All rights reserved, Copyright © IPA 2015
開発者が今知っておくべき
ハードウェアセキュリティ
~IPAの取組み~
独立行政法人情報処理推進機構
技術本部セキュリティセンタ-
情報セキュリティ認証室
1
All rights reserved, Copyright © IPA 2015
利用環境によって異なる脅威
2
サーバ デスクトップPC 複合機
ICカード USBメモリ スマートフォン
オフィス等物理アクセスが制限された環境に設置される。
部外者が直接アクセスする可能性は低い。(適切に管理されていれば)
どこにでも自由に持ち運べる。
様々な環境で利用されるデバイス。(紛失・盗難等のリスク、通信データの盗
聴等のリスクは固定環境より増大)
想定される利用環境における脅威・攻撃の分析が重要。
脅威・攻撃に対抗できるセキュリティ対策が必要となる。
All rights reserved, Copyright © IPA 2015
ICチップによるセキュリティ機能
3
保存データ
暗号化
通信データ
暗号化 正当な利用者の
認証(暗証番号)
CPU
ROM RAM FlashROM
乱数 生成器
暗号 プロセッサ
I/O
セキュリティ 回路
製品に搭載されているICチップの組込ソフトウェア等によりセキュリティ機能を実現
All rights reserved, Copyright © IPA 2015
ハードウェアへの攻撃
4
ハードウェア
(ICチップ等)
組込ソフトウェア
暗号化
アクセス制御
情報資産
ソフトウェアで実装するセキュリティ機能は【正しく動く】ハードウェアでの動作が大前提
しかし、ハードウェアが攻撃を受ける可能性がある環境ではその大前提がなりたない
【正しく動かない】ようハードウェアを攻撃された場合には、ソフトウェアで実装したセキュリティ機能も当然【正しく動かない】
All rights reserved, Copyright © IPA 2015
ハードウェア攻撃の例
5
攻撃に利用する
ハードウェア特性
攻撃方法
回路構造的な
特性
回路の改造
バス(配線)に流れるデータの読み取り
ROM上のデータを光学的に読み取り
電気的な特性 ICチップの誤動作を狙った異常電圧・周波数の印加
ソフトウェアの誤動作、メモリ上のデータの改ざん等を狙ったレーザ照射
消費電力の解析による秘密情報(暗号鍵等)の取得
開発・保守用機能の悪用
秘密情報のアクセスできる動作モードの解析
※IPAが開催する「ハードウェアセキュリティセミナー」で解説する攻撃例
All rights reserved, Copyright © IPA 2015
回路の解析
6
光学/レーザー顕微鏡
回路構造・実装されている機能が解析可能
「配線の切断・接続による回路の改造」 「メモリ・バス上のデータの読み取り」等の攻撃も可能
ANDゲート
http://www.cl.cam.ac.uk/~mgk25/sc99-tamper.pdf
All rights reserved, Copyright © IPA 2015
①:ICチップにレーザ照射
②:ソフトウェアの動作を変化 - 条件分岐を意図しない方向に分岐
- メモリ読み取りデータの変更
③:保護資産・機能の取得 - 保護された実行権限を不正に取得
- 保護されたメモリに不正アクセス
レーザー照射攻撃
7
All rights reserved, Copyright © IPA 2015
消費電力の解析
8
入出力信号
ICカードへの入力
(コマンド) ICカードからの出力
(暗号処理結果)
ここで暗号化処理を行っている
消費電力
AES暗号
(10ラウンド)
このような手法で、暗号処理に関する様々な情報を集め、暗号鍵等を不正に取得(解析)する。
All rights reserved, Copyright © IPA 2015
攻撃への対抗手段(例)
9
攻撃例 対抗手段(例)
回路の解析 回路の配線層に、回路を直接見えなくするためのシールド配線層(メタルシールド)を設けて、回路の加工を困難にする。
レーザ照射攻撃 ・ICチップにレーザ検知センサを実装する。
・誤動作による条件分岐の誤りをリカバー
できるように条件分岐の多重化処理などを
実装する。
消費電力の解析 ・ダミー演算やランダム遅延を挿入して
解析ポイントをわかりにくくする。
・消費電力波形にノイズを付加する。
では、対抗手段が適切に実装されているICチップかどう判断するのか?
All rights reserved, Copyright © IPA 2015
セキュリティ認証制度の活用
10
製品のセキュリティを専門家が客観的に評価
IPA ハードウェア認証 検索 認証制度について詳しく知りたい方
製品(ICカード、チップ) セキュリティ評価機関
(ISO/IEC15408)
①“国際的なセキュリティ評価基準” に基づきセキュリティの専門家が評価(検査)
②評価内容・結果が
適切かを確認
③評価結果に問題なければ
製品に認証を付与
安全な製品選択の際の
「指標の1つ」
All rights reserved, Copyright © IPA 2015
個人番号カードのセキュリティ
• IPAの取り組み
–個人番号カード向けICカード
– 2015年6月18日 認証完了
• 「セキュリティ要求仕様」の概要
–各セキュリティ機能の適切な実装
• 通信データ保護
• 利用者認証とアクセス制御
• 暗号演算
–ハードウェアに対する物理的攻撃への対抗
11
まもるくん
個人番号
カード
氏名:まもるくん
住所:文京区本駒込
生年月日:2月
2021年1月まで有効
All rights reserved, Copyright © IPA 2015
セキュリティ要求仕様の例
12
旅券冊子用IC
住基カード (組込ソフトウェア)
組込み機器向け
セキュアICチップ
個人番号カード
All rights reserved, Copyright © IPA 2015
ハードウェアセキュリティセミナー
13
導入コース ハードウェアセキュリティを基礎から説明。 (前提知識不要) ハードウェアセキュリティに関心を持つ一般の方向けの内容 2015年6月に2度開催
技術コース (入門編)
ハードウェアセキュリティについて実際の 攻撃デモを交えて解説。 ICチップや組込機器等の開発者向けの内容 2015年8月,9月に開催
技術コース (実践編)
ハードウェアセキュリティについて実習を交えて解説。 ICチップや組込機器等の開発者向けの内容
初心者向け 上級者向け
満員御礼 満員御礼 2015年12月頃開催予定
IPA メールニュース 検索 IPAが開催するセミナー情報をお知らせします。(登録制)
IPAでは本日の内容をより詳細に解説するセミナーを定期的に開催しています。
All rights reserved, Copyright © IPA 2015
技術コース・入門編でのデモの様子
14
開催場所:IPA(文京区本駒込) 『都営三田線「千石駅」徒歩4分』 『JR山手線「駒込駅」徒歩10分』
All rights reserved, Copyright © IPA 2015
ハードウェアセキュリティに関する
問い合わせ先
• セキュリティ認証制度について
• ハードウェアセキュリティセミナーについて
15
IPA ハードウェア認証 検索
IPA ハードウェアセミナー 検索
All rights reserved, Copyright © IPA 2015
16
All rights reserved, Copyright © IPA 2015
17
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき
ITに関する基礎的な知識が証明できる国家試験です。
ITパスポート公式キャラクター
上峰亜衣(うえみねあい)
【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
All rights reserved, Copyright © IPA 2015
18
Windows Server 2003のサポートが2015年7月15日に終了しました。
サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が成功する可能性が高まります。
周辺ソフトウェアもサポートが順次終了していくため、あわせて対策が必要です。
サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの
影響調査や改修等について迅速な対応をお願いします。
会社の事業に悪影響を及ぼす被害を受ける可能性があります
IPA win2003 検索 詳しくは
なおWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします
脆弱性が
未解決なサーバ 脆弱性を
悪用した攻撃
ホームページの改ざん
重要な情報の漏えい
他のシステムへの攻撃に悪用
業務システム・サービスの停止・破壊
データ消去
Windows Server 2003のサポート終了に伴う注意喚起
All rights reserved, Copyright © IPA 2015
19
IPA ソフトウェア高信頼化センター(SEC) Software Reliability Enhancement Center , Information-technology Promotion Agency , Japan
で、
IPA/SECの事業内容やセミナー動画をCheck!
●SEC事業紹介
http://www.ipa.go.jp/sec/about/index.html
●SECセミナーオンデマンド
http://sec.ipa.go.jp/seminar/ondemand/
Twitterで、
IPA/SECの最新情報をCatch!
https://twitter.com/IPA_SEC
アカウント名:@IPA_SEC
SWE iPediaで、
IPA/SECの事業成果をSearch!
探したい情報を
分類やキーワードで検索!
http://sec.ipa.go.jp/sweipedia/
IPA/SECウェブサイトで利用者登録!
IPA/SECウェブサイトから利用者登録(無料)をすると、
メルマガ ・DMの購読や、セミナーの参加申込み、ツールの
利用などができます。
是非、ご登録ください!
https://sec.ipa.go.jp/entry/index.html
↓詳しくは、SECウェブサイトをClick!
ソフトウェア高信頼化センター 検索