10/25～27の日程で、初級～中級者を対象とした、IoTデバイスに対するハンズオン中心の有償セキュリティトレーニングを実施しました。

講師には100を超えるIoTデバイスの調査・テスト実績を持つAttify社のAditya Gupta氏を迎え、そのノウハウをもとにIoTデバイスに対するハッキング方法や、「スマートデバイス」のセキュリティを破る攻撃的なアプローチについてご紹介しました。

セミナー概要

日時	2023年10月25日（水）～27日（金）
会場	株式会社ベリサーブ　本社 セミナールーム
対象	IoTデバイス・IoTシステムのセキュリティについて学びたいとお考えの方
主催	株式会社ベリサーブ
主な講座内容	1日目 実践を通して、ARMやMIPSアーキテクチャのエクスプロイト、ファームウェアの抽出とデバッグ、ファームウェアのエミュレーションなどの概念を学ぶ。 IoTセキュリティアーキテクチャの内部概念 既知のIoTデバイスの脆弱性およびケーススタディ IoTデバイスのファームウェアを取得して、リバースエンジニアリング セキュリティ上の問題を発見し、実際に悪用される可能性の認識 2日目 実際のIoTデバイスを分解して、回路基盤の持つコンポーネントを理解し、デバイスのルートを取得。 UARTのエクスプロイト JTAGのデバッグ デバイスからフラッシュチップの内容をダンプする 利用するツールや配布資料と共にこれらのノウハウを学習。 さまざまなIoTデバイスにも適用が可能です。 3日目 デバイスをリモートから攻撃するために必要なノウハウを学ぶ。 BLEを使用したデバイスを盗聴して攻撃 攻撃に利用するカスタムラジオを作成 ツールと演習を組み合わせることで、実際に攻撃者がIoTデバイスに侵入するために必要なことを学習。 主な学習内容 デバイスファームウェアの抽出と分析、バイナリのデバッグと逆アセンブル UART、SPI、JTAGの悪用、JTAGのデバッグとそれを用いたエクスプロイト ファームウェアのダンプ、ハードウェアとソフトウェアのデバッグ IoTデバイスのクラウドやモバイル機能への攻撃 スニッフィング、リプレイ、MITM、無線通信による攻撃、BLEによるエクスプロイト ARMとMIPSのリバースエンジニアリング、従来型攻撃と非従来型攻撃の手法 プラットフォームへの攻撃

逐次通訳を交えて座学講義の後、トレーニングキットを使ってIoTデバイスの分解に挑戦。
Attify社とベリサーブのスタッフも適宜サポートしながら、実際に攻撃者がIoTデバイスに侵入する手法などを学んでいただきました。