Embed Size (px)
Citation preview
基調講演
IoTデバイスのセキュリティ課題と最新脅威動向
須崎有康 (Kuniyasu Suzaki)国立研究開発法人 産業技術総合研究所
情報技術研究部門
Osaka, 24/Feb/2017
Who am I?
2
• コンピュータセキュリティ研究者– 国立研究開発法人 産業技術総合研究所
– 情報技術研究部門
• 最近の仕事 https://staff.aist.go.jp/k.suzaki/– 仮想化を使ったセキュリティの強化や脆弱性の研究
• BackHat US 2010• BlackHat SaoPaulo 2014• Code Blue 2014
– 制御システム用セキュリティ技術• S4x14 (SCADA Security Scientific Symposium)
• ICSJWS (Industrial Control Systems Joint Working Group ) 2014/fall
– KNOPPIX日本語版のメンテナンス 2002-15
Here is my office
アウトライン
• IoTの問題点
– 多種多様、OSのサポート、パスワード、アップデート
• 代表的な攻撃
– 車への攻撃
– 制御システムへの攻撃(Stuxnet)– Telnetを使った攻撃
– DoSのためにBotとなったIoT(Mirai)– WiFi内部からの攻撃(DarkHotel)– 高性能センサーデバイスを使ったサイバーエスピオナージ
(電子的諜報活動)• まとめ
3
IoTとは• 総務省平成27年度情報通信白書より
– 2020年までに530億個
4
質的変化
PCで出来ることの多くは受動的であったが、IoTで外界に働きかけられるようになった
量的変化PCより圧倒的に多くなる。センサも多様個人で管理が及ばない
IoTデバイスの問題点(1)• 多種多様
– セキュリティを考慮してあるPCと比べて数も種類も多い• セキュリティの対策の手が回らない
– Security Surfaceが大きい
• センサ類も多種多様で高性能化している(詳細は後述)
• インターネットに繋がるデバイスは何であるか検索が可能
• インターネット接続を想定していないプロトコルがアクセス可能になる
– 車で使われているCAN: Controller Area Network– 制御システムで使われているSCADA: Supervisory Control
And Data Acquisition5
デバイス検索サイト• SHODAN
– HoneyPotが検出でき、攻撃者は回避できる
• Censys– ミシガン大学より2016.10から提供
6
プリンタへの攻撃
• プリンタなんって通信の盗聴以外攻撃のしようがない?
• プリンタの発火。2011年にコロンビア大から発表
– ファームウェアの脆弱性を狙ってネットワーク越しにプリンタを発火させた
• ドットマトリックスプリンタは音から印字が分かる
– Acoustic Side-Channel Attacks on Printers [USENIX Sec 10]– ドットマトリックスのプリントの音で印字内容を盗める
– 隠れた通信にも使える
– ドットマトリックスはカーボンコピーを必要としているところで使われているので侮れない
7
スマホを使った情報窃取
• ベネッセ個人情報流出事件(2014)ではスマホにより情報が漏えいした
• ベネッセではUSBからの情報漏えいに対してActive DirectoryによるUSBマスストレージの使用の接続禁止が設定されていたと言われている
• 攻撃者はMTP: Media Transport ProtocolあるいはPTP: Picture transport Protocolを使ったと言われている
– Active DirectoryでMTP/PTPの設定禁止はある
• 更なる脅威:USB デバッグモード
– 開発者のデバッグに使われるが、ファイル転送も可能。
8
CAN• Controller Area Network (CAN) はドイツのボッシュ社が1983年に開発を始めたノイズ耐性を持ち、機器間通信に使われる規格。
• 自動車においては、速度、エンジンの回転数、ブレーキの状態、故障診断の情報などの転送に使用。
• 1990年代にメルセデスベンツ SクラスにCANが搭載された。
• セキュリティや認証については他から侵入がないものとして、あまり考慮されていない。
9
つながる車 Connected Car• クライスラーのチェロキーへのハッキング(BlackHat 15)
Charlie Miller & Chris Valasek– クライスラー車のWi-Fiパスワードは日付けベースで生成さえているため、推測可能
– CANバスに直接接続されていないが、CANバスに接続しているV850コントローラとは通信可能
– V850コントローラのファームウェアを改ざんして、CANコマンドでハンドル、エンジン、ブレーキをコントロール
– 100万台以上がクライスラーからリコール
– “Remote Exploitation of an Unaltered Passenger Vehicle”, Dr. Charlie Miller & Chris Valasek» http://illmatics.com/Remote%20Car%20Hacking.pdf 10
SCADA• SCADA(Supervisory Control And Data Acquisition )は、コンピュータによるシステム監視とプロセス制御を行う産業制御システム
• 人間のオペレータがプロセスを監視し制御できるインターフェースがある。
• セキュリティや認証については、物理的に隔離し、他から侵入がないものとして、あまり考慮されていない
– SCADA専用にセキュリティ会議 S4: SCADA Security Scientific Symposium 11
Stuxnet(1)• イランの核施設を破壊するために作られたマルウェア
– Siemens社のPLCに対する攻撃 (2010)• SCADAシステムを検出と言われてる手法が巧妙
12この画像からSCADAを推定
Stuxnet(2)• 監視システムがアラートを表示しないように調整
– 遠心分離器の周波数を1410Hzから2Hzへと落とし、引き上げる。このアップダウンを巧妙に繰り返して破壊
• USBを使ってインターネットに繋がっていないシステムに侵入(Air Gap越え)
13
Office Network
Plant Network
Control Network
Internet
SCACA
PLC
Firewall
MaliciousUSBStuxnet
Air Gap
Stuxnetが打ち砕いた神話
• 制御システムはサイバー攻撃とは無縁
• インターネットと切り離せば安全
• 特殊な構成のため外部の攻撃者からは分からない
– 暗号のケルクホフスの原理「敵はシステムを知っている」
• マルウェアは異常動作から検出できる
14
JPCert「Stuxnet 制御システムを狙った初のマルウェア」を参考
IoTデバイスの問題点(2)• 想定しているライフサイクル&サポート期限が多種多様
– 産業機器では30年以上。自動車では10年以上。
– PC関連OS(Windows, Linuxディストリビューション)ではサポート期限があるが、それ以上の使われる例が多い。
15
OSサポートが実は曲者
OSのサポート状況 (1)
• ELSはExtended Life cycle Supportの略
• 他のPC用Linuxディストリビューションでもほぼ同じ 16
Windows リリース サポート終了
Windows XP 2001/10/25 2014/04/09
Windows Vista 2007/01/30 2017/04/11
Windows 7 2009/10/22 2020/01/14
Windows 8 2012/10/26 2023/01/10
Windows 10 2015/07/29 2025/10/14
Red Hat Enterprise Linux (RHEL)
リリース サポート終了サポート終了日(ELS)
3 2003/10/22 2010/10/31 2014/1/30
4 2005/2/15 2012/2/29 2017/3/31
5 2007/3/15 2017/3/31 2020/11/30
6 2010/11/9 2020/11/30 -
7 2014/6/9 2024/6/30 -
OSのサポート状況(1)
• ELSはExtended Life cycle Supportの略
• 他のPC用Linuxディストリビューションでもほぼ同じ 17
Windows リリース サポート終了
Windows 10 2015/07/29 2025/10/14
Windows 8 2012/10/26 2023/01/10
Windows 7 2009/10/22 2020/01/14
Windows Vista 2007/01/30 2017/04/11
Windows XP 2001/10/25 2014/04/09
Red Hat Enterprise Linux (RHEL)
リリース サポート終了サポート終了日(ELS)
3 2003/10/22 2010/10/31 2014/1/30
4 2005/2/15 2012/2/29 2017/3/31
5 2007/3/15 2017/3/31 2020/11/30
6 2010/11/9 2020/11/30 -
7 2014/6/9 2024/6/30 -
但し、例外あり
OSのサポート状況(2)
• つまり、全てのOSがサポート期限を明確にしているわけではない
• Androidには更なる問題が…
18
MacOS リリース日 サポート終了日
10.9 Mavericks 2013/10/22
10.1 Yosemite 2014/10/16
10.11 El Capitan 2015/9/30
10.12 Sierra 2016/9/20
Android リリース日 サポート終了日
5 Lollipop 2014/11/3
5.1 Lollipop 2015/3/9
6 Marshmallow 2015/10/5
7 Nougat 2016/8/22
8 Nougat 2016/10/20
iOS リリース日 サポート終了日
8 2014/9/17
9 2015/9/16
10 2016/9/13
サポート終了日は非公開。次のバージョンがリリースされた後数か月サポートが続く
サポート終了日は非公開。
サポート終了スケジュールは検討中
サポート終了日は非公開。
Androidはなぜ危険なのか
• 携帯電話のOSにはアップデートやバグフィックスが十分でない無い場合が多い。
– The Impact of Vendor Customizations on Android Security, ACM CCS13
– Phone Makers’ Android Tweaks Cause Security Problems, MIT Technology Review
• ベンダー:電話会社、端末製造会社は個々の機器向けにAndroidをカスタマイズしないといけない。
• このカスタマイズの過程によって生じる脆弱性が、Android全体のエコシステムの脅威のうち60%を占める。
19
Android 意図しない感染源と漏洩元
• USB充電器からの感染
– USB充電器にバックドアを仕掛け、銀行取引情報、認証用
のパスワードを窃取。端末利用者の動きを追跡することができる。
• Android NFCへの攻撃
– サンフランシスコとニュージャージーでは、NFCによる改札をハッキングして、一生地下鉄をただで乗れるようにした。
• 悪意のあるアプリ
– 機能は懐中電灯アプリであるが、本当の目的は携帯電話のロケーション、キー入力記録、連絡帳などを盗む。
20
Linux kernelのサポート• LTSI: Long Term Support Initiative
– 2011 年 10月26日チェコ共和国プラハ(LinuxCon Europe)発– コンシューマーエレクトロニクス向け長期安定カーネル
– 年に 1回安定版Linuxカーネルを選択し、それを2 年間、長期的かつ定期的にメンテナンス
21
Version Maintainer Released Projected EOL
4.9 Greg Kroah-Hartman 2016-12-11 Jan, 2019
4.4 Greg Kroah-Hartman 2016-01-10 Feb, 2018
4.1 Sasha Levin 2015-06-21 Sep, 20173.16 Ben Hutchings 2014-08-03 Apr, 20203.12 Jiri Slaby 2013-11-03 May, 20173.10 Willy Tarreau 2013-06-30 Oct, 20173.4 Li Zefan 2012-05-20 Apr, 20173.2 Ben Hutchings 2012-01-04 May, 2018
https://www.kernel.org/category/releases.html
デバイスの寿命より短い!危殆化の管理が必要。
延長される場合有り。3.18はサポート切れ
危殆化の管理• 暗号・ハッシュの危殆化
– 計算能力の向上で暗号解読が可能になる• 事前に予測可能でライフサイクルが管理できる
– 対策1: ビット長を長くする。
– 対策2: 暗号・ハッシュの廃止:DES,MD5
– 突然解読法が出る場合もある
• ソフトウェアの危殆化
– 基本的に突然攻撃法が判明する• 多くは実装バグに起因するが、設計に起因する場合は問題。
– 例:プロトコルの脆弱性
• ライフサイクルが管理できない
– ソフトウェア若化(Software Rejuvenation)と言う研究があるが十分ではない
22
サポート切れ対処• DHCP Fingerprintを使い、IPアドレスを割り当てない
23
DHCPDISCOVEROpen Sequence 1,15,3,6,44,46,47,31,33,249,43
DHCPOFFER
DHCPDISCOVEROpen Sequence 1,33,3,6,15,28,51,58,59
DHCPOFFER
• DHCP Fingerprint一覧 https://fingerbank.inverse.ca/
0 Pad1 Subnet Mask2 Time Offset3 Router4 Time Server5 Name Server6 Domain Server7 Log Server8 Quotes Server9 LPR Server10 Impress Server11 RLP Server12 Hostname13 Boot File Size14 Merit Dump File15 Domain Name
IoTデバイスの問題点(3)• セキュリティが考慮されていない
– デフォルトパスワードがある• telnetが多く使われている
– セキュリティアップデートが考慮されていない
– バックアップも考慮する必要がある
24
パスワードへの攻撃
• デバイスごとのデフォルトパスワードは公開されている
• クラックツールで安易なパスワードは破られる
– THC-Hydra• 小学生の解説HPもあった
– Medusa– Brutus 25
パスワードの扱いの違い
• パスワードとパスコードの違いを理解していますか?
– 根本的に攻撃の難易度の違い• パスコードは物理的な画面からの入力で認証が入力に律速される
– 何回も入力を要求するBrute Force Attackが使えない
• パスワードはインターネットから利用でき、認証は早い
– Brute Force Attackが有効
• 対策技術
– わざと処理を遅くするKey stretching (Robert Morris, 1978)
26
TelnetによるIoT攻撃
• 横浜国大の吉岡先生がIoTのHoneyPotを作成し、詳細を解析している。
– QEMUをベースとするHoneyPot• 8つのCPU アーキテクチャMIPS, MIPSEL, PPC, SPARC, ARM,
MIPS64, sh4 and X86.
» Yin Minn Pa Pa, Etal(Yokohama National University), IoTPOT: Analysing the Rise of IoT Compromises, USENIX Workshop on Offensive Technologies(WOOT),2015 27
横浜国大の例
• 2016/1-6に横浜国大に攻撃してきたマルウェア感染IoT– 約60万台( IPアドレス区別)
– 500種類以上(Web,telnetの応答による判断)– 攻撃元デバイス
• 監視カメラ関係:IPカメラ, デジタルレコーダ
• ネットワーク機器:ルータ、無線ルータ、モデム、ネットワークストレージ
• 電話関係:IP電話、VoIPゲートウェイ
• インフラ:駐車管理システム、LEDディスプレイ制御システム
• 制御システム:ビル監視システム、センサ監視装置
• 家庭:Webカメラ、太陽光発電管理システム、電力需要監視システム
• 放送関連:セットトップボックス、映像配信システム
• その他:ヒートポンプ、火災報知システム、医療機器(MRI), 指紋スキャナ
28
吉岡克成(横浜国立大)、ネットワーク観測からわかる IoTのサイバーセキュリティ実情 –JNSA IoTセキュリティセミナー2016 より
Bot化するIoT (1)• 2010 WORM IRCBOT.ABJ (別名 Chuck Norris)
– ルータの初期パスワードに対して侵入を試す。侵入後、Windowsのファイル共有機能に対して辞書攻撃。
• 2012 Carna Bot– 42万台以上の家庭用ルータに感染。4億3,000万の機器がセキュリティを
考慮していないこと明らかにした。
• 2013 Linux.Darlloz– X86, ARM, MIPS, PowerPCへのワーム。PHPのphp-cgiに存在する既知
の脆弱性を突く。
– 暗号通貨のマイニング。Bitcoinではなく、MinicoinとDogecoin
• 2014 BASHLITE– TelnetとShell Shockを利用。100万台以上に感染。DoSに利用。
中里(NICT)他,ダークネット観測による IoT 機器の脅威, 暗号と情報セキュリティシンポジウム2014 29
Bot化するIoT (2)• 2015 Linux.Moose
– Telnetを使ってルータに感染。SNS盗聴機能。
– 資源を有効利用するため他のマルウェアを見つけると削除
• 2015 Linux.Wifatch– P2Pネットワークを構成。他のマルウェアを削除。
– Telnetデーモンを停止し、さらなるアクセスを防ぐ。パスワードを変更して
デバイスのファームウェアをアップデートするようにというメッセージを残す。
• 2016 Mirai– 50万台以上に感染。史上最大のDoS攻撃に使われた。
中里(NICT)他,ダークネット観測による IoT 機器の脅威, 暗号と情報セキュリティシンポジウム2014
30
NICTERによる観測
• NICTのNICTERでは
ダークネットへの通信状態が観測可能
– ダークネットはインターネット上で到達可能かつ未使用のIPアドレス
空間であり、本来はアクセスが無いものだが、不正活動でランダムにアクセスする場合に兆候が表れる。
31
セキュリティアップデート
• 脆弱性に対処するために、セキュリティアップデートが必須だが、家庭用ルータなどで考慮されていないものがまだまだ多い。
• ただし、アップデートはマルウェアをインストールするのにも使われる。
– 「Microsoft Application Compatibility Frameworkの積極的な利用によるエクスプロイット」 CodeBlue14
• OSとアプリケーションとの互換性問題を解決したりするための枠組みを活用して、攻撃を仕込む。
32
不適切なバックアップ
• バックアップをリストアすることで脆弱なアプリを戻してしまう。
– 認証が必要だが、考慮していないものも多い。
• 不要なデータもバックアップして、漏えいのリスクがある。
33
高性能センサを活用したサイバーエスピオナージ
34
質問• この会場に何台のデジカメがあるでしょうか。
• デジカメを持っていない人はいますか?
35
レガシーなデジカメ
スマートフォン
タブレット
ノートPC
モバイルガジェットに幾つのセンサが入っているか知ってますか?
• デジタルカメラ
• マイクとスピーカ
• GPS• ジャイロスコープ
• その他、多様なセンサー
• これらのデバイスがモバイルガジェットに入ったのはそれほど昔ではない。– 2000年前後のPDA(携帯情報端末。例 Palm Pilot, Apple Newton)と呼ば
れるものにはこのようなデバイスがないものが多かった。初期のiPadにもカメラが無かった。
• 現在のモバイルガジェットは従来のコンピュータと言うより、センサーデバイスの塊になっている。
36
センサの性能を知ってますか?
• デジタルカメラ
– 1M pixel以上
• マイク、スピーカ
– CD クオリティ (44.1kHz)以上
• GPS – 10m以内の位置検出
• ジャイロスコープ
– 20 Hz以上のサンプリング
37
高性能センサはサイバーエスピオナージ(諜報活動)の格好のターゲット。
Facial Reflection Keylogger
[T.Fiebig, WOOT’14]
38
キーボードをマップ
このカメラが顔(目)の写真を撮ります。
T.fiebig, j.krissler and r.hanesch, “Security Impact of High Resolution Smartphone Cameras" woot 2014.https://www.usenix.org/conference/woot14/workshop-program/presentation/fiebig
親指検出ズーム
Facial Reflection Keylogger
[T.Fiebig, WOOT’14]
39
キーボードをマップ
このカメラが顔(目)の写真を撮ります。
T.fiebig, j.krissler and r.hanesch, “Security Impact of High Resolution Smartphone Cameras" woot 2014.https://www.usenix.org/conference/woot14/workshop-program/presentation/fiebig
親指検出ズーム
写真から指紋窃取• 国立情報学研究所の越前教授の研究
• お札がコピーできないように、プライバシーに関わる写真がとれないカメラが出るかもしれない。
40
ジャイロスコープによる盗聴
• Gyrophone [USENIX Security 14, BlackHat Europe 14] はジャ
イロスコープで音声の解析ができることを示した。
– 利点: マイクの使用には許可を取る必要があるが、ジャイロスコープは必要なし。
– 問題点:ジャイロスコープのサンプリングは 20-200Hzで音声(男性 85 - 180 Hz, 女性 165 - 255 Hz)が取れない。
– エイリアシングによって音声が解析できることを示した。
41Y.Michalevsky, D.Boneh, and Gabi Nakibly, “Gyrophone: Recognizing Speech from Gyroscope Signals”,https://www.usenix.org/conference/usenixsecurity14/technical-sessions/presentation/michalevsky
マイクを使った盗聴
• “Bundestrojaner” (連邦トロジャン) は社会に大きなインパクトを与えた。– 連邦トロジャンはコードの中にあった「C3PO-r2d2-POE」というストリングか
ら「R2D2」も呼ばれる。
• 報道によるとR2D2はドイツの空港で管理官からインストールされた。– R2D2はSkypeの通話を盗聴し、リモートのサイトにデータを転送していた。
– R2D2はChaos Computer Club (CCC) によって2011年に発見。
• WikiLeaksによるとマルウェアはドイツの州政府からの発注。
42
GPSによる悪意あるトラッキング• “Cerberus” や“mSpy” は盗難防止アプリとして売られているが、従業員のトラックにも使われる。
• 日本のカレログはGPS制御マネージャとして売られていた。ただし、こちらは許可を得ずにGPSのデータを盗んでいた。
– 社会問題となりサービス停止に追い込まれた。
43
モバイルガジェットの活用シナリオ• モバイルガジェットは重要情報を扱う工場、会議、病院で広く使われるようになった。
• 管理者は仕事で使うモバイルガジェットで不要なセンサを利用禁止にしたい。
– モバイルガジェットのデバイスは組み込みで取り外しができない
44工場 リモートミーティング
その他の脅威
• モバイルガジェットのセンサは攻撃者ばかりでなく、ユーザ(社員)も使いたい!
• ユーザ(社員)が対応策を回避するかもしれない。
• 管理者は攻撃者ばかりでなく、ユーザも対象として対策技術を考えなくてはならない。
45
現在の対応策
46
プロテクションキャップ
セキュリティシール(カメラ用)
これらはユーザの良心に依存。
• セキュリティグッズ
• BIOS/EFI によってデバイスを使用不可にする
– 有効だが、全てのモバイルガジェットで有効なわけではない。
対策
• Active Directoryのグループポリシー
– USBのアクセス制御。MSC/MTP/PTPの設定禁止はある。
• DeviceDisEnabler [Blackhat SaoPaulo 14, CodeBlue14]– ハイパーバイザーにより、正しいPCIデバイスを認証した場合のみOSに提供する。
47
内部からの攻撃 (1)• 無料のインターネットサービスへの攻撃
– ホテルなどのルータは外部から設定変更できないが、内部からは可能。
• 西田慎(横浜国立大学)、ネットワーク機器の脆弱性を悪用した水飲
み場攻撃は起こりうるか?、暗号と情報セキュリティシンポジウム2017
• ホテル内のWiFiに攻撃を仕込むDarkHotel– ホテルに滞在中のVIPへの標的型攻撃
– Kasperskyの調査によると日本、台湾、中国、ロシア、韓国が多い。日本が2/3
48
内部からの攻撃 (2)• 偽のWiFiサービス
• コンバースニッチ– 一見普通の電球だが、マイクが搭載されていて、近くの会話をすべて拾う
• 拾ったUSBからの攻撃– USBメモリをばらまき実験(CompTIAレポート)で実証
• 17%の人がUSBを自分でデバイスに刺し、ファイルを開き、URLをクリックしている
• 若い人ほど気にしていない
– イリノイ大学での実験(BlackHat 2016)• 約半数がUSB内のファイルを開く。
• Bad USBのような攻撃(USBキーボードに偽装して入力)も可能。49
攻撃の変化• 現状のPCへの攻撃では情報窃取がメインだが、IoTでは物理的な物への攻撃になる。
– PC、スマホはユーザが使っているので気づかれないように注意
– IoTへはセンサ特性を生かした攻撃• センサの使い方は多種多様で色々な攻撃が考案されている
50
PC, スマホ IoT
情報窃取 ◎ ×
ランサムウェア ◎ ×
ボット化(踏み台) 〇 ◎
サイバーエスピオナージ 〇 ◎
サボタージュ × ◎
攻撃のレベル
• IoTの攻撃はまだPCより低い
– PCでは多くの防御技術回避が考慮されている• ポリモーフィック型・ミューテーション型
• アンチデバッグ、アンチVM• ゼロディ
– IoTではまだ単純な攻撃で十分• Telnetのパスワード攻撃
• アンチデバッグ&アンチVMは無い
51
まとめ
• IoTにより多種多様なセンサーが使えることにより、外界に影響を及ぼす攻撃が可能
– あなたが攻撃者にもなりうる(NFCへの攻撃)• 開発やサポートはIoTのライフサイクルを考慮すべき
• 幸い、まだまだ攻撃レベルは低いので今のうちに対処する必要がある
52
