IoTハッキング・セキュリティトレーニング

2019.01.23-25

 1/23~25の日程で、初級~中級者を対象とした、IoTデバイスに対するハンズオン中心の有償セキュリティトレーニングを実施しました。講師には100を超えるIoTデバイスの調査・テスト実績を持つAttify社のAditya Gupta氏をお迎えし、IoTデバイスに対するハッキング方法やセキュリティを破るアプローチをご紹介しました。



セミナー時の写真1




セミナー概要

日時 2019年1月23日(水)~25日(金) 9:30~18:00
会場 株式会社ベリサーブ 15F セミナールーム
対象 IoTデバイス・IoTシステムのセキュリティについて学びたいとお考えの方
主催 株式会社ベリサーブ
内容 主な講座内容
1日目
  • ●IoTセキュリティアーキテクチャの内部概念
  • ●既知のIoTデバイスの脆弱性およびケーススタディ
  • ●IoTデバイスのファームウェアを取得して、リバースエンジニアリング
  • ●セキュリティ上の問題を発見し、実際に悪用できることを確認
  • ●ARMやMIPSアーキテクチャのエクスプロイト
  • ●ファームウェアの抽出とデバッグ
  • ●ファームウェアのエミュレーションなどの概念
2日目

  • ●実際のIoTデバイスを分解して、回路基盤の持つコンポーネントを理解
  • ●その知識をもとにデバイスのルートを取得
  • ●UARTのエクスプロイト
  • ●JTAGのデバッグ
  • ●デバイスからフラッシュチップの内容をダンプする
利用するツールや配布資料と共にこれらのノウハウを学習し、様々なIoTデバイスにも適用することができます。

3日目

デバイスをリモートから攻撃するために必要なノウハウを学びます。

  • ●BLEを使用したデバイスを盗聴して攻撃
  • ●攻撃に利用するカスタムラジオを作成
ツールと演習を組み合わせることで、実際に攻撃者がIoTデバイスに侵入するために必要なことを学習します。


主な学習内容
●デバイスファームウェアの抽出と分析、バイナリのデバッグと逆アセンブル
●UART、SPI、JTAGの悪用、JTAGのデバッグとそれを用いたエクスプロイト
●ファームウェアのダンプ、ハードウェアとソフトウェアのデバッグ
●IoTデバイスのクラウドやモバイル機能への攻撃
●スニッフィング、リプレイ、MITM、無線通信による攻撃、BLEによるエク
 スプロイト
●ARMとMIPSのリバースエンジニアリング、従来型攻撃と非従来型攻撃の
 手法
●プラットフォームへの攻撃




逐次通訳を交えて座学講義の後、トレーニングキットを使ってIoTデバイスの分解に挑戦。
Attify社とベリサーブのスタッフも適宜サポートしながら、実際に攻撃者がIoTデバイスに侵入する手法などを学んでいただきました。


セミナー時の写真2



参加者の声(一部抜粋)

  • ・キットやスクリプトの選定が良かった。講義進捗もちょうどよかった。
  • ・全体的に復習したい。
  • ・セミナー終了後にもトレーニング項目が豊富にある点がよかった。