Comments
Description
Transcript
サイバー攻撃と組込みセキュリティ - IPA 独立行政法人 情報処理推進機構
Embedded Technology 2012 サイバー攻撃と組込みセキュリティ ~見えない危機への備え~ 2012年11月15日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー長 小林偉昭 Copyright © 2012 独立行政法人情報処理推進機構 1 目次 1. 2. 3. 4. 5. IPAの紹介 社会インフラにおけるサイバー攻撃の現状と対策 制御システムにおけるセキュリティの取組み 自動車におけるセキュリティの取組み IPAの活動 Copyright © 2012 独立行政法人情報処理推進機構 2 IPAとは (Information-technology Promotion Agency,Japan) IT・スキル人材育成 ソフトウェア信頼性向上 ウイルス・不正アクセス 脆弱性対策 IT関連の標準化推進 国際標準の推進 Open Standard ◇経済産業省所管の独立行政法人 ◇IT産業の健全な発展を推進し、国民すべてにITのメリットが行き渡る社会の実現に向けた取組み Copyright © 2012 独立行政法人情報処理推進機構 3 IPA/ISEC(セキュリティセンター)の使命と事業の柱 【使命】 経済活動、国民生活を支える情報システムの安全性を確保すること 普及対策 ウイルス・不正アクセス及び 脆弱性対策 企画 セキュリティセンター業務の企画・調整 他事業部門、バックオフィスとの連携、調整 行政機関、関係機関等との連携、調整 ウイルス・不正アクセスの届出・相談受付 脆弱性関連情報の届出受付・分析、提供 組込み機器(制御システム)等のセキュアな利用 に向けた取組み セキュリティの第三者認証 暗号技術 暗号アルゴリズムの安全性監視活動 暗号世代交代の普及促進 調査・分析 情報セキュリティ関連の社会経済的分析 情報セキュリティ白書 意識調査、被害実態調査 Copyright © 2012 独立行政法人情報処理推進機構 ITセキュリティ評価・認証制度 (コモンクライテリア) 暗号モジュール試験認証制度(JCMVP) 国際展開 普及啓発・国際連携 世界の情報セキュリティ機関との連携 情報セキュリティの普及、啓発 中小企業のセキュリティ対策向上 情報セキュリティ対策ベンチマーク 4 目次 1. 2. 3. 4. 5. IPAの紹介 社会インフラにおけるサイバー攻撃の現状と対策 制御システムにおけるセキュリティの取組み 自動車におけるセキュリティの取組み IPAの活動 Copyright © 2012 独立行政法人情報処理推進機構 5 社会インフラの例 飛行機 道路(信号機) 電車 水道 ATM 通信 ビル 電力 Copyright © 2012 独立行政法人情報処理推進機構 ガス などなど 6 信号機に対するセキュリティ事件の例 信号機に対するハッキング •発生した国 ◇米国 業種 ◇道路管理 原因 ◇システムが脆弱な状態 想定被害 ◇道路状況の混乱 写真:The Telegraph http://www.telegraph.co.uk/ 2009年1月、米国の複数の州における信号機(交通メッセージ表示) が「ゾンビ注意(ZOMBIES AHEAD)」に変更された。この例はいたずら だが、原因はシステムにおけるパスワードをデフォルトのままにしていた り、本来ロックしておかなければならない機能をロックしていなかったり システムが脆弱な状態にあったため、いたずらに利用された。 Source: Los Angels Times http://latimesblogs.latimes.com/lanow/2009/12/engineers-who-hacked-in-la-traffic-signalcomputers-jamming-traffic-sentenced.html Copyright © 2012 独立行政法人情報処理推進機構 7 電車(線路)のセキュリティ事件の例 線路のトラックポイントに対するハッキング •発生した国 ◇ポーランド 業種 ◇鉄道 被害 ◇12人のけが人 2008年、14歳の少年がテレビのコントローラを改造し、ポーランドの鉄 道のトラックポイントに対してハッキングを行い、4つの車両を脱線させ た。その結果、12人のけが人を出した。 鉄道のシステムに対しては、鉄道会社へハッキングを行い、そのシステ ムを勉強していた。 The Register http://www.theregister.co.uk/2008/01/11/tram_hack/ Copyright © 2012 独立行政法人情報処理推進機構 8 重要インフラの制御システムの事故の例 原子力発電所の制御システムへのワーム侵入 発生した原因 ◇VPN接続による内部感染 ◇対象パッチの未更新 事件の影響 ◇6時間の運用停止 2003 年1 月、オハイオ州Davis Besse 原子力発電所でマイクロソフトのSQL サーバを 狙ったSlammer(読み方:スラマー)ワームがVPN(Virtual Private Network)接続を介して 侵入・感染し、SCADA システムを約5 時間にわたって停止させた。同施設のプロセス・コ ンピュータも停止し、再運用までに約6 時間を費やしたほか、他の電力施設を結ぶ通信 トラフィックも混乱し、通信の遅延や遮断に追い込まれた。 感染したSlammer ワームに 対するパッチは、その時点で公開されていたが、発電所のシステムには該当パッチがあ てられていなかった。 Copyright © 2012 独立行政法人情報処理推進機構 9 重要インフラの制御システムへの攻撃例 Stuxnetによる制御システム停止? Stuxnetとは ◇入念に準備されたマルウェア ◇複数のゼロデイ脆弱性を狙う 制御システムを停止させた ◇イランの核開発を遅らせるために 使われたと言われている このウイルスの目的は、イランの核施設における遠心分離機を破壊することであり、その ため、遠心分離機の回転速度に関わる制御システムに特定のコマンドを出したという。 http://wired.jp/2012/06/04/confirmed-us-israel-created-stuxnet-lost-control-of-it/ ---米国のシンクタンク Institute for Science and International Securityは、2009年の終 わりから2010年の初頭にかけて、イランにある遠心分離器9000台のうち、約1000台 がStuxnetによって破壊されたとしている。 http://japan.zdnet.com/security/analysis/35005709/ Copyright © 2012 独立行政法人情報処理推進機構 10 身近にもあります 自動車 情報家電 医療機器 Copyright © 2012 独立行政法人情報処理推進機構 11 自動車の情報セキュリティに関連する事例 【CAN(Controller Area Network):主要な車載LAN方式の一つ】 ・2010年ワシントン大学Kohno氏論文「Experimental Security Analysis of a Modern Automobile」にて CAN本体について; (1)CAN通信は同一バス上に同報する方式で、盗聴、解析が容易 (2)認証フィールドとは発信元(ソースアドレス)がなく、なりすましが容易 など 2011年には リモートからの操作も CANを利用した車載LAN上機器の処理の不足や標準的な処理の不備などについて; (3)走行中には無視しなければならないはずのCANバス全体の通信停止メッセージが、実際には有効 (4)走行中のECUの書換えは禁止されているはずであるが、実際には書換えモードに入ることが可能 (5)OBD-IIに接続した実験用のPCから上記のテレマティクス端末のソフトウェアを認証手順なしで書換え 現在は、攻撃を行うた めの機材とソフトウェア は市販製品では機能 不足のため開発が必 要で、攻撃の難易度は 高い。 ECU単体の解析(左)、静止時の車台上でのECU間解析と試験(中)、走行中の動作試験(右) 12 医療機関の情報セキュリティに関連する事例 2011年Black Hat にてJerome Radcliffe氏発表 「Hacking Medical Devices for Fun and Insulin: Breaking the Human SCADA System」 糖尿病患者のインスリンポンプ制御システムに侵入して脆弱性をついた「致死的な攻 撃」を仕掛けることができることを発表 インスリンを送り込むポンプにおける無線機能に脆弱性が存在し、それを突くことでポン プ自身を停止においやったり、投与するインスリンの量を外部から操作したりすることが 可能 Copyright © 2012 独立行政法人情報処理推進機構 http://www.theregister.co.uk/2011/10/27/fatal_insulin_pump_attack/ 情報家電の情報セキュリティに関連する事例 HDDレコーダーが踏み台に使われる 2004年当時某国内メーカーのHDDレコーダ ◇認証なしでアクセスが可能であった ◇攻撃者のブログで公開された 当該レコーダーを踏み台に複数のサイトに対して攻撃をされた ◇182におよぶサイトに対して攻撃が行われた http://www.itmedia.co.jp/lifestyle/articles/0409/24/news025.html Copyright © 2012 独立行政法人情報処理推進機構 ビルをハッキングした様子(ビデオ) Copyright © 2012 独立行政法人情報処理推進機構 15 制御システム 位置づけ センサやアクチュエータ等のフィールド機器、コントローラ、 監視・制御用に用いるサーバやクライアントPCなどをネット ワークで接続した機器群(システム)。 自動車等製造業の工場や電気・ガス等の重要インフラに おける管理・維持等で利用されている。 Copyright © 2012 独立行政法人情報処理推進機構 16 制御システムの状況 制御システムの状況<従来と最近> 最近の背景: 情報システムとの接続や 他組織との連携(SCM) 情報システム インターネット <最近> ネットワークやUSBメモリ等で 繋がるようになった USB 制御システム <従来> 独自仕様のOSやアプリ 監視・制御装置 コントローラ センサ、製造装置等 Copyright © 2012 独立行政法人情報処理推進機構 <従来> 情報システムと制御システム は繋がっていない 制御機器 ベンダ <最近> 汎用OSネットワークや標準プ ロトコルを使用 17 制御システムの状況 「オープン化」:汎用製品+標準プロトコル WindowsPC、汎用アプ リケーション オープン化 標準プロトコル WindowsPC、汎用アプ リケーション 独自/標準プロトコル 独自ハードウェア、独自 OS センサ、アクチュエータ 例:プラント設備(生産ライン制御等)におけるオープン化の 割合 外部ネットワークとの接続 36.8% 設備内のOSの利用状況 Windows:88.9% UNIX系:13.7% 経済産業省 サイバーセキュリティと経済 研究会 中間とりまとめ(案): http://www.meti.go.jp/committee/kenkyukai/shoujo/cyber_security/report01.html Copyright © 2012 独立行政法人情報処理推進機構 18 制御システムにおけるセキュリティの脅威 情報システム インターネット 動向: ① 共通プラットフォームの利用 ② 利便性からネットワークへの接続 ③ 無線の利用 課題: ① 長期間利用(10年~20年)に耐え られる適切なセキュリティ対策 制御システム (脆弱性対策含む) 監視・制御装置 ② 組織、社会に対する重大な影響 ③ 準拠すべきセキュリティ基準、標準 コントローラ 制御機器 ベンダ センサ、 製造装置等 Copyright © 2012 独立行政法人情報処理推進機構 19 制御機器はインターネットに公開されていない? 制御機器がインターネットに公開される場合がある – リモート管理の需要 •機器の状態監視 •処理の実行状況監視 •など インターネットに公開されている制御機器の確認 – SHODAN(ショーダン) http://www.shodanhq.com/ インターネットに公開されている機器検索を 対象とした検索エンジン。 ウェブサーバ以外も検索対象としている ため、インターネットに公開されていれば 制御機器も検索結果に表示される。 知らぬ間に制御機器が公開状態に なっている可能性も Copyright © 2012 独立行政法人情報処理推進機構 SHODAN 20 制御システムにおける攻撃対象例 攻撃目的:装置や設備の破壊、悪品質製品生産や生産の暴走、 装置ベンダの信頼失墜等 攻撃ターゲット⇒ ③ 設備管理サーバ ③ 品質管理サーバ DCS ② Operation Terminal SCADA Historical Data Server SCADA設計ツール DCS Controller ① 4~20ma Copyright © 2012 独立行政法人情報処理推進機構 ② ② PLC 制御コンフィギュレーション ツール RS232c / Ethernet ① Field bus PA FA 出典:VEC村上氏 21 攻撃パターン例:異常コードをコントローラへ 画面は正常で表示し、異常コードをコントローラへ送る 設備管理サーバ 品質管理サーバ ② DCS Operation Terminal ② SCADA Historical Data Server Engineering Tool ② SCADA設計ツール .dllファイルで制御コードをコントローラへ転送 DCS Controller 4~20ma PLC 制御コンフィギュレーションツール RS232c / Ethernet Field bus PA FA タッチパネルの作画ツール 出典:VEC村上氏 Copyright © 2012 独立行政法人情報処理推進機構 22 ICS関連脆弱性情報公開数(OSVDB) 450 2001年以降公開されている制御システム関連の脆弱性の数 (~2012/09/12) 400 399 350 Stuxnet以降の 急激な増加 300 256 250 単年 200 累計 165 Stuxnet 発見 150 143 91 100 50 50 8 8 0 8 2 10 2001 2002 2003 10 0 2004 3 13 16 28 12 22 2006 2007 2008 3 62 12 29 0 2005 2009 2010 2011 2012 OSVDB 調べ Copyright © 2012 独立行政法人情報処理推進機構 23 サイバー攻撃報道事例 サイバー攻撃報道事例 時期 報道 2011/3 仏財務省にサイバー攻撃、G20情報盗まれる (読売新聞等) 2011/5 韓国の農協でシステム障害 (読売新聞等) 2011/6 米グーグル:中国からサイバー攻撃 米韓政府関係者ら被害 (毎日新聞等) 2011/9 三菱重にサイバー攻撃、80台感染…防衛関連も (読売新聞等) 2011/9 IHIにもサイバー攻撃 日本の防衛・原発産業に狙いか (産経新聞等) 2011/10 衆院にサイバー攻撃 議員のパスワード盗まれる (朝日新聞等) 2011/11 サイバー攻撃:参院会館のPC、ウイルス感染は数十台に (毎日新聞等) 2012/1 JAXA:職員のパソコン感染、無人補給機情報など流出か (毎日新聞等) 2012/2 農水省に標的型メール攻撃、情報流出狙う? (読売新聞等) 2012/2 特許庁、トロイの木馬型感染…メール情報流出か (読売新聞等) 2012/3 国際協力銀行の顧客220社とのメール流出 (毎日新聞等) 2012/6 パソコン5台、ウイルス感染か=外部サイトと通信-原子力安全基盤機構(時 事通信等) 2012/7 財務省PC数か月情報流出か…トロイの木馬型 (読売新聞等) Copyright © 2012 独立行政法人情報処理推進機構 24 『標的型メール攻撃』とは? ~10年前から行われている攻撃~ 国内の政府機関 Operation への標的型メール Aurora Stuxnet Titan Rain 大震災 RSA MHI 政府機関への攻撃 の観測 X 2003 ~ 2005 ~ 2009 2006/5/30 2010 2011 2012 2006/2/27 10年間攻撃が続いており、被害が食止められていない実情 2年間で攻撃による被害が顕在化してきた Copyright © 2012 独立行政法人情報処理推進機構 25 標的型メール攻撃の傾向 ~前年度より2倍に検知件数が増加~ 標的型攻撃メールの件数と業種別割合 標的型メール攻撃の検知件数比較 標的型メール攻撃のターゲットとなった組織の業種別割合 出展: IBM Security Services「2012 上半期 Tokyo SOC 情報分析レポート」 http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf 政府機関、報道機関、製造事業者などにメールが送付 標的型メール攻撃の検知件数も増加傾向にある Copyright © 2012 独立行政法人情報処理推進機構 26 『標的型攻撃』の特徴 ~言葉に騙されてはいけない。実は、複数企業を狙った攻撃~ • 「標的型攻撃」:特定の企業や組織のユーザーを狙った攻撃 と言われるが 特定のユーザだけが狙われるのは稀。実際には、キャンペーンと呼ばれる 一定の期間内に関連する業界団体に対して成功と失敗を繰り返す 一連攻撃である 攻撃者は攻撃結果 を把握しながら、 複数回に渡り攻撃 Success 業界団体 Fail Success Fail Copyright © 2012 独立行政法人情報処理推進機構 27 『標的型攻撃』を一言で言うと ~標的型メールを使った内部ハッキング~ 内部を自由に探索! 何でも出来る 情報窃取、情報破壊、 組織の動向モニター etc.. 標的型メールによって作られ た通信経路(バックドア) 発見が非常に困難! 元々、情報システムは境 界内部は安全ゾーン思 想で設計してある。 攻撃者が情報システム 内部からハッキングして るのと同じ状態になる。 Copyright © 2012 独立行政法人情報処理推進機構 28 新しい発想による対策 ~「脅威を入れない対策」から「実害を防ぐ対策」へ~ コンプライアンスポリシ、セキュリティ基準類 「脅威を入れない」 の思想で対策 コスト的にも、技術的に も..限界 「脅威は入っても、 実害は防ぐ」の思 想で対策 注意喚起、情報共有、脆弱性管理 インシデントレスポンス、フォレンジックス解析 従来の対策 「脅威を入れ ない」対策 新しい発想の対策 侵入されることを前提 とした対応 Copyright © 2012 独立行政法人情報処理推進機構 「実害を防ぐ」 対策 29 8つの出口対策(設計対策) ■(黄色)はバックドア通信を止める対策 ■(青色)はシステム内拡散等を止める対策 対策 実装手法 区分 ① サービス通信経路設計 1.ファイアウォールの外向き通 信の遮断ルール設定 2.ファイアウォールの遮断ログ 監視 A.保守等作業ですぐ できる対策 ② ブラウザ通信パターンを模倣する http通信検知機能の設計 1.httpメソッド利用バックドア通 信の遮断 B.システム設計時に 見直すべき対策 ③ RATの内部proxy通信(CONNECT接 続)の検知遮断設計 1.RATのCONNECT確立通信の 特徴を利用した、内部proxyロ グでの監視 B.システム設計時に 見直すべき対策 ④ 最重要部のインターネット直接接続 の分離設計 最重要部がインターネットへ直 接接続しないようにVLAN等で 設計 B.システム設計時に 見直すべき対策 ⑤ 重要攻撃目標サーバの防護 1.ADを管理する管理セグメント を防護する。 2.利用者から見えるADのサー ビスに対するパッチ当て。 B.システム設計時に 見直すべき対策 ⑥ SW等でのVLANネットワーク分離設 計 利用者セグメントと管理セグメ ントを分離設計する等 B.システム設計時に 見直すべき対策 ⑦ 容量負荷監視による感染活動の検 出 スイッチ等の負荷やログ容量等 における異常検知を行い、セ キュリティ部門と連携する B.システム設計時に 見直すべき対策 ⑧ P2P到達範囲の限定設計 ③④の対策に加え、不要な RPC通信の排除を目的とした ネットワーク設計 B.システム設計時に 見直すべき対策 Copyright © 2012 独立行政法人情報処理推進機構 30 設計・運用ガイドについて 『新しいタイプの攻撃』の対策に向けた設計・運用ガイド 2011/8/1 リリース ~Stuxnet(スタックスネット)をはじめとした新しいサイバー攻撃手法の出現~ http://www.ipa.go.jp/security/vuln/newattack.html <内容> APT攻撃(新しいタイプの攻撃)の説明 攻撃仕様の分析 設計対策の考え方 対策補助資料の提供 Copyright © 2012 独立行政法人情報処理推進機構 31 目次 1. 2. 3. 4. 5. IPAの紹介 社会インフラにおけるサイバー攻撃の現状と対策 制御システムにおけるセキュリティの取組み 自動車におけるセキュリティの取組み IPAの活動 Copyright © 2012 独立行政法人情報処理推進機構 32 海外の取組み状況(CNNのビデオ) Copyright © 2012 独立行政法人情報処理推進機構 33 日本での取組み:「サイバーセキュリティと経済研究会」 での検討と制御システムセキュリティ検討タスクフォースの設置 <~2011年度> サイバーセキュリティと経済研究会 (経済産業省) <概要> サイバー攻撃により、知的財産やライ フラインを狙った事案や企業等の機密 漏えいが多発している状況から、ITの 安全確保によって守るべき対象が経 済活動や国民生活に直接関わる分野 へ質的に変化していることを鑑み、経 済の成長・安全保障の観点から、必 要な情報セキュリティ政策を検討。 ◇主な検討項目 ・標的型サイバー攻撃への対応 ・制御システムの安全性確保 ・情報セキュリティ人材の育成 Copyright © 2012 独立行政法人情報処理推進機構 制御システムセキュリティ 検討タスクフォース (経済産業省) <概要> 左記研究会の検討に基づき、主に 以下の2点における制御システムセキ リティについての施策の実施検討。 ◇日本国内のICSセキュリティ確保 ◇ICSの海外輸出のための評価認証 <タスクフォースに配置するWG> ・標準化WG (IPA) ・評価・認証制度WG (IPA) ・インシデントハンドリングWG ・テストベッドWG ・人材育成WG ・普及啓発WG 34 CSSCについて CSSCの概要 設立日 理事長 2012年3月6日(登録完了日) 新 誠一(国立大学法人電気通信大学 教授) •全13組織(2012年11月1日現在) アズビル株式会社 (旧社名:株式会社山武)、NRIセキュ アテクノロジーズ株式会社、オムロン株式会社、独立行 組合員 政法人産業技術総合研究所、独立行政法人情報処理推 (50音順) 進機構、株式会社東芝、株式会社トヨタIT開発センター、 株式会社日立製作所、富士電機株式会社、三菱重工業 株式会社、株式会社三菱総合研究所、森ビル株式会社、 横河電機株式会社 ■本部 〒135-0064 東京都江東区青海2-4-7 (独立行政法人産業技術総合研究所 臨海副都心センタ ー別館8F) 所在地 組合の概要 CSSCの目的 重要インフラの制御システムのセキュリティを 確保するため、研究開発、国際標準化活動、認 証、人材育成、普及啓発、各システムのセキュリ ティ検証にいたるまで一貫して業務を遂行する • 制御システムにおける高セキュア化技術の研究開発 • 広域連携システムにおける高セキュアシステム技術 の研究開発 • システムセキュリティ検証技術の研究開発 • 国際連携 • 制御セキュリティテストベッドの研究開発 ■テストベッド(構築中) 〒985-0842 宮城県多賀城市 桜木3-4-1 (みやぎ復興パーク内) Copyright © 2012 独立行政法人情報処理推進機構 35 CSSCについて • 組織体系 • テストベッド みやぎ復興 パーク Copyright © 2012 独立行政法人情報処理推進機構 みやぎ復興パーク (SONYの工場の一角) 内に複数の模擬プラント を設置予定 - PA - FA - BA - 発電、変電 - ガス 36 CSSCの活動・取組み • • • • • 制御システムのセキュリティ確保に資する研究開発の遂行 テストベッドの構築 普及啓発・人材育成の推進 インシデントハンドリングのサポート 国際標準化活動と評価認証事業の立上げ 5つの研究開発方針 Copyright © 2012 独立行政法人情報処理推進機構 8つの事業計画 37 評価認証・標準委員会 主たる担当機関:アズビル、NRIセキュア、東芝、日立、富士電機、横河、電通大、倉敷芸術科学大、AIST、IPA、(事務局)MRI 目標:制御システムのセキュリティに関する評価認証の国際相互認証のスキーム確率、及び標準化活動の実施 今後の取組みについては下記の線表を予定。 Copyright © 2012 独立行政法人情報処理推進機構 38 <制御システムセキュリティ> IEC62443のご紹介 IEC62443規格化の状況 (2012年2月現在) 39 産業システムの構成例 Copyright © 2012 独立行政法人情報処理推進機構 40 目次 1. 2. 3. 4. 5. IPAの紹介 社会インフラにおけるサイバー攻撃の現状と対策 制御システムにおけるセキュリティの取組み 自動車におけるセキュリティの取組み IPAの活動 Copyright © 2012 独立行政法人情報処理推進機構 41 自動車におけるセキュリティの取組み 42 自動車における脅威の特徴 • 直接的な攻撃にさらされやすい ・駐車場等での第三者による不正な改造・攻撃 ・なりすましたメーカ点検員や利用者自身による不正な改造・攻撃 • 自動車の利用形態ゆえの脅威 ・レンタカーやカーシェアリング等における自動車共有による情報漏洩 ・移動先で何が繋がり、誰が利用しているか分からない • 重大かつ広範囲の被害が発生する可能性も ・身体や生命への重大な被害 ・社会的混乱を招く可能性 ECUを不正書き換え、 不正なECUを追加 身体への被害 の可能性も 偽の情報で日本中が大渋滞 (「地震が来る」等のデマなど) 43 自動車の発展の現状 • 新しいサービスの発達 – カーシェアリング・エコドライブ等の新しい自動車の利用形態 – 車載ソフトウェアの増加等の、自動車の仕組み変化 – 車載センサや外部情報を利用したサービスの増加 • ネットワークへの接続 – 自動車とスマートフォンの連携 – 路車間・車車間通信等、新しいネットワークも利用される • 汎用プロトコル等の利用 – 車内ネットワークへのTCP/IP適用 – 汎用的な車載セキュリティチップの開発 – 車載システムに対する汎用OSの利用 44 新しいサービスの発達 電気自動車やカーシェアリングの発展 外部 急速充電器 自動車 EV, PHV パネル 停止 表示 維持 電力 管理 車載LAN CANバス分離 標準化中 充電ECU 電池 CAN GW 新しい自動車の利 用形態が発生する ごとに、それにあ わせた新しいセ キュリティ課題の検 討が必要 電力測定 充電CANバスを ゲートウェイで分離 認証・課金 系統連携 直流 放電器 充電 制御 パネル 表示 電力線 アナログで開始と許可 アナログ信号線 GW機能は充電ECUに内蔵 ゲートウェイ (GW) CAN通信 トランシーバ アナログ信号を 同時併用して制限 CAN通信は 充電用のみに特定 電池容量、充電時間、電池の最大値 電流指令値(100ms)、充電停止要求 充電CANバス ゲートウェイ で分離 ゲートウェイ (GW) CAN通信 トランシーバ CAN信号線 CHAdeMOインタフェース仕様 45 ネットワークへの接続 自動車に対する脅威とスマートフォン • 自動車本体に対する攻撃を、以下の3パターンに分類 – ①「近接」での攻撃 – ②「中間(持込機器着脱等)」での攻撃 – ③「広域ネットワーク経由」での攻撃 ②持込機器の 中に脅威が潜在 (ウィルス等) ①近接して、直接攻撃 (ユーザ本人、 整備員なりすまし等) 車体系 (ボディ) 駆動系 安全制御系 (パワートレイン) (シャーシ) ③外部ネットワーク経由で 侵入、攻撃 インフォテイン メント系 (メータ、エアコン、 (エンジン、トランス (ブレーキ、 (AV、カーナビ、 ミッション等) ウィンドウ等) ステアリング、 ETC、リアルタイム 衝突防止機能等) 交通情報等) マルチ メディア用 CAN(A/B/C)/LIN、FlexRay、他 車載ネット 車載型故障 ワーク 診断装置 MOST等 制御用車載ネットワーク (OBD) (ODB) 専用ネットワーク ビーコン(VICS), DSRC(ETC)等 汎用ネットワーク Wi-Fi, インターネット等 スマートフォンの普及によって、より自動車とインターネットの連携が進む。 自動車が攻撃の対象とならないために、情報セキュリティへの考慮は必須。 46 汎用プロトコル等の利用 車載Ethernetの標準化 AVnu Alliance トヨタ、ルネサスなど 制御への適用を 提案 2011 OPEN トランシーバ 実装 ALLIANCE Audio Visual TCP/IP化 UTP LR Ethernet (中国CCSA) 自動車業界 AV通信標準化 802.1 AVB AS/Qat/Qav/BA IEEE 1722/1733 車載LAN TCP/IP化 無線LAN IEEE 情報機器標準化 ドイツ自動車業界 研究開発 SEIS 2009 AUTOSAR 自動車業界ソフト標準化 Ethernet対応I/Fを規定 車載システムにEthernetや汎用OS等の汎用技術が利用され始めるなど、自動車業界の中でも、標 準化を進める動きがある。規格統一によって、攻撃の難易度が下がる可能性もあり、情報社会同様 のセキュリティ対策について検討する必要がある。 47 自動車の情報セキュリティに関する事例紹介 48 自動車の情報セキュリティに関連する事例(1/4) 【TPMS(Tire Pressure Monitoring System):タイヤの空気圧を常時監視するシステム】 ・TPMSの脆弱性を指摘する論文(2010年8月コンピュータソフトウェア関連学会USENIX)にて TPMSが使用する二つの無線周波数について、ソフトウェアで無線周波数をデジタル処理 するソフトウェアラジオの手法を使い、TPMSの無線通信方式そのものを解析。 (1)TPMSでは通信メッセージは暗号化されていない (2)タイヤのバルブに装着した空気圧測定装置は32bitの固有のIDを持つとともに、 自動車本体から40m離れても無線通信が可能であった。このことから路肩や高架橋 などで測定すれば、特定の自動車がいつ通過したかを記録することができる。 (3)TPMSの空気圧報告メッセージになりすますことができ、いつでも警告灯を点灯させる ことができた アンテナ センサ 受信機 RFケーブル 表示機 センサ ! センサ ECU センサ (電池内蔵) Wireless 遠隔からの攻撃 49 自動車の情報セキュリティに関連する事例(2/4) 【携帯電話に繋がっている自動車に対する遠隔地からの攻撃事例】 2011年論文:「Comprehensive Experimental Analyses of Automotive Attack Surfaces.」より 3G携帯電話 通信モジュール (事前)音声による ソフトウェアモデム 3G携帯電話 通信モジュール 2. ソフトウェアモデムに 認証なしで接続 音声による ソフトウェアモデム 車載LANへの ゲートウェイ認証 3. 脆弱性により認証迂回 1. 脆弱性経由で クライアント実行 6.任意の CANメッセージ送信 遠隔からの攻撃 5. 遠隔操作用 クライアント (IRC) コマンド 解析処理 4. 脆弱性によりソフト実行 テレマティクス 車載機 7. 指示された CANメッセージ送信 8.CAN メッセージ ECU 9. ドアロック解除 エンジンスタートなど モデム用音声データで 一括実行可能 遠隔操作用のクライアントを乗っ取った後、任意のCANメッセージを送ることで自動車の制御を攻撃可能 「不要な通信サービスを削除」「複数機能が連携する部分のセキュリティを検討する」事が重要 50 自動車の情報セキュリティに関連する事例(3/4) 【遠隔イモビライザー:イモビライザー(電子キーを利用した自動車盗難防 止機能)を遠隔から操作できるシステム】 • 2010年3月、米国テキサス州オースチンで、突然100台以上の自動車のエ ンジンがかからなくなったり、警告ホーンが鳴り続け止められなくなる事件が 発生。 • ある自動車販売店がローンで販売した自動車には、返済が滞った場合に停 止させるための遠隔イモビライザーが装着されていたが、解雇された従業員 が不正操作。 • 自動車のキーを持っていても警告ホーンの鳴動を止められず、エンジンをス タートできないため整備工場にも持ち込めず。 51 自動車の情報セキュリティに関連する事例(4/4) 【整備ツール:自動車整備用に製造された市販されていないツール】 • イモビライザーの鍵を消去できる部品の流通 – 2010年11月、自動車の盗難防止装置であるイモビライザーを解除 する器具「イモビカッター」を悪用し、特定車種の窃盗を繰り返した容 疑者グループが逮捕された。 – ディーラ整備工場には、自動車の電子キーを消去または上書きして新 しい電子キーを再登録できる整備ツールが配備。 – 本ツールから電子キーを再登録する機能を抜き出し、OBD-IIに装着 するだけで動作する部品を海外で製造 52 IPAによる自動車の脅威の分析 53 IPAによる自動車の脅威分析(1/5) 自動車の脅威を考える為に、自動車の機能を整理する必要がある。 しかし、自動車メーカや車種等によって、機能の整理手法は様々。 →IPAでは自動車の機能を整理した「IPAカー」をモデルとし、脅威を分析した 1.基本制御機能 2.拡張機能 3.一般的機能 I. F. ITS 機能 G. テレマ ティクス H. インフォ テイメント Bluetooth 無線LAN USBポート SDスロット OBD-II A. 駆動系 B. シャーシ 系 C. ボディ系 D. 安全 快適機能 E. 診断・ 保守*1 持ち込み 機器 スマートフォン PND パソコン タブレット プレーヤ メモリ/HDD ハンズフリー リモコン 診断機 エコメータ カスタムメータ *1 診断・保守: 診断・保守は個々のECUなどに搭載されている場合がある 54 IPAによる自動車の脅威分析(2/5) 基本制御機能: ・自動車の基本的な機能である「走る・曲がる・止まる」を制御する基本的な機能。 ・この機能が攻撃を受けると車両事故に直結する為、高いセキュリティが必要。 ・「拡張機能」が不安定な時は、他の機能を遮断してでも守る必要がある。 1.基本制御機能 2.拡張機能 3.一般的機能 I. F. ITS 機能 G. テレマ ティクス H. インフォ テイメント Bluetooth 無線LAN USBポート SDスロット OBD-II A. 駆動系 B. シャーシ 系 C. ボディ系 D. 安全 快適機能 E. 診断・ 保守*1 持ち込み 機器 スマートフォン PND パソコン タブレット プレーヤ メモリ/HDD ハンズフリー リモコン 診断機 エコメータ カスタムメータ *1 診断・保守: 診断・保守は個々のECUなどに搭載されている場合がある 55 IPAによる自動車の脅威分析(3/5) 拡張機能: ・自動車の快適な運転や、運転のサポートを担う機能 ・機能の性質上、外部との通信機能を持つ事も多く、また車内での連携機能も多い。 ・今後も機能向上が見込まれ、それに伴ったセキュリティ対策が必要になっていく。 1.基本制御機能 2.拡張機能 3.一般的機能 I. F. ITS 機能 G. テレマ ティクス H. インフォ テイメント Bluetooth 無線LAN USBポート SDスロット OBD-II A. 駆動系 B. シャーシ 系 C. ボディ系 D. 安全 快適機能 E. 診断・ 保守*1 持ち込み 機器 スマートフォン PND パソコン タブレット プレーヤ メモリ/HDD ハンズフリー リモコン 診断機 エコメータ カスタムメータ *1 診断・保守: 診断・保守は個々のECUなどに搭載されている場合がある 56 IPAによる自動車の脅威分析(4/5) 一般的機能: ・スマートフォンやPCに代表されるような、ユーザが外から持ち込んで使う機器。 ・サービスも多様で、様々な情報を扱う為、攻撃者に最も狙われやすい部分。 ・既存のセキュリティ技術の適用が可能であり,対策の実施にはユーザの協力が必要。 1.基本制御機能 2.拡張機能 3.一般的機能 I. F. ITS 機能 G. テレマ ティクス H. インフォ テイメント Bluetooth 無線LAN USBポート SDスロット OBD-II A. 駆動系 B. シャーシ 系 C. ボディ系 D. 安全 快適機能 E. 診断・ 保守*1 持ち込み 機器 スマートフォン PND パソコン タブレット プレーヤ メモリ/HDD ハンズフリー リモコン 診断機 エコメータ カスタムメータ *1 診断・保守: 診断・保守は個々のECUなどに搭載されている場合がある 57 IPAによる自動車の脅威分析(5/5) 外部から、情報の入出力が出来るポートを持つ機能についてはPCと同様の脅威がある。 一方で、制御系を外部から直接攻撃する手段に関しては、現状では見つからない。 設定不良、 ユーザ情報漏 えい、盗聴、 DoS攻撃 (設定不良、蓄積情報漏 不正利用、 不正設定、 盗聴 等 えい、不正利用、不正設 定、ウイルス感染、盗聴) A. 駆動系 B. シャーシ 系 F. ITS 機能 C. ボディ系 不正利用 蓄積情報漏え い、不正設定、ウ イルス感染、盗 聴、不正アクセス 等 G. テレマ ティクス D. 安全 快適機能 設定不良、蓄 積情報漏えい、 DoS攻撃 等 ウイルス感染、蓄積 情報漏えい、不正利 用、不正設定、ウイル ス感染、盗聴、不正 アクセス 等 H. インフォ テイメント E. 診断・ 保守 設定不良、情 報漏えい、不正 アクセス 等 ウイルス感染、設定 不良、操作ミス、不 正利用、不正設定、 ウイルス感染、盗 聴、不正アクセス 等 Bluetooth 無線LAN USBポート SDスロット OBD-II 不正利用、 不正設定、 盗聴 等 I. 持ち込み 機器 スマートフォン パソコン タブレット プレーヤ メモリ/HDD エコメータ カスタムメータ 海外の研究発表の事例にもあるように、自動車制御に直接攻撃を仕掛けるのではなく、脆弱なシ ステムを踏み台にして、自動車制御に影響を与える危険性がある 「自動車のセキュリティへの取組みガイド」 2013年第一四半期に公開予定 58 目次 1. 2. 3. 4. 5. 6. IPAの紹介 社会インフラにおけるサイバー攻撃の脅威 社会インフラにおけるセキュリティの取り組み 昨今のサイバー攻撃 新しい発想に立った対策 IPAの取組み Copyright © 2012 独立行政法人情報処理推進機構 59 システムライフサイクルに合わせたIPAの活動 セ ■ 調査、動向把握、 キ 開発方針・体制整備 ■ セキュアプログラミング ■ ソースコード検査 ュ (ビジネスインパクト分析含む) リ ■ テスト(ファジング他) テ ■ 脆弱性診断(ペネトレーション) ィ 対 ■ 運用時対策 策 ■ 脆弱性対策 ラシ イス フテ サム イ ク ル 1. 企画 2. 設計 脅威、動向 3. 実装 5. 運用/利用 4. テスト 脆弱性 6. 廃棄 攻撃 TCP/IP ■ Web攻撃検出ツールiLogScanner ■ WAF読本 脆弱性 IPA ■ 検証ツール ■ 情報セキュリティポータル ■ 知っていますか?脆弱性 ■ セキュアプログラミング講座 (ファジング) の ■ 5分でできる! ■ 開発者向け脆弱性 ■ SIP 活 <調査・ガイド類> 情報セキュリティポイント学習 脆弱性 実習ツール: AppGoat 動 ・組込みシステム向け 検証ツール 【届出制度/脆弱性/ウイルス】 ・情報家電向け ・ ■ 脆弱性届出制度(PP/Web) 成 ・制御システム向け ■ ソースコード検査ツール ■ JVN, JVN iPedia, MyJVN 果 ・自動車向け ■ウイルス、不正アクセス届出制度 ■ 「新しいタイプの攻撃」の対策に 物 ・生体認証導入、 ■ 安心安全相談窓口 向けた設計・運用ガイド 運用ガイド ■ J-CSIP情報共有 Copyright © 2012 独立行政法人情報処理推進機構 60 ■ 安全なWebサイトの作り方 ■ 脆弱性 検出 情報セキュリティ白書 ■ 安全なSQLの呼び出し方 10大脅威 ■ ■ 組込みシステムのセキュリティへの取組みガイド http://www.ipa.go.jp/security/fy22/reports/emb_app2010/ 16の具体的なチェック項目と4つのレベル 「マネジメント」、「企画」、「開発」、「運用」、「廃棄」の全てのフェーズを網羅 各フェーズからセキュリティのために重要な計16項目を選定し、項目ごとに4つのレベルを策定。 本書の活用法 • • • 自組織の把握 上位を目指す よりセキュアな製品 項目ごとのレベルが一覧できる付録チェック表 (「マネジメント」「企画」フェーズのみ抜粋) Copyright © 2012 独立行政法人情報処理推進機構 61 サイバー情報共有イニシアティブ クローズドな情報共有の場 (J-CSIP)の活動 クローズドな情報共有の枠組みにより、事前対策を加速 J-CSIP: initiative for Cyber Security Information sharing Partnership of Japan 情報共有スキーム J-CSIPメンバ企業実施項目 NDAに基く情報共有 標的型メール攻撃からスタート ① 組織内への注意喚起・初動対策 ⇒ メール開封を回避 ②メールサーバのアーカイブの検証 ⇒ 攻撃痕跡検証 ③防御対策 ⇒メールフィルタのチューニング、 FWパラメータ設定等 ④ 検証結果のフィードバック ⇒ 再度の 情報共有 a 該当メール、類似メールの検出有無 a 開封の有無 a 被害の有無 企業 重工業系 9社でスタート Copyright © 2012 独立行政法人情報処理推進機構 メンバ企業 SIG ・情報収集、分析 ・匿名化、情報共有 ・攻撃の実態調査 ・ノウハウの蓄積 ・一般注意喚起 企業 SIG:Special Interest Group(業界毎の情報共有グループ) 企業 〔情報ハブ〕 企業 メンバ 拡大 共有 情報 標的型 攻撃 情報 別業界 ・電力 ・ガス ・石油 ・化学 緊急対策情報等 対策の整備 企業 対 応 ① ~ ③ を 実 施 企業 ④ 検証結果 一般企業、個人 62 IPA「脅威と対策研究会」 オープンな情報共有の場 の活動 IPA「脅威と対策研究会」 (2010.12 ~) SIベンダ、セキュリティベンダ、大学関連等の有識者で構成 「新しいタイプの攻撃」に関する攻撃の特徴の分析および対 策の検討等を行う A社 A社の 知見 ツール ・ ・ ・ 新しい脅威 Z社 Z社の 知見 インシデント IPA 成果・アウトプット 脅威と対策研究会 知見ある人 ① 注意喚起 脅威の注意喚起 外部 外部 知見の連携 の場 有識者 ツール IPA ② 解説資料 脅威の解説資料 ③ 脅威パターン と対策セット 知見 集約 大学・研究組織 予兆 IPA 組織の 知見 ツール IPA IPAの 知見 ツール Copyright © 2012 独立行政法人情報処理推進機構 ツール 検体 ③脅威パターンと対策セット 1.ベース資料作成 RMから抜粋とIPAとして公開 できる形式に整理 (1)どのようなものか決定 (2)どう作成するか ドキュメント作成者決定 IPA非常勤(Sier?) (3)レビュー&FIX 2.新しい脅威パターン等追加 (1)更新 63 安心安全相談窓口の設置 ~攻撃情報の把握と対策の啓発~ 標的型メールにおける対応体制の整備 (2008.9 ~) 標的型メールの受付け窓口の設置 定期的な分析・対策レポートの発行とツールの提供 新たな脅威 ウイルス 標的型メール IPA IPA 安心安全相談窓口 研究会・委員会など 状況把握 現状に則した情報発信 ・注意喚起の発信 ・技術白書への掲載 Copyright © 2012 独立行政法人情報処理推進機構 脅威分析 分析レポートの公開 ・脅威の分析と対策レポート vol.1~6まで公開 IPA ツール開発・ガイド検討 対策方法提示 対策・チェックツールの提供 ・標的型攻撃解析ツール ・MyJVN バージョンチェッカ 64 MyJVNバージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/ ソフトウェア製品の脆弱性対策状況をチェック 利用者のPCにインストールされているソフトウェア製品のバージョンが 最新であるかを、 簡単な操作で自動的に確認するツール チェックリストに基づき、バージョンが最新であるかどうかの チェックを手作業ではなく、ツールにより作業を自動化する。 サーバーソフトやサーバOS(Windows,Linux)でも動作可能 Adobe Reader Adobe Flash Player 最新 古い Firefox 最新 Copyright © 2012 独立行政法人情報処理推進機構 JRE 古い 65 MyJVNバージョンチェッカ ~PCのセキュリティ状況を簡易チェック~ • MyJVNのHPのトップページから起動し、チェックが可能です。 簡単操作で、インストールしているソフトウェアの最新 バージョンの適用状況をチェックできます Copyright © 2012 独立行政法人情報処理推進機構 66 ここからセキュリティ! 情報セキュリティ・ポータルサイト https://www.ipa.go.jp/security/kokokara/ • 「ここからセキュリティ!」の特長 1. 利用者が必要な情報に容易にアクセスで きるように、「被害に遭ったら」、「対策す る」、「教育・学習」等のテーマごとにコンテ ンツを掲載 2. 動画コンテンツやイラストの利用により、情 報セキュリティを苦手と感じる利用者に配 慮 3. トップページでは、「ウイルス(マルウェ ア)」、「不正アクセス」、「標的型攻撃」等の 情報セキュリティ上の脅威ごとに、新着情 報を中心としたコンテンツを掲載 4. サイバー犯罪等の被害に遭った場合の対 処方法を事例ごとに掲載 5. 「中高生向け」、「中小企業向け」等の対象 者ごとに、教育・学習用コンテンツを掲載 6. 関係省庁や情報セキュリティ関連団体・事 業者が公表する最新の統計資料等を掲載 官民様々なセキュリティコンテンツを紹介! Copyright © 2012 独立行政法人情報処理推進機構 67 ソフトウェア製品の開発ライフサイクルに ファジングの導入を(1/2) ファジングとは ファジングとは、ソフトウェ ア製品に、問題を引き起こし そうなテストデータを大量に 送り込み、その応答や挙動を 監視することで脆弱性を検出 する検査手法です。 ・バグや脆弱性の低減 ・テストの自動化・効率化による労力削減 68 ソフトウェア製品の開発ライフサイクルに ファジングの導入を(2/2) ファジングの活用 製品開発企業でまだファジン グを導入していない場合、ま ずは開発部門、品質保証部門 でのファジングを活用を推奨 します。 製品開発における品質保証 部門だけではなく、開発部 門でもファジングを活用す ることで、製品出荷後に脆 弱性が発見される可能性を 低減させることができます 活用の手引き http://www.ipa.go.jp/security/vuln/fuzzing.html 管理部門・開発部門向け ファジングの概要から実践方 法、および製品開発組織にお けるファジングの活用方法な どをまとめた手引書です。 Copyright © 2012 独立行政法人情報処理推進機構 開発部門・品質部門向け オープンソースソフトウェアなどを 活用してすぐにファジングを実践で きるよう、ツールの使い方などをま とめた解説書です。 69 おわりに IPAは、安心安全な情報システム、社会インフラの 実現を目指します ご清聴,ありがとうございました 独立行政法人情報処理推進機構 技術本部 セキュリティセンター http://www.ipa.go.jp/security/index.html http://www.ipa.go.jp/security/vuln/index.html Copyright © 2012 独立行政法人情報処理推進機構 70