welcome to trusted computing group | trusted...
TRANSCRIPT
IoTをとりまくセキュリティの現状と課題
2017年11月20日JPCERTコーディネーションセンター早期警戒グループ洞田 慎一
Copyright ©2017 JPCERT/CC All rights reserved.
説明の流れ
はじめに— JPCERT/CC の紹介
2017年に観測された IoT 関連のインシデント
2017年に報告された IoT 関連の脆弱性
IoT でセキュリティに取り組む上での課題
まとめ
2
Copyright ©2017 JPCERT/CC All rights reserved.
はじめに
3
Copyright ©2017 JPCERT/CC All rights reserved.
JPCERT/CC とは一般社団法人 JPCERT コーディネーションセンターJapan Computer Emergency Response Team / Coordination Center コンピュータセキュリティインシデントへの対応、国内外にセンサをお
いたインターネット定点観測、ソフトウエアや情報システム・制御システム機器等の脆弱性への対応など日本の「セキュリティ向上を推進する活動」を実施
サービス対象: 日本国内のインターネット利用者やセキュリティ管理担当者、ソフトウエア製品開発者等(主に、情報セキュリティ担当者)
インシデント対応をはじめとする、国際連携が必要なオペレーションや情報連携に関する、日本の窓口となる「CSIRT」※各国に同様の窓口となるCSIRTが存在する
(例、米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC)
経済産業省からの委託事業として、サイバー攻撃等国際連携対応調整事業を実施
4
Copyright ©2017 JPCERT/CC All rights reserved.
「JPCERT/CCをご存知ですか?」
JPCERT/CCの活動
重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信早期警戒情報
海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援CSIRT構築支援
脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者
へ提供し、対応依頼 関係機関と連携し、国際的に情報公開
日を調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報
の適切な流通
マルウエア(不正プログラム)等の攻撃手法の分析、解析アーティファクト分析
各種業務を円滑に行うための海外関係機関との連携国際連携
インシデントの予測と捕捉インシデント予防 発生したインシデントへの対応
制御システムに関するインシデントハンドリング/情報収集,分析発信制御システムセキュリティ
日本シーサート協議会、フィッシング対策協議会の事務局運営等国内外関係者との連携
マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化
攻撃手法の分析支援による被害可能性の確認、拡散抑止
再発防止に向けた関係各関の情報交換及び情報共有
インシデントハンドリング(インシデント対応調整支援)
情報収集・分析・発信定点観測(TSUBAME)
ネットワークトラフィック情報の収集分析
セキュリティ上の脅威情報の収集、分析、必要とする組織への提供
5
Copyright ©2017 JPCERT/CC All rights reserved.
サイバーセキュリティ・インシデントに沿った活動
発生したインシデントへの対応 (主に CSIRT)— インシデント初動対応への技術的な支援、助言
例)インシデントレスポンス、アーティファクト分析など— CSIRT : Computer Security Incident Response Team
製品の脆弱性への対応 (主に PSIRT)— 届けられた製品の脆弱性についての調整、脆弱性情報の公開— PSIRT : Product Security Incident Response Team
事前、事後への対応— 情報提供、情報共有、インターネット上の脅威への分析
制御システムセキュリティ分野 (ICS) についての活動も行っています
6
Copyright ©2017 JPCERT/CC All rights reserved.
サイバー攻撃のリスクを下げる活動攻撃:コストとベネフィット— 攻撃にもコストが必要 (攻撃インフラ、ツール等)— 環境を改善しない限り攻撃は終わりません
インシデントを防ぎ、サイバー攻撃のリスクを下げるには、攻撃のコストを上げていけるかが鍵— 適切かつ迅速な初動活動・対応— 正確な技術情報— 普段からの脆弱性への対応 (作る側・使う側)
costs benefits costs benefits
利益の方が大きい→攻撃動機を助長
コストの方が大きい→攻撃動機が減退
JPCERT/CCは、サイバー攻撃のリスクを下げるための活動を展開しています
7
Copyright ©2017 JPCERT/CC All rights reserved.
攻撃のリスクを下げる取り組みの例脆弱性情報への適切な対応 (主に事前)— 報告者、開発者と脆弱性情報を適切に取り扱い、アップ
デート情報とともに情報を公開 (IPA、JPCERT/CC)— 公開された情報を基に早期にアップデートを実施 (利用者)— セキュアコーディング等の脆弱性を作りこまない方法の啓
発 (開発者)
正しい技術情報に基づいた適切かつ迅速なインシデント対応 (主に事中・事後)— アーティファクト分析に基づいた迅速な対応
その後の脅威へのモニタリングと集団防護 (主に事後)— 継続的なモニタリングによる脅威の発見— 同じタイプの攻撃を防ぐため、グループでの情報共有
8
Copyright ©2017 JPCERT/CC All rights reserved.
インシデント件数のカテゴリ別割合
「サイバー攻撃の傾向」
インシデント対応状況(2016年4月~2017年3月)
JPCERT/CCへの報告— 全報告件数
15,954件— 全インシデント件数
15,570件JPCERT/CCからの連絡— 全調整件数
10,641件
JPCERT/CC インシデント報告対応四半期レポートよりhttps://www.jpcert.or.jp/ir/report.html
カテゴリ 割合スキャン 46.2%Web サイト改ざん 21.0%フィッシングサイト 15.0%マルウエアサイト 6.3%
DoS / DDoS 1.3%標的型攻撃 0.3%制御システム関連 0.3%その他 9.6%
9,865 8,485
20,019
29,191 22,255
17,342
15,954
2010 2011 2012 2013 2014 2015 2016
年度
インシデント報告件数の推移
9
Copyright ©2017 JPCERT/CC All rights reserved.
2017年に観測されたIoT関連のインシデント
10
Copyright ©2017 JPCERT/CC All rights reserved.
IoT botnetの問題は継続して発生
2017年の脅威予測として昨年末・年始に多く取り上げられていた問題— IoT botnetによるDDoS攻撃の活発化
23/tcp 及び 2323/tcp へのスキャン観測状況
0
20000
40000
60000
80000
100000
120000
140000
160000
180000
4/1 5/1 6/1 7/1 8/1 9/1 10/1 11/1 12/1 1/1 2/1 3/1
23/tcp (2016年度)
2323/tcp (2016年度)
23/tcp (2017年度)
2323/tcp (2017年度)
Miraiの感染拡大(2016年度)
2017年度は、~1Tbpsという巨大なDDoSは観測されていないが、IoT botnetの問題は継続している
11
Copyright ©2017 JPCERT/CC All rights reserved.
2017年6月に観測された状況から
国内モバイル網のIPからの ssh (22/tcp) の増加を観測
アクセス増加の背景にはワーム感染が関係— Miraiとは異なるマルウエアを観測 (TSUNAMI)— SSHコンソールが
WAN 側に開いていた問題ISPにより影響は異なる
— 利用者への通知の問題引用: Malware Analysis Tech,http://malwareanalysis.tech/2017/01/brute-force-ssh-attack-from-ip-72-202-134-97-downloaded-trojan-linux-tsunami-from-ip-52-74-21-59/
0
50
100
150
200
250
300
350
400
2017/6/1 2017/7/1 2017/8/1
国内IPからの22/tcpスキャン観測状況
0
2000
4000
6000
8000
10000
12000
2017/6/1 2017/7/1 2017/8/1
同時期での全体の22/tcp 観測状況
マルウエア本体に含まれる特徴的な文字列
12
Copyright ©2017 JPCERT/CC All rights reserved.
狙われるのは脆弱なパスワードとは限らない (1/2)
IoTroop Botnet (IoT_reaper)— 脆弱なパスワードを悪用するのではなく、機器の既知の脆弱性を悪用し感染を拡大 (2017年)
D-Link, Netgear, Vacron, Linksys, AVTECHなどの製品に対する脆弱性が挙げられている
— Lua実行環境を内包DDoS攻撃実行機能(DNS amp攻撃)が確認されている
引用: Check Pont, IoTroop Botnet: The Full Investigation, “https://research.checkpoint.com/iotroop-botnet-full-investigation/”
13
Copyright ©2017 JPCERT/CC All rights reserved.
その他~インシデントの背景にIoT機器?
その他にも、インシデントの背景を調べると、IoT機器や高機能NASなどが踏み台となっている場合もある— フィッシングサイトの踏み台としての悪用— サイバー攻撃の踏み台としての悪用
原因はさまざま— 脆弱性の問題だけでなく、実装上の問題や、動作環境の問
題、利用者の問題と幅広い— UPnP機能に関する問題
NASやウェブカメラが便利に使える一方で、落とし穴も存在
14
便利に利用することとセキュリティの両面を利用者が考えられる (異変に気付ける) 設計にしておく必要がある
Copyright ©2017 JPCERT/CC All rights reserved.
2017年に報告されたIoT関連の脆弱性について
15
Copyright ©2017 JPCERT/CC All rights reserved.
IoTにおいて考えたい脆弱性の問題 ~2017年~
2017年はモバイル端末を含め広く影響を与える問題が複数指摘された— “Broadpwn” Broadcom WiFi SoCにおける問題— “BlueBorne” の脆弱性— “KRACK Attacks” WPA2における問題
仕様・実装の問題や、製品の特徴を捉えた指摘— コンソールを悪用される問題や、Web管理画面の脆弱性な
どではなく、プロトコルや実装の本質に議論が及ぶ— 脆弱性を現実に悪用するには、条件などの環境上の問題は
残っているが、実証コードも公開される— IoTの脅威の今後を考えた場合に、これらの仕様や実装に関
する指摘をそのままにしておいてよいだろうか
16
Copyright ©2017 JPCERT/CC All rights reserved.
Broadcom WiFi SoCにおける問題Broadcom BCM4355C0 Wi-Fi などのチップのWi-Fi ファームウェアにおける内部バッファエラーの脆弱性(CVE-2017-11120)— ARMコアを搭載— ワイヤレスローミング処理時にバッファエラーが存在— BCM4339 上で、WiFi 経由にて任意のコードが実行可能
iPhone7 (iOS10.2) についての解説が公開— 脆弱性を利用して BCM4339 ファームウェアにバックドア
を設置— バックドアを介して本体メモリへアクセス— 細工された AP / 細工された WIFI メッセージにて悪用
参考: Project Zero, Over The Air: Exploiting Broadcom’s Wi-Fi Stack (Part 1) https://googleprojectzero.blogspot.jp/2017/04/over-air-exploiting-broadcoms-wi-fi_4.html
参考: Project Zero, Over The Air - Vol. 2, Pt. 1: Exploiting The Wi-Fi Stack on Apple Devices, https://googleprojectzero.blogspot.jp/2017/09/over-air-vol-2-pt-1-exploiting-wi-fi.html
Kernelやファームウェアの特性、処理を巧みに利用
17
Copyright ©2017 JPCERT/CC All rights reserved.
Bluetooth の実装における脆弱性 (群)に関して技術レポートが公開
— 複数の脆弱性からなるAndroid セキュリティパッチレベル2017年 9月を適用していないバージョン
(CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785)
Linux Kernel 3.3-rc1 以降のバージョン (CVE-2017-1000251)Linux BlueZ すべてのバージョン (CVE-2017-1000250)iOS version 9.3.5 およびそれ以前 (CVE-2017-14315)tvOS version 7.2.2 およびそれ以前 (CVE-2017-14315)Windows Vista 以降の2017年 9月マイクロソフトセキュリティ更新プログラムを適用していないバージョン (CVE-2017-8628)
— 仕様に対する実装時の誤解や、KASLR (kernel address SpaceLayout Randomization)を突破する技術など様々な問題を応用
“BlueBorne” の脆弱性
参考: Armis, BlueBorne,http://go.armis.com/hubfs/BlueBorne%20Technical%20White%20Paper-1.pdf
18
Copyright ©2017 JPCERT/CC All rights reserved.
Armisによるデモ— Google Pixelをリモートから操作するデモ
任意のコードが実行される
— Windowsからの PAN接続時の通信を摂取し、フォームの入力情報を取得するデモ
中間者攻撃により情報を摂取される
— “SmartWatch” への攻撃デモ
“BlueBorne”に関するさまざまなデモが公開
“IoT”ならではの攻撃シナリオとなっている
19
Copyright ©2017 JPCERT/CC All rights reserved.
KRACK Attacksにおける問題Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいてNonce およびセッション鍵が再利用される問題— 中間者攻撃による通信内容の復号など— Channel-based MITM や 802.11r (FT) 処理などを悪用
4-way handsake における Pairwse Key, Group Key, Integrity Group Key の再利用 (CVE-2017-13077,13078,13079)— PTKが再設定され、Client->APの通信を復号する助けとなる
Fast BSS Transition 再接続リクエストの再送許可とその処理における Pairwise Key の再利用 (CVE-2017-13082)— PTK が再設定され、AP->Client通信を復号する際の助けとなる
参考: M. Vanhoef and F. Piessens, Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2
20
Copyright ©2017 JPCERT/CC All rights reserved.
その他の脆弱性|Infineon製RSAライブラリでの問題
引用: ROCA: Vulnerable RSA generation (CVE-2017-15361),https://crocs.fi.muni.cz/public/papers/rsa_ccs17
21
Infineon 製RSAライブラリがRSA鍵ペアを適切に生成しない問題(CVE-2017-15361)— 素数の生成に問題があり、短時間で解ける可能性が指摘された— 512bit
1.93 CPU hours(Intel E5-2650)
— 1024bit97.1 CPU hours(Intel E5-2650)
問題のある生成アルゴリズムを使わないようにするか、ファームウエアをアップデートすることが必要— しかし、多くの製品が影響を受けるため、全ての製品を対応するのは難しいと考えられる
Copyright ©2017 JPCERT/CC All rights reserved.
IoT でセキュリティに取り組む上での課題
22
Copyright ©2017 JPCERT/CC All rights reserved.
IoT全般の課題|1
IoT機器の課題— 性能・機能の向上により“スマートな”機器に対する脅威は
PCとほぼ変わらない— 設置された後、適切にメンテナンスされない可能性も考慮
する必要がある
Internet of Threatsに関する課題— IoTには、何かしらの“モノへの制御機能”が備わる— モノのスケールが大きくなると Cyber-Physical Threatな問
題に発展する可能性がある— インターネットに“モノ”を直接接続することでセーフティ
に影響が及ばないかを考える必要があるセーフティとセキュリティの両方の観点を考慮する必要がある
23
Copyright ©2017 JPCERT/CC All rights reserved.
IoT全般の課題|2
IoTという言葉で認識する対象範囲の違いによる課題— IoTの問題は機器だけでなく、クラウド、サーバ、ネット
ワークなどシステム全体の問題である— 開発者はそれぞれの立場で自分と繋がる“何か”を意識し、
影響を考慮する必要がある— 開発者 (ベンダ) 、利用者 (ユーザ) 双方がシステム全体の特
徴を知る必要がある
24
Sensors
Aggregator
eUtility(cloud) Decision Trigger
eUtility (non-cloud)
CommunicationChannel
引用: J. Voas, “Networks of ‘Things’”, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-183.pdfm, NIST SP 800-183.
Copyright ©2017 JPCERT/CC All rights reserved.
脆弱性に対する製品の管理における課題ファームウエアや、サードパーティのライブラリなどでの脆弱性をどう考えるか?— アップデートに対する製造者にかかる責任/負担— 最終的な製品がどの脆弱性の影響を受けるのか、影響範囲が
どこまでなのかといった脆弱性の管理が必要— 開発が大規模になればなるほど、既知の脆弱性対策の反映が困難
脆弱性情報の収集と取り纏め外部委託先での管理
IoT では、影響が広い範囲に及ぶケースも考えられる— 製品に脆弱性が発見された
場合、ユーザに不安を与えず、冷静に対処してもらうことも重要
— 業界全体で対応を検討していくことも必要
ライブラリ供給(脆弱なコンポーネント)
モジュール供給A社
モジュール供給B社
C社製品 D社製品 E社製品
以前は供給
25
影響を受ける?
サイバー攻撃を受けることを前提とした対策の検討が肝要
影響を受ける?
Copyright ©2017 JPCERT/CC All rights reserved.
IoT・製品を取り巻くエコシステムにおける課題|1
想定外の利用によって発生しうるセキュリティ上の問題をどのように対応するのか— 共通コンポーネント、ライブラリ、OSなど、共通する
フレームワークに脆弱性があった場合、複数の製品など広い範囲に影響が出る可能性があるそのときに・・・
誰がコストを負担するのか関係者に誰が説明するのか運用中のシステムに適用できるのか
26
Copyright ©2017 JPCERT/CC All rights reserved.
IoT・製品を取り巻くエコシステムにおける課題|2
27
1
11
1ISP事業者
被害組織
ベンダ(国内・海外) 設置事業者・販売店
ユーザ・管理者ファームウエアのアップデート開発
課題:・使用可能な機能を制限することは対処しづらい
・OEM製品の場合、自社による対応が困難
アップデートや機器の復旧方法のアナウンス課題:販売先、設置先管理まで面倒は見られない
ファームウエアのアップデート実施課題:・そもそも感染に気付けない・自らは被害者ではないので、対策をとるインセンティブがない
脆弱性などのある機器の特定課題:ネットワーク上の機器の状態を認知することが困難
インシデント対応支援課題:被害組織や原因が必ず特定できるわけではない
被害への対応課題:影響範囲の特定や対策の実施には時間がかかる
お互いの立場や範囲を理解し、協力していくことが重要!
Copyright ©2017 JPCERT/CC All rights reserved.
業界や関係者で情報共有を行うことの重要性対策を進める上で、PSIRT の構築や、情報共有 (PSIRT間、同業他社、コミュニティ) がカギ— 情報セキュリティの分野では、ISAC (Information Sharing and
Analysis Center) による脅威情報の共有が進められている— 特に、脅威や影響などに関して共通の話題がある場合には情報共
有は進みやすい
コミュニティでの取り組み例— コンシューマ向けIoTセキュリティガイド
http://www.jnsa.org/result/iot/JNSA IoT セキュリティ WG にてとりまとめ (2016年)業界を横断して横のつながりで情報を整理— セキュリティベンダ、メーカ、その他
28
TCGなどのコミュニティ活動がIoTセキュリティにとって大きな役割を担ってくると考えられる
Copyright ©2017 JPCERT/CC All rights reserved.
まとめ
29
Copyright ©2017 JPCERT/CC All rights reserved.
2017年におけるIoTセキュリティの動向
インシデントに関する問題— IoT botnetの問題は継続中
コンソールへのアクセスだけでなく、製品の脆弱性を悪用するケース (IoT reaper) も観測されている
— botnet だけでなくフィッシングサイトやサイバー攻撃の踏み台にされている事例も観測されている
脆弱性に関する問題— 仕様や実装の問題や特徴がよく考えられた指摘が続いた— 現在はまだ、Web管理インターフェースにある脆弱性が悪
用されているものが多いが、今後はより攻撃が複雑になっていく可能性がある
30
Copyright ©2017 JPCERT/CC All rights reserved.
インターネットに接続されたモノに対する脅威は増加している— 脆弱性の問題の悪用にも注意— 脆弱性への対策は、製品の運用時だけでなく、製品を作る際に
おいても考慮が不可欠実際の攻撃では一瞬のスキを突かれてしまう— アップデートまでの時間差— 仕様上の問題、実装上の問題— 共通ライブラリにおける脆弱性などの問題IoT・製品を取り巻くエコシステムに対する課題— インシデントを防止、軽減するためにも同業他社、業界を超えた
協力が不可欠
おわりに
31
セキュリティに関して何かございましたら、JPCERT/CCまでご一報ください!
Copyright ©2017 JPCERT/CC All rights reserved.32
お問合せ、インシデント対応のご依頼は
JPCERTコーディネーションセンター— Email:[email protected]— Tel:03-3518-4600— https://www.jpcert.or.jp/
インシデント報告— Email:[email protected]— https://www.jpcert.or.jp/form/
制御システムインシデントの報告— Email:[email protected]— https://www.jpcert.or.jp/ics/ics-form
Copyright ©2017 JPCERT/CC All rights reserved.33
ご静聴ありがとうございました