Technical Information

IoTハッキング・セキュリティトレーニング開催レポート

asset_approach_column_advanced-security02_hero.jpg

ベリサーブでは、2020年2月19日(水)から21日(金)までの3日間、IoT(Internet of Things)デバイスに対するハッキング方法やセキュリティを破るアプローチに関するトレーニングを行いました(2019年に続き2回目)。
逐次通訳を交えての座学講義の後、ベリサーブのスタッフが、適宜サポートしながら、トレーニングキットを使い、実際に攻撃者がIoTデバイスに侵入する手法などを学びます。IoTデバイス・IoTシステムのセキュリティを学びたい方を対象としています。前提知識は、一般的なOS、コンピューター・アーキテクチャー、ネットワーキングに関わる基本的な知識をお持ちの方であればどなたでも参加できます。

IoTを囲む状況

IoT機器は、テレビ、冷蔵庫、エアコン、時計、自動車、フィットネス機器、産業用機械など、さまざまなモノに使われています。毎月のように新しいスマートデバイスが登場していることはもちろん、これまでアナログだった機器もどんどんデジタル化し、インターネットに接続することでデータ連携をしています。

2020年には、ネットワークに接続するIoT機器が530億個に増加すると予測されており、ネットワークを経由したIoT機器へのサイバー攻撃の脅威が増大することが懸念されています。※1
しかし、急速に普及が進んだこともあり、利用者や開発者のセキュリティへの意識は低い状況です。

※1:IoTセキュリティガイドライン(METI/経済産業省) https://www.soumu.go.jp/main_content/000428393.pdf

IoTセキュリティが必要な理由

セキュリティを重要視するのは、いくつかの理由があります。
例えば、IoT機器は、ひとたび攻撃を受けると、機器単体にとどまらずネットワークを介して関連するIoTシステム、IoTサービス全体に影響を及ぼす可能性が出てきます。特に、自動車や医療機器に攻撃の影響が及んだ場合、利用者が生命の危機にさらされる場面も想定されます。
カメラなどを通じて、プライバシーが侵害される危険性もあります。

また、IoT機器には10年以上にわたって使用されるものも多く、システム構築・ネットワーク接続時に適用したセキュリティ対策が時間の経過とともに時代遅れとなり、セキュリティ対策が不十分になった機器がネットワークに接続され続けることになります。そしてそれらの多くの危機へのパッチ適用も困難です。

実際に、上記の懸念の通り、IoTデバイスへの攻撃件数は、増加し続けています。
2019年の前半は、1億件を超える攻撃が検出されているというレポートもあります(2018年同期のほぼ9倍)。※2
特に有名な事例では、2016年10月、DNSサービスプロバイダ「Dyn」が、DDoS攻撃※3を受けるという事件がありました。セキュリティ対策が不十分なIoT機器に感染した不正プログラム「Mirai」が、世界中で何十万台ものビデオレコーダーやネットワークカメラに感染。一斉に攻撃を始め、インターネットを支えるインフラストラクチャーの重要部分を機能停止させ、多くの大手サイトが利用不能となりました。

※2:Over 100 Million IoT Attacks Detected in 1H 2019 (Infosecurity Magazine),
 https://www.infosecurity-magazine.com/news/over-100-million-iot-attacks/
※3:DDoS攻撃(Distributed Denial of Servise Attack)は、トロイの木馬などのマルウェアを使って複数のマシンを乗っ取った上で、攻撃目標であるサイトやサーバーに対して大量のデータを送り付けることで行われる攻撃

IoTハッキング・セキュリティトレーニングの内容

このようなIoTの危険性を把握した上で、商品・サービスを考えることが必要になっています。
しかし、防御一辺倒の思考では不十分です。IoTデバイスには、さまざまな技術、アーキテクチャー、プロトコルがあり、攻撃手法も常に変化していることを考えると、最新の防御技術を知るだけではなく、侵入後の検知、対処、回復までの一連のプロセスを視野に入れたセキュリティ対策の実現が急務です。

今回のトレーニングでは、デモとハンズオンを通じて、いかに我々が攻撃を受ける側の常識が通じないか意識するとともに、セキュリティ担当者が企業の事業活動を守り抜くために、どのような考え方が必要なのか、考えるきっかけを作ります。

IoTセキュリティ研修講師

トレーニング講師:Aditya Gupta氏
100を超えるIoTデバイスの調査・テスト実績を持つ、Attify社のファウンダー

トレーニングの流れ

1日目 以下の実践を通して、ARMやMIPSアーキテクチャーのエクスプロイト、ファームウェアの抽出とデバッグ、ファームウェアのエミュレーションなどの概念を学びました。

  • IoTセキュリティアーキテクチャーの内部概念
  • 既知のIoTデバイスの脆弱性およびケーススタディ
  • IoTデバイスのファームウェアを取得して、リバースエンジニアリング
  • セキュリティ上の問題を発見し、実際に悪用される可能性の確認
  • 2日目 実際のIoTデバイスを分解して、回路基盤の持つコンポーネントを理解し、デバイスのルートを取得しました。

  • UARTのエクスプロイト
  • JTAGのデバッグ
  • デバイスからフラッシュチップの内容をダンプする

  • 利用するツールや配布資料と共にこれらのノウハウを学習し、さまざまなIoTデバイスにも適用することができます。
    3日目 デバイスをリモートから攻撃するために必要なノウハウを学びました。

  • BLEを使用したデバイスを盗聴して攻撃
  • 攻撃に利用するカスタムラジオを作成

  • ツールと演習を組み合わせることで、実際に攻撃者がIoTデバイスに侵入するために必要なことを学習しました。
    IoTセキュリティ研修の様子

    2019年のトレーニングの様子

    トレーニング後

    トレーニングが終わるころには、以下のようなことができるようになります。

    ・特定のIoTデバイスに関連するセキュリティリスクを理解する
    ・侵入テストを実行し、IoTデバイスの脆弱性を見つける
    ・ハードウェアやラジオなどのさまざまなテクノロジーを迅速に利用する
    ・IoTデバイスの評価に使用されるツールと手法に精通する
    ・IoTデバイスに対して、新しい悪用戦術とその対策を思いつくようになる

    トレーニングでは、IoT機器へのアプローチの考え方を重視しますので、コマンドが覚えられないということで焦る必要はありません。また、トレーニングで使用するキットはお持ち帰りいただけますので、トレーニング後も継続的に学習いただけます。

    おわりに

    本トレーニングは、企業のセキュリティ担当者だけでなく、商品を販売し、サービスを運用に関わる方にとって有意義なものとなっています。時期は未定ですが、今後も継続的にトレーニングを実施することがあると思いますので、ご興味がある方はお気軽にお問い合わせください。