Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Windows 10 IoT Coreの脅威分析と実施すべきセキュリティ対策 by 和栗直英 - CODE BLUE 2015

2,085 views

Published on

IoT 向けプラットフォームとしてWindows 10 IoT が登場した。その中で最も軽量なWindows 10 IoT Core は無償で利用可能で Raspberry Pi を始めとするシングルボードコンピューターでも動作するほど軽量化されたWindowsである。IoT デバイスのプラットフォームとして、これまではLinuxベースのものが注目されていたが選択肢が1つ増えたと言える。
我々は、IoT時代のプラットフォームとしてWindows 10 IoT Core が安心して使えるかどうか見極めるためにそのセキュリティを詳しく調査した。
OSの提供するセキュリティ機能や仕様とデフォルトで動作しているWeb、FTP、SSHなどのサービスを調査し、ネットワーク経由での侵入やマルウェア感染のリスクについて分析を行った。
調査の結果、最新のPC向けWindowsと同様にメモリ破壊による脆弱性攻撃への対策としてDEP、ASLR、CFGが有効であり、それらが省略されていないことが確認できた。
一方で、いくつかのサービスやコンポーネントのデフォルト設定、仕様がセキュリティ的に適切でないことが判明した。
具体的にはWindows Updateが利用不可、デフォルト設定にてWindows Firewall が無効、WebインターフェイスがHTTPで提供され、認証がBasic認証である。
さらに、我々はリモートデバッグサービスの仕様に問題があり、その問題による脅威としてシステムに任意のユーザーアカウントを追加し、WebインターフェイスやSSHで侵入される可能性があることを発見した。そのため、この問題はワーム型のマルウェアに悪用される恐れがある。
最後に、実施すべきセキュリティ対策として、不要なサービスの停止、設定変更やファイアウォールの有効化、WebインターフェイスのHTTPS化などを紹介する。

Published in: Devices & Hardware
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Windows 10 IoT Coreの脅威分析と実施すべきセキュリティ対策 by 和栗直英 - CODE BLUE 2015

  1. 1. FFRI,Inc. 1 Windows 10 IoT Coreの脅威分析と 実施すべきセキュリティ対策 株式会社FFRI 和栗 直英 waguri@ffri.jp October 29, 2015 CODE BLUE 2015
  2. 2. FFRI,Inc. 自己紹介 • 元ネットワークエンジニアでマルチレイヤスイッチの品質評価やフ ァームウェア開発(2007年くらいに IXIA を使った自動化やリグレ ッションテストの必要性を布教) • 2013年に FFRI に入社し、 Type1 VMM を利用したドライバ保護シ ステム開発や組み込み機器の検査、0-day 対策システムのプロトタ イプを開発 • 2015年より現職で主に自動車セキュリティの研究を担当 2
  3. 3. FFRI,Inc. アジェンダ 3 • Windows 10 IoT Core 概要 • Windows 10 IoT Core の標準的なセキュリティ機能 • アタックベクタ調査 & 脅威分析 • Windows 10 IoT Core で行うべきセキュリティ対策 • まとめ
  4. 4. FFRI,Inc. Windows 10 IoT Core 概要 4
  5. 5. FFRI,Inc. Embedded から IoT へ • Windows Embedded シリーズは、 Windows 10 の発 売に併せて Windows IoT シリーズに一新された • Windows 10 IoT Core はセンサーなどの小型デバイス をターゲットにしたシリーズ中最小構成のWindows 5 http://az648995.vo.msecnd.net/win/2015/03/IoT-1.png
  6. 6. FFRI,Inc. Windows OSはSBCも対象に • Windows 10 IoT Core は安価で人気のある Raspberry Pi 2 や Intel のMinnowBoard MAX のようなSBC(シングルボードコンピュータ)上で 利用することができる(無償) 6 $40~ (約4,000円~) $99~ (約10,000円~) $0 (無料!)
  7. 7. FFRI,Inc. Windows 10 IoT Core の標準的な セキュリティ機能 7
  8. 8. FFRI,Inc. Windows 10 IoT Coreとデスクトップ版の違い 8 DEP ASLR Control Flow Guard ※ビルド時に指定が必要 Windows Firewall ※カスタマイズ前提 Windows Update Windows Defender User Account Control Windows 10 IoT Core でもサポート Windows 10 IoT Core では未サポート
  9. 9. FFRI,Inc. Windows Updateが未サポート・・・。 既にリリースから2ヶ月経過しているが問題は ないのか調査してみた。 9
  10. 10. FFRI,Inc. マイクロソフトのセキュリティ情報(8~9月) • Windows 10 が対象となるセキュリティ情報 ID – Windows 10 Systems • MS15-080, MS15-085, MS15-088, MS15-091, MS15-097, MS15-098, MS15-102, MS15-105 – Microsoft .NET Framework • MS15-080(3.5), MS15-092(4.6), MS15-101(3.5/4.6) – Internet Explorer 11/Microsoft Edge • MS15-079, MS15-091, MS15-093, MS15-094, MS15-095 10 Windows 10 IoT Core に InternetExplorer と Edge は 含まれないので除外
  11. 11. FFRI,Inc. マイクロソフトのセキュリティ情報(8~9月) • Windows 10 が対象となるセキュリティ情報 ID – Windows 10 Systems • MS15-080, MS15-085, MS15-088, MS15-091, MS15-097, MS15-098, MS15-102, MS15-105 – Microsoft .NET Framework • MS15-080(3.5), MS15-092(4.6), MS15-101(3.5/4.6) – Internet Explorer 11/Microsoft Edge • MS15-079, MS15-091, MS15-093, MS15-094, MS15-095 11 Windows 10 IoT Coreでは .NET Framework のサブセットである CoreCLR が使用されているため、 直接的に影響はしないので除外
  12. 12. FFRI,Inc. マイクロソフトのセキュリティ情報(8~9月) • Windows 10 が対象となるセキュリティ情報 ID – Windows 10 Systems • MS15-080, MS15-085, MS15-088, MS15-091, MS15-097, MS15-098, MS15-102, MS15-105 – Microsoft .NET Framework • MS15-080(3.5), MS15-092(4.6), MS15-101(3.5/4.6) – Internet Explorer 11/Microsoft Edge • MS15-079, MS15-091, MS15-093, MS15-094, MS15-095 12 MS15-102(タスク管理の脆弱性による権限 昇格)のように Windows 10 IoT Core でも 共通する可能性のあるパッチもあるが、アー キテクチャの違いなどから、確実に再現する とは言えない
  13. 13. FFRI,Inc. アタックベクタ調査 & 脅威分析 13
  14. 14. FFRI,Inc. ネットワークサービスの調査 • 今回はリモートからの攻撃可能性について調査をしてみた。 • ポートスキャンを使用して、TCP/UDPポートを調査した結果、いく つかのポートがデフォルトでオープンしていた。 • オープンしたポートの中でも、今回はもっとも攻撃対象になりやす いと考えられる FTP と リモートデバッグサービスに注目した。 14
  15. 15. FFRI,Inc. ネットワークサービスの調査(cont.) • デフォルトでオープンしていたポートと、該当ポートを使用してい る実行ファイルのコマンドラインは以下の通り。 15 ポートNo. Nmapの判定 コマンドライン 21.tcp ftp ftpd.exe 22.tcp ssh C:windowsSystem32svchost.exe -k SshSvcGroup 135.tcp msrcp C:windowssystem32svchost.exe -k RPCSS 445.tcp microsoft-ds? System 4020.tcp trap? C:RDBGmsvsmon.exe /CHILDSERVER 188 "+:4020" {5D8A1EE3-3C96-4562- AD8A-8E4740A26577} 0x3 148 140 13c 144 /silent- /servicemode- 5985.tcp wsman? System 8080.tcp http-proxy System 9955.tcp 9955.udp unknown C:windowssystem32svchost.exe -k LocalService 47001.tcp unknown System
  16. 16. FFRI,Inc. ネットワークサービスの調査(cont.) • 今回注目したサービスは以下の用途での利用を目的としている。 16 ポートNo. Nmapの判定 コマンドライン 21.tcp ftp ftpd.exe 22.tcp ssh C:windowsSystem32svchost.exe -k SshSvcGroup 135.tcp msrcp C:windowssystem32svchost.exe -k RPCSS 445.tcp microsoft-ds? System 4020.tcp trap? C:RDBGmsvsmon.exe /CHILDSERVER 188 "+:4020" {5D8A1EE3-3C96-4562- AD8A-8E4740A26577} 0x3 148 140 13c 144 /silent- /servicemode- 5985.tcp wsman? System 8080.tcp http-proxy System 9955.tcp 9955.udp unknown C:windowssystem32svchost.exe -k LocalService 47001.tcp unknown System MSの公式ページでは、スタートアップファイルの編 集にFTPを使用して解説している Nmapでは trap の可能性を示唆しているが、実際に は Visual Studio 2015 上でのリモートデバッグに 使用される。タスクスケジューラに登録されていて、 一定時間後に自動的に終了する
  17. 17. FFRI,Inc. ・・・FTPは認証不要? • Nmapの実行結果を見ると、デフォルトで動作している FTP サービ スは匿名でのログインが可能であることが分かる。 • バナー出力も、従来の Windows が提供しているものとは異なるた め、バイナリを調べてみた。 17 Scanned at 2015-09-26 00:14:16 ???? (?W???) for 83s PORT STATE SERVICE REASON VERSION 21/tcp open ftp syn-ack ttl 128 | ftp-anon: Anonymous FTP login allowed (FTP code 230) | d--------- 1 user group 0 Jul 10 13:13 CrashDump | d--------- 1 user group 0 Jul 10 13:13 Data | d--------- 1 user group 0 Jul 10 13:13 EFI
  18. 18. FFRI,Inc. ・・・FTPは本当の意味で認証不要だった • ftpd.exe を調査した結果、そもそも認証ロジックがない! 18
  19. 19. FFRI,Inc. FTPサービスまとめ • Windows 10 IoT Core の FTP サービスは認証機能を持たない – そもそも無いので後から認証させることも出来ない • デフォルトではスタートアップファイルに記述されているため、デ バイス起動時に FTP サービスも必ず起動する • デフォルトのルートディレクトリは“C:”に設定されている – リモートデバッグ関連のファイル群が格納されている ”C:RDBG”や”C:WindowsSystem32”以下の一部のファ イルを上書き可能 19
  20. 20. FFRI,Inc. ・・・リモートデバッグ“も”認証不要? • FTP 同様に VS2015 から利用することの出来るリモートデバッグ機 能も、デフォルトでは認証不要 • リモートデバッグに関する設定は、FTP 同様にスタートアップファ イルに記述されていて、その中でセキュリティに対する設定が意図 的に無効化されている 20 schtasks /create /f /tn "StartMsvsmon" /tr "%SystemDrive%RDBGmsvsmon.exe /nowowwarn /noauth /anyuser /nosecuritywarn /timeout:36000" /ru DefaultAccount /sc onstart >nul 2>&1
  21. 21. FFRI,Inc. Web UI • Windows 10 IoT Core は一般的な IoT 機器に搭載されているよう なWeb UI を標準で備えている • FTP やリモートデバッグとは異なり、アクセスは Basic認証を経て 行われるが、デフォルトでは HTTP による通信 • REST API による一部操作も可能 – ドキュメントは /RestDocumentation.htm を参照 • Web UIではアプリのデプロイや、デバイスの一部設定が可能だが、 今回推奨するようなセキュリティに関連する設定は一切出来ない 21
  22. 22. FFRI,Inc. 攻撃シナリオの調査 • Windows 10 IoT Core で考えられる脅威を、機密性(C)、完全 性(I)、可用性(A)の3要素に基づいて検討してみた • 加えて、これらの脅威を悪用するマルウェアについても考えてみた • 最後に、必要な対策を検討する為に各脅威の関連性を示すダイアグ ラムを作成 22
  23. 23. FFRI,Inc. 機密性(C)に対する脅威 • Sniffing/Password cracking(or Steal) – Web UI はデフォルトで HTTP 通信 + Basic 認証を使用する ため、通信を盗聴された場合パスワードが盗まれる可能性がある – 以前から問題視されているホームルーターに対する攻撃同様に、 HTTP や SSH などのサービスに対するパスワードクラッキング が試行される可能性がある • Unauthorized access/Spoofing – セットアップ時にアカウント設定ウィザードなどが無い為、ビル トインアカウントがデフォルトパスワードのまま運用される可能 性がある 23
  24. 24. FFRI,Inc. 完全性(I)に対する脅威 • Startup file tampering – デフォルト設定の FTP サービスを悪用することで、スタートアップ ファイルを書き換えることが可能 – スタートアップファイルはバッチファイルとして実行されるため、 ”net use”コマンドで任意のユーザーが追加される可能性がある。 24
  25. 25. FFRI,Inc. 可用性(A)に対する脅威 • DoS Attack – パスワードクラッキングの試行や、連続的な REST API の実行 は結果としてサービス妨害を誘発する可能性がある • I/O surveillance – 不正アクセスやなりすましは、結果としてデバイスに接続されて いるカメラモジュールの悪用(盗撮など)やセンサーの不正操作 を誘発する可能性がある 25
  26. 26. FFRI,Inc. 脅威の相関関係 26 機密性(C) 完全性(I) 可用性(A) Unauthorized access/Spoofing Sniffing/Password Cracking Startup file tampering I/O surveillance DoS attack HTTP通信の盗聴による認証情報の窃取 ユーザ追加コマンド追記による任意のユーザ追加 任意のコマンドやプログラム実行に伴う 外部モジュールなどの乗っ取り 連続的なコマンド実行やREST API呼び出し、 悪意のあるプログラム等に伴うサービス妨害
  27. 27. FFRI,Inc. これらの脅威はマルウェアによって 悪用される可能性大 • デフォルトのシステム構成における脅威が、ホームルーターなどの 組み込み機器とだいたい同じである – デフォルトのアカウントで運用される可能性 – Web UI への暗号化されないアクセス – 認証の無い FTP やリモートデバッグサービス • そのため、侵入と感染を繰り返すワーム型マルウェアの標的になる 可能性が非常に高い 27 ホームルーター同様にデ フォルトアカウントに対 する辞書攻撃やブルート フォースによるパスワー ドクラック FTP サービスやSSH、リ モートデバッグ機能を悪 用したコマンド実行や実 行ファイルのデプロイ 又は 任意のユーザ追加による バックドアの作成 ポートスキャンや ICMP による ネットワーク上の デバイス探索
  28. 28. FFRI,Inc. Windows 10 IoT Core で 行うべきセキュリティ対策 28
  29. 29. FFRI,Inc. 脅威の相関関係 29 機密性(C) 完全性(I) 可用性(A) Unauthorized access/Spoofing Sniffing/Password Cracking Startup file tampering I/O surveillance DoS attack HTTP通信の盗聴による認証情報の窃取 ユーザ追加コマンド追記による任意のユーザ追加 任意のコマンドやプログラム実行に伴う 外部モジュールなどの乗っ取り 連続的なコマンド実行やREST API呼び出し、 悪意のあるプログラム等に伴うサービス妨害 この領域について対策すること で最低限のセキュリティを担保 することができる
  30. 30. FFRI,Inc. インストール後に最初にやるべきこと • パスワードを変更する – 不正アクセスやなりすまし対策として、インストール後は必ず SSH もしくは PowerShell 経由でビルトインアカウントのパス ワードを変更する – 設定するパスワードはパスワードクラック対策として複雑なもの を使用する 30 Unauthorized access/Spoofing 対策 Sniffing/Password Cracking 対策 net user [username] [password] ユーザーを追加する場合は: net user [username] [password] /add
  31. 31. FFRI,Inc. インストール後に最初にやるべきこと(cont.) • HTTPS 通信の有効化 – 盗聴による認証情報の窃取対策として、Web UI への HTTPS 接 続設定を行う – 設定はレジストリの変更によって行うため、サービスもしくはデ バイスの再起動が必要になる 31 Reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionIoTWebB /v UseHttps /t REG_DWORD /d 1 /f Reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionIoTWebB /v HttpsPort /t REG_DWORD /d <your port number> /f Sniffing/Password Cracking 対策
  32. 32. FFRI,Inc. スタートアップファイルの編集 • FTP を起動させない or ルートディレクトリの変更をする – IoTStartupOnBoot.cmd やその他の重要なファイル改ざん対策 として、認証が不要な FTP サービスの起動設定をスタートアッ プファイルから削除するか、ルートディレクトリを変更する 32 start ftpd.exe [PATH_TO_DIRECTORY] >nul 2>&1 に変更 Startup file tampering 対策
  33. 33. FFRI,Inc. スタートアップファイルの編集(cont.) • リモートデバッグ時の認証を有効にする – リモートデバッグによって 不正なプログラムを実行されてしまうのを防ぐ 33 I/O surveillance 対策 DoS attack 対策 Startup file tampering 対策 %SystemDrive%RDBGmsvsmon.exe /timeout:36000" /ru DefaultAccount /sc onstart >nul 2>&1に変更
  34. 34. FFRI,Inc. Windows Firewall のルール設定 • Windows Firewall のカスタマイズ – Inbound/Outbound 設定などの 細かい通信許可/拒否設定が可能 – スタートアップファイルに記述することも出来る – 例として以下に SSH 通信をブロックする簡易的な例を示す 34 マルウェアによる探索 対策 DoS attack 対策 Unauthorized access/Spoofing 対策 Firewallの設定状態確認: netsh advfirewall firewall show currentprofile SSH(22)の通信をブロック: netsh advfirewall firewall add rule name=[RULE_NAME] protocol=TCP localport=22 action=block 設定を確認: Netsh advfirewall firewall show rule name=[RULE_NAME]
  35. 35. FFRI,Inc. まとめ 35
  36. 36. FFRI,Inc. IoT向けのプラットフォームとして期待できると同時に、 デスクトップ版のWindowsと同等に考えてはいけない • デスクトップ版の Windows とは異なり、セキュリティ面でもユー ザーがカスタマイズすることが前提となっているため、デフォルト 設定のままインターネットにつなぐのは非常に危険 • 今回紹介した対策を最低限行うことが推奨されるが、設定が正直若 干面倒くさい(特に Windows Firewall)上に情報量も Raspbian などの既存 OS にくらべ少ない • 現在は、 Windows Update によるセキュリティパッチが自動的に 適用されないため、将来的に既知の脆弱性が残ったままのデバイス が多く存在することになるかもしれない 36
  37. 37. FFRI,Inc. 最低限のセキュリティはプラットフォーム側 で担保すべきでは? • FTP や リモートデバッグはデフォルトで認証を有効にしておくべき で、認証の要否はユーザの設定によって選択できるようにするべき • Raspberry Pi 2 はホビー用途で所有しているユーザも多く、すべて のユーザが認証不要で利用できる FTP やリモートデバッグサービス のリスクを理解しているとは限らない • 組み込み用途である Embedded の系譜を継ぐ IoT シリーズである であるとはいえ、Windows の名を関していることと、無償での提供 よって多くのユーザに利用されることを期待するのであれば、最低 限のセキュリティの担保は必要だと我々は考えている 37
  38. 38. FFRI,Inc. ありがとうございました。 FFRI Inc. http://www.ffri.jp waguri@ffri.jp

×