Seminar Event
IoTハッキング・セキュリティトレーニング
1/23~25の日程で、初級~中級者を対象とした、IoTデバイスに対するハンズオン中心の有償セキュリティトレーニングを実施しました。講師には100を超えるIoTデバイスの調査・テスト実績を持つAttify社のAditya Gupta氏をお迎えし、IoTデバイスに対するハッキング方法やセキュリティを破るアプローチをご紹介しました。
セミナー概要
日時 |
2019年1月23日(水)~25日(金)9:30~18:00 |
会場 |
株式会社ベリサーブ 15F セミナールーム |
対象 |
IoTデバイス・IoTシステムのセキュリティについて学びたいとお考えの方 |
主催 |
株式会社ベリサーブ |
内容 |
主な講座内容
- 1日目
-
- IoTセキュリティアーキテクチャの内部概念
- 既知のIoTデバイスの脆弱性およびケーススタディ
- IoTデバイスのファームウェアを取得して、リバースエンジニアリング
- セキュリティ上の問題を発見し、実際に悪用できることを確認
- ARMやMIPSアーキテクチャのエクスプロイト
- ファームウェアの抽出とデバッグ
- ファームウェアのエミュレーションなどの概念
- 2日目
-
- 実際のIoTデバイスを分解して、回路基盤の持つコンポーネントを理解
- その知識をもとにデバイスのルートを取得
- UARTのエクスプロイト
- JTAGのデバッグ
- デバイスからフラッシュチップの内容をダンプする
利用するツールや配布資料と共にこれらのノウハウを学習し、様々なIoTデバイスにも適用することができます。
- 3日目
-
デバイスをリモートから攻撃するために必要なノウハウを学びます。
- BLEを使用したデバイスを盗聴して攻撃
- 攻撃に利用するカスタムラジオを作成
ツールと演習を組み合わせることで、実際に攻撃者がIoTデバイスに侵入するために必要なことを学習します。
主な学習内容
- デバイスファームウェアの抽出と分析、バイナリのデバッグと逆アセンブル
- UART、SPI、JTAGの悪用、JTAGのデバッグとそれを用いたエクスプロイト
- ファームウェアのダンプ、ハードウェアとソフトウェアのデバッグ
- IoTデバイスのクラウドやモバイル機能への攻撃
- スニッフィング、リプレイ、MITM、無線通信による攻撃、BLEによるエクスプロイト
- ARMとMIPSのリバースエンジニアリング、従来型攻撃と非従来型攻撃の手法
- プラットフォームへの攻撃
|
逐次通訳を交えて座学講義の後、トレーニングキットを使ってIoTデバイスの分解に挑戦。
Attify社とベリサーブのスタッフも適宜サポートしながら、実際に攻撃者がIoTデバイスに侵入する手法などを学んでいただきました。
参加者の声(一部抜粋)
- キットやスクリプトの選定が良かった。講義進捗もちょうどよかった。
- 全体的に復習したい。
- セミナー終了後にもトレーニング項目が豊富にある点がよかった。