Seminar Event

IoTハッキング・セキュリティトレーニング

1/23~25の日程で、初級~中級者を対象とした、IoTデバイスに対するハンズオン中心の有償セキュリティトレーニングを実施しました。講師には100を超えるIoTデバイスの調査・テスト実績を持つAttify社のAditya Gupta氏をお迎えし、IoTデバイスに対するハッキング方法やセキュリティを破るアプローチをご紹介しました。

セミナー時の写真1

セミナー概要

日時 2019年1月23日(水)~25日(金) 9:30~18:00
会場 株式会社ベリサーブ 15F セミナールーム
対象 IoTデバイス・IoTシステムのセキュリティについて学びたいとお考えの方
主催 株式会社ベリサーブ
内容

主な講座内容

1日目
  • IoTセキュリティアーキテクチャの内部概念
  • 既知のIoTデバイスの脆弱性およびケーススタディ
  • IoTデバイスのファームウェアを取得して、リバースエンジニアリング
  • セキュリティ上の問題を発見し、実際に悪用できることを確認
  • ARMやMIPSアーキテクチャのエクスプロイト
  • ファームウェアの抽出とデバッグ
  • ファームウェアのエミュレーションなどの概念
2日目
  • 実際のIoTデバイスを分解して、回路基盤の持つコンポーネントを理解
  • その知識をもとにデバイスのルートを取得
  • UARTのエクスプロイト
  • JTAGのデバッグ
  • デバイスからフラッシュチップの内容をダンプする

利用するツールや配布資料と共にこれらのノウハウを学習し、様々なIoTデバイスにも適用することができます。

3日目

デバイスをリモートから攻撃するために必要なノウハウを学びます。

  • BLEを使用したデバイスを盗聴して攻撃
  • 攻撃に利用するカスタムラジオを作成

ツールと演習を組み合わせることで、実際に攻撃者がIoTデバイスに侵入するために必要なことを学習します。

主な学習内容

  • デバイスファームウェアの抽出と分析、バイナリのデバッグと逆アセンブル
  • UART、SPI、JTAGの悪用、JTAGのデバッグとそれを用いたエクスプロイト
  • ファームウェアのダンプ、ハードウェアとソフトウェアのデバッグ
  • IoTデバイスのクラウドやモバイル機能への攻撃
  • スニッフィング、リプレイ、MITM、無線通信による攻撃、BLEによるエクスプロイト
  • ARMとMIPSのリバースエンジニアリング、従来型攻撃と非従来型攻撃の手法
  • プラットフォームへの攻撃

逐次通訳を交えて座学講義の後、トレーニングキットを使ってIoTデバイスの分解に挑戦。
Attify社とベリサーブのスタッフも適宜サポートしながら、実際に攻撃者がIoTデバイスに侵入する手法などを学んでいただきました。

セミナー時の写真2

参加者の声(一部抜粋)

  • キットやスクリプトの選定が良かった。講義進捗もちょうどよかった。
  • 全体的に復習したい。
  • セミナー終了後にもトレーニング項目が豊富にある点がよかった。