と対策コンテンツ～


各業界においてもIoTは様々な用途・手法で利用される。最初にその利用形態とリスクについて整理する必要がある。

利用者や利用シーン等の整理(1/2)

～IPAにおける医療機器の分類例～


ペースメーカー、人工心臓弁、インスリンポンプ

人工呼吸器、除細動電極、輸液ポンプ、麻酔システム、透析器

医療情報システム

医療事務や診療を支援するシステムや、患者情報を扱うも端末やネットワーク

オーダリングシステム、医事会計システム、

電子カルテ

エアロバイク等、活動量計、睡眠計

体組成計

ヘルスケア機器

MRI、電子内視鏡、超音波診断装置、

X線フィルム、聴診器

電子体温計、電気治療器、

携帯型電子式血圧計

医療従事者による利用

一般利用者による利用

使用することにより健康の増進や体型の維持向上が期待できるとされている器具

高度管理医療機器（クラスⅢ、Ⅳ）不具合が生じた場合、人体への影響が大きい機器

一般医療機器（クラスⅠ）/管理医療機器（クラスⅡ）

不具合が生じた場合でも、人体への影響が軽微な機器

医療機器（薬事法の対象）

Ａ群

Ｄ群

Ｂ群Ｃ群

A群（医療機関で取り扱われる専門機器）• 機器一台が高額，かつ細やかな設定がなされている。

• 病院内での利用に限られ，基本的には安全な環境で利用される。

• 不具合が発生した場合，人体への影響は大きい。

B群（医療機関の判断で利用される専門機器）• 一般利用者（患者）が利用するが，設定等は主に病院が行う。

• センサ機能だけでは無く，医療行為を行う機能がついている。

• 病院外での利用に対応しており，短距離無線機能を持つものも多い。

C群（健康促進・体調管理を目的として利用される機器）• 一般利用者が家電量販店等で購入することが可能。

• 主にセンサ及び情報集積機能のみであり，医療行為は行わない。

• データの信頼性は（現状のところでは）強く求められていない。

D群（医療行為のサポートを行うシステム）• 医療行為に大きな影響は無いが，多くの機微情報を含む。

• オープンソースのシステムもあるなど，一般的な情報システムに酷似16Copyright © 2015 独立行政法人情報処理推進機構

利用者や利用シーン等の整理(2/2)

～IPAにおける医療機器の分類例～

適切な脅威分析・対策検討の実施～IPAによる自動車セキュリティ分析例～

駆動系

テレマティクス

シャーシ系

診断・

保守

ITS

機能

A. B.

F. G.

E.安全快適機能

ボディ系C. D.

インフォテイメント

持ち込み機器

スマートフォンパソコンタブレットプレーヤメモリ/HDD

エコメータカスタムメータ

I.

H.

Bluetooth

無線LAN

USBポートSDスロット

OBD-II

設定不良、ユーザ情報漏えい、盗聴、

DoS攻撃

蓄積情報漏えい、不正設定、ウイルス感染、盗聴、不正アクセス等

ウイルス感染、蓄積情報漏えい、不正利用、不正設定、盗聴、不正アクセス等

設定不良、情報漏えい、不正アクセス等

設定不良、蓄積情報漏えい、DoS攻撃等

不正利用

(設定不良、蓄積情報漏えい、不正利用、不正設定、ウイルス感染、盗聴)

不正利用、不正設定、盗聴等

ウイルス感染、設定不良、操作ミス、不正利用、不正設定、盗聴、不正アクセス

等

不正利用、不正設定、盗聴等

外部から、情報の入出力が出来るポートを持つ機能についてはPCと同様の脅威がある。一方で、制御系を外部から直接攻撃する手段に関しては、現状では見つからない。

海外の研究発表の事例にもあるように、自動車制御に直接攻撃を仕掛けるのではなく、脆弱なシステムを踏み台にして、自動車制御に影響を与える危険性がある。


ライフサイクルを通したセキュリティへの取組み～組織としてのセキュリティ対策～

マネジメント（セキュリティ関連商品でなくても、メーカとして常に行うべき事柄）

セキュリティルールの策定、セキュリティ教育の実施、セキュリティ情報の収集と展開

企画（ライフサイクル全体の計画を行うフェーズ）

セキュリティに配慮した要件定義の策定、セキュリティ関連予算の確保、開発外部委託におけるセキュリティへの配慮、新技術に関連する脅威への対応

開発（システムの開発を行うフェーズ）

設計、実装時のセキュリティ対策、セキュリティ評価・デバッグ、利用者等への情報提供用コンテンツ等の準備

運用（組込みシステムがユーザの手に渡った後、製品として利用されるフェーズ）

セキュリティ上の問題への対処、利用者や自動車関係者への情報提供、脆弱性関連情報の活用

廃棄（買い替え、故障などで組込みシステムが廃棄、リサイクルされるフェーズ）

廃棄方法の策定と周知

これらの紹介パネル・資料は当ブースにあります。


脆弱性情報データベース JVN iPediaURL：http://jvndb.jvn.jp/国内外の脆弱性対策情報を収集したディクショナリデータベース

IPAが運営するサイト国内ベンダーと連携をし、脆弱性対策情報を公開

海外の脆弱性DB（NVD）の情報を日本語翻訳して公開

約54,700件の脆弱性対策情報を登録

情報システムにおけるセキュリティ対策の有効利用（1/3）

Copyright © 2015 独立行政法人情報処理推進機構 19

セキュリティ上の弱点（脆弱性）を作りこまないための教育• 学習によって脆弱性に対する理解を深める

• サンプルアプリで実際に手を動かして脆弱性を知る

• 「よくある脆弱性」に対するチェックを行う


Androidアプリの脆弱性体験学習ツールAnCole

ウェブアプリの脆弱性体験学習ツールAppGoat

学習の流れ学習テーマ選択後の流れ

脆弱性原理解説

演習影響解説対策方法解説

脆弱性修正

解答・修正例確認


ファジング（英名：Fuzzing）の利用

• 何万種類もの問題を起こしそうなデータ（例：極端に長い文字列）を送り込み、対象製品の動作状態（例：製品が異常終了する）から脆弱性を発見する技術

ファジングツール(*1)

（Fuzzing tool）

例えば、「Codenomicon」「Raven」「Peach」など。対象機器(*2)

(*1): ファジングツールは、商用製品だけではなく、オープンソースソフトウェア、フリーソフトウェアも存在します。(*2): この図では組込み機器を示していますが、ソフトウェア製品でも同様です。

検査データ(1番目)

応答あり


応答あり

・・・

・・・


何万種類の検査データを送信

応答なし

【イメージ図】


IPAが実施したファジングでは、ルータの脆弱性を発見。他の組込み機器に対しても調査中。IPAではこの調査結果や、ファジングの利用ガイド等も随時公開。


まとめ～IoTセキュリティのこれから～


総合的＆継続的なセキュリティ対策を

サービス提供社

開発関連組織

利用者

樽の理論何本もの樽材で組み合わせ、タガを締めた樽には、一番短い樽材の位置までしか水は入らない。それより長い樽材をどれほど高級なものにしたとしても、この結果は変わらない。

効果的なセキュリティ対策を実施するためには、組込み機器の開発関連組織のみならず、それに関わる組織・人の連携が必要

セキュアなIoT関連機器

The amount of water that a bucket can contain is determined by the height of the lowest board.In the same way, the security level of a system is only as strong as its weakest point.

Attackers target the weakest point in their attacks.

セキュリティレベル

利用者

サービス

提供社

IoT関連組織

攻撃者はサービス・システム全体を分析した上で、一番弱点となっている所を狙う。

場合によってはそれを踏み台としてさらに内部に攻撃を

しかける事も。


事業実施者

最後に：安全でセキュアな社会に向けて

事故誤操作攻撃

& SecuritySafety


Windows Server 2003のサポートが2015年7月15日に終了しました。

サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が成功する可能性が高まります。

周辺ソフトウェアもサポートが順次終了していくため、あわせて対策が必要です。

サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの影響調査や改修等について迅速な対応をお願いします。

25

会社の事業に悪影響を及ぼす被害を受ける可能性があります

IPA win2003 検索詳しくは

なおWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします

脆弱性が未解決なサーバ

脆弱性を悪用した攻撃

ホームページの改ざん

重要な情報の漏えい

他のシステムへの攻撃に悪用

業務システム・サービスの停止・破壊

データ消去

Windows Server 2003のサポート終了に伴う注意喚起


「ｉパス」は、ITを利活用するすべての社会人・学生が備えておくべきITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター上峰亜衣（うえみねあい）

【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html


ご清聴ありがとうございました！

本成果はIPAのWebサイトでダウンロードする事ができます。https://www.ipa.go.jp/security/index.html

Contact：

IPA（独立行政法人情報処理推進機構）

技術本部セキュリティセンター

情報セキュリティ技術ラボラトリー

ＴＥＬ０３（５９７８）７５２７

ＦＡＸ０３（５９７８）７５１８

電子メール [email protected]


iotにおけるセキュリティの脅威と対策 - ipa ·...

Documents