Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

「IoTのセキュリティを考える~OWASP IoT Top10~」

184 views

Published on

OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaにて
パナソニック株式会社 堀部 千壽さんに発表いただいた資料です

Published in: Technology
  • Be the first to comment

「IoTのセキュリティを考える~OWASP IoT Top10~」

  1. 1. IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ パナソニック株式会社 Panasonic PSIRT 堀部 千壽
  2. 2. 自己紹介… • パナソニック株式会社 製品セキュリティセンター 所属 • Panasonic-PSIRT 在籍 • ネットワーク家電のセキュリティ強化に従事 • 家電および組込み機器に対する脆弱性診断 • 家電向けサービスサーバに対する脆弱性診断 • 家電を含むネットワークシステムの机上リスク分析 • セキュリティ診断関連業務に10年間従事 堀部 千壽(Yukihisa Horibe) 2
  3. 3. IoTって何? • IoT : Internet of Things の略 • 今までネットワーク(≒インターネット)につながらなかったような物 がつながる – センサーなどの小型・小リソースデバイス – クラウドサービス・AI – スマートフォン(個人携帯端末) • 今までつながっていたものも継続してつながる • 2017年で推定84億台、2020年で推定204億台がつながる… それらサービスやデバイスが 相互接続・連携しあい新しい価値が生まれる 3
  4. 4. IoTっておいしいの? • 新たなサービス・価値 – 大量データ(ビッグデータ)の活用による、より綿密・繊細なサービス – AIを絡めた、今までにはないデータ活用方法 • 誰にでも利用可能なサービス – スケールメリットによる低価格・高品質化 • 国家的にも推進 – ドイツを筆頭としたEU – Google・Apple・Amazonを擁する米国 – 日本も国家成長戦略の一環としてIoTを推進 ユーザに対するメリットも多そう お金が儲かりそうなにおいも… 4
  5. 5. IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場 5
  6. 6. IoTって大丈夫なの… 専用検索エンジンによるIoTデバイス探索 • SHODAN、ZoomEye、Censys など • インターネットにつながっているデバイスを気軽に検索できる • 意図せずインターネットからアクセスできてしまっていると 思われるデバイスも多数確認できる… 6
  7. 7. IoTって大丈夫なの… ハッキング事例:Blu-Rayプレイヤー • defcon22(2014)にて公開 • Panasonic製の家庭向け Blu-Rayプレーヤーに脆弱性 (同じ発表枠で他にも20デバイスほど、組込み機器の脆弱性が報告された…) • リモコン入力部分に、リモコンで 攻撃コードを入力することで コマンドインジェクション可能 • 基板上のデバッグピンや ファームウェアの解析が中心 7
  8. 8. IoTって大丈夫なの… IoTむけマルウェア「Mirai」 • IoTデバイスを主要な感染ターゲットとする • デバイス上のTelnetに対しBruteForce攻撃を実施 – IoTデバイスでよく使われるデフォルトID/PWDを利用 • ログインに成功すると感染行動を開始する • MiraiによりBot化したIoTデバイスが Botnetを形成し、DDoS攻撃に加担 • ソースコードが公開された • 亜種も多数確認されている 8
  9. 9. IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場 9 現状、あまり大丈夫ではなさそう…
  10. 10. 救世主? OWASP IoT Top10! • OWASP : Webアプリケーション分野で 最も有名なセキュリティコミュニティ • IoTデバイスで特に留意すべき10の脆弱性を提示 ① Insecure Web Interface ② Insufficient Authentication/Authorization ③ Insecure Network Services ④ Lack of Transport Encryption ⑤ Privacy Concerns ⑥ Insecure Cloud Interface ⑦ Insecure Mobile Interface ⑧ Insufficient Security Configurability ⑨ Insecure Software/Firmware ⑩ Poor Physical Security 10
  11. 11. 留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4 通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 11
  12. 12. 留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4 通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 12 Webアプリにおける 視点とほぼ同じ
  13. 13. 留意すべき10の視点・観点(抜粋) 5:プライバシーの懸念 • 不必要な個人情報の収集 13
  14. 14. 留意すべき10の視点・観点(抜粋) 7:安全ではないモバイルインターフェース • アカウントが推測可能(連番で生成など) • アカウントのロックアウト機能なし • 認証情報がネットワークに露出する(BASIC認 証など) 14
  15. 15. 留意すべき10の視点・観点(抜粋) 8:不十分なセキュリティ機能の設定 • 権限設定の不備 • パスワード管理機能の不備 • 攻撃検知やログ出力情報の不備 15
  16. 16. 留意すべき10の視点・観点(抜粋) 9:安全ではないソフトウェア/ファームウェア • ファームウェアが平文で提供される • ファームウェアの改ざんチェックを行わない • ファームアップ機能がない 16
  17. 17. 留意すべき10の視点・観点(抜粋) 10:貧弱な物理セキュリティ • USBポートから内部にアクセス可能 • ストレージが取り外し可能 17
  18. 18. 留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4 通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 18
  19. 19. IoTのセキュリティ強化における課題(の一部) • デバイスのリリース後、セキュリティ対策を 後から入れ込むことは、けっこう難しい… – システムのロジックが大きく変わる変更は難しい • 後から認証機能やアクセス権限機能など、 システムの根幹にかかわる機能を追加すると、 開発リソースの増加と大量のバグや脆弱性を生み出す… – ファームウェアアップデートの問題 • アップデートを準備してもユーザ側が実施するか? • 自動アップデートの場合、理解が得られるか? (システムの可用性への影響を懸念、動作確認作業の増大) 19 要件定義や設計の上流工程の段階で セキュリティを仕様として入れ込むことが重要 そのためにOWASP IoT Top10の 普及、啓発が必要!
  20. 20. まとめ • IoTに関しても、もちろんセキュリティを考慮する 必要がある • OWASP IoT Top10にて、留意すべき10の視点が 整理、公開されている • 特にデバイスにおいては、設計段階でのセキュ リティの考慮が重要 – リリース後のセキュリティ対応が困難であることが多 いため 20

×