Comments
Description
Transcript
IoTの情報セキュリティ - IPA 独立行政法人 情報処理推進機構
IoTの情報セキュリティ 2015年5月13日(水)-15(金) 独立行政法人情報処理推進機構(IPA) 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 博士(情報学) 中野 学 1 社会的背景 ~情報セキュリティの今・昔~ 2 組込み機器の今昔 ~繋がるモノ~ クラウド ・これまでの組込みシステム ■スタンドアロンで動作 ■機械的な制御 Car2X 自動車 ・これからの組込みシステム ■インターネットを含めた様々な ネットワークと接続して動作。 ■そしてクラウドへ。 ■ソフトウェア制御。 ■個人情報や操作情報のよう な機微な情報を含めた様々な 情報(ビッグデータ)を扱う。 3 ビックデータの時代へ ~繋がってしまうモノ~ 自動車 スマートフォン 電話帳、メール、写真、 動画、音楽、GPS情報、 オートロック機能、etc… 車速、ハンドル舵角 燃費、充電情報、 自動運転機能、etc… ゲーム機 各種アカウント、電子マネー コンテンツ、 プレイデータ、etc… ビッグデータ ユーザ情報、コンテンツ クレジットカード情報、 録画予約機能、etc… デジタルテレビ 利用者情報、健康状態、 各種設定情報、 制御機能、etc… スキャン情報、FAX情報、 ユーザ情報、 データ送信機能、etc… デジタル複合機 デジタルヘルス 情報の中には、複数のデータが組み合わさることで個人が特定される情報や、人によっては外に 出したくない情報など様々であり、ビックデータの中の情報をどれだけ守れば良いかと定義する事 は難しい。利用用途やサービス目的を鑑みつつ、情報を保護する手段や消去手段を持つ事が望ま れる。また、遠隔操作可能な機能を持つ事で、悪意ある者からの脆弱性を狙った攻撃や、不正利 用が考えられる。脆弱性を作りこまない開発や、攻撃を予防するセキュリティ対策が必要。 4 三つの進化と、それに伴うセキュリティ 新しいサービスの発達 ネットワークへの接続 新しい技術や機器の 発展に伴って,様々な新しい サービスが創出される。 これにより,組込み業界に 様々なプレイヤーが係わり, 多様な情報が扱われる ようになる。 通信機能の搭載が 容易・必須になり インターネットを含めた 公共回線の利用が当然と なる。これによって様々な モノが繋がる世界になる。 情報の価値や重要度に応じた セキュリティや情報の取扱いを 利用者が理解・選択出来る ような仕組みが必要となる。 また,新しいサービスの 出現伴って,それに適した セキュリティを検討する 必要がある。 これまでネットワーク経由の 攻撃が考慮されてこなかった 製品群が,今後は攻撃の 対象となるため,製品の セキュリティはもちろん, 利用者の教育についても 検討する必要がある。 汎用プロトコル等の利用 多種多様な機器を 接続するためや, 機器のコスト競争等から, 例えばTCP/IPなどの 汎用プロトコルが 利用されるようになる。 これまで利用されてきた 独自プロトコルが標準化され, 一般的なPCでも利用される 汎用プロトコル等が 利用されることで,PCと 同様の脅威が発生する 可能性がある。 5 IoTのこれから 新しいサービスの発達 • 車載センサの情報を活用したサービス(自動車) • 健康促進に向けた身体情報の活用(ヘルスケア) • 一般家庭における高度医療の実現(医療) ネットワークへの接続 • 自動車とスマートフォンの連携(自動車) • 院内LANと外部ネットワークの接続(医療) 汎用プロトコル等の利用 • 車載システムや医療機器への汎用プロトコル利用 • 自動車や医療を専門としないソフトウェアメーカ等の参入 6 インシデント等の事例 ~IoTと関連する様々な機器とシステム~ 7 情報家電の情報セキュリティに関連する事例 ■ HDDレコーダが踏み台に使われる 2004年に国内某メーカのHDDレコーダの事例 • 認証なしでアクセスが可能となる脆弱性があった • 当該HDDレコーダから攻撃を受けたがブログで報告 • 攻撃元を辿れば、攻撃をしている (脆弱性のある)製品が解る。 • 攻撃発覚後、メーカ側は以下の対応を実施済 • ソフトウェアアップデート • 「セキュリティ設定に対するお知らせ」の公開 http://www.itmedia.co.jp/lifestyle/articles/0409/24/news025.html Copyright © 2015 独立行政法人情報処理推進機構 8 Webカメラの情報セキュリティに関連する事例 ■ Webカメラの画像を意図しない相手が見ることが可能な事例 2015年3月に朝日新聞でWebカメラの利用の不備が指摘される • IPアドレス等から2,163台のWebカメラを検出、 内769台でパスワードが未設定 • 非公開の試作品や店舗や工場の様子が確認できた • カメラによっては場所を特定できるケースも • カメラの向き等を第三者が操作できた可能性も指摘される パスワードが設定されていたとしても。。。 • デフォルトパスワードの利用 • Webカメラ自体に脆弱性がある可能性も http://www.asahi.com/articles/ASH3654C1H36PTIL00W.html Copyright © 2015 独立行政法人情報処理推進機構 9 医療機器セキュリティの事例 ■ 2011年Black Hat でJerome Radcliffe氏が報告したインスリンポンプへのハッキ ング ハッキングのために、インスリンポンプ及びCGMセンサについて、付属のマニュア ルや特許庁Webサイトから情報収集を行い、機能や構成の情報を収集。 次にCGMセンサを通信情報の解読し、インスリンポンプにおいても機器のシリアル 番号を取得できれば無線通信により誤った命令を実行できるとしている。CGMセン サ、インスリンポンプそれぞれにおいて、理論上は以下の攻撃が可能であると発表 している。 • CGM センサに対しては血糖値の改ざんや通信の妨害が可能 • インスリンポンプ攻撃例は設定を改ざんし、意図しない動作の誘発(インスリン 投入のタイミングや一回当たりの投入量の変更等)が可能 CGMセンサ: (continuous glucose monitors:継続的に糖濃 度を計測するシステム) インスリンポンプの通信イメージ(左)と機器(右)(出典:(左)MEDICAL DEVICES Copyright © 2015 独立行政法人情報処理推進機構 10 自動車へのハッキングの事例 【CAN(Controller Area Network):主要な車載LAN方式の一つ】 ・2010年ワシントン大学Kohno氏論文「Experimental Security Analysis of a Modern Automobile」にて CAN本体について; (1)CAN通信は同一バス上に同報する方式で、盗聴、解析が容易 (2)認証フィールドとは発信元(ソースアドレス)がなく、なりすましが容易 など CANを利用した車載LAN上機器の処理の不足や標準的な処理の不備などについて; (3)走行中には無視しなければならないはずのCANバス全体の通信停止メッセージが、実際には有効 (4)走行中のECUの書換えは禁止されているはずであるが、実際には書換えモードに入ることが可能 (5)OBD-IIに接続した実験用のPCから上記のテレマティクス端末のソフトウェアを認証手順なしで書換え 現在は、攻撃を行う ための機材とソフト ウェアは市販製品で は機能不足のため 開発が必要で、攻 撃の難易度は高い。 ECU単体の解析(左)、静止時の車台上でのECU間解析と試験(中)、走行中の動作試験(右) Copyright © 2015 独立行政法人情報処理推進機構 11 重要インフラの制御システムへの攻撃例 Stuxnetによる制御システム停止? Stuxnetとは ◇入念に準備されたマルウェア ◇複数のゼロデイ脆弱性を狙う 制御システムを停止させた ◇イランの核開発を遅らせるために 使われたと言われている このウイルスの目的は、イランの核施設における遠心分離機を破壊することであり、そ のため、遠心分離機の回転速度に関わる制御システムに特定のコマンドを出したとい http://wired.jp/2012/06/04/confirmed-us-israel-created-stuxnet-lost-control-of-it/ う。 ---米国のシンクタンク Institute for Science and International Securityは、2009年の終 わりから2010年の初頭にかけて、イランにある遠心分離器9000台のうち、約1000 台がStuxnetによって破壊されたとしている。 http://japan.zdnet.com/security/analysis/35005709/ Copyright © 2015 独立行政法人情報処理推進機構 12 セキュリティ検討・対策の一例 ~これまでの調査とIPAのツールから~ 13 利用者や利用シーン等の整理(1/2) ~IPAにおける医療機器の分類~ IPAでは医療機器を利用方法や重要度にあわせ、以下のような分類を行った。 医療従事者による利用 医療機器(薬事法の対象) 高度管理医療機器(クラスⅢ、Ⅳ) 不具合が生じた場合、人体への影 響が大きい機器 人工呼吸器、除細動電 極、輸液ポンプ、麻酔 システム、透析器 医療情報システム 一般医療機器(クラスⅠ) /管理医療機器(クラスⅡ) 不具合が生じた場合でも、人体への 影響が軽微な機器 MRI、電子内視鏡、 超音波診断装置、 X線フィルム、聴診器 医療事務や診療を支援するシステムや、 患者情報を扱うも端末やネットワーク D群 オーダリングシステム、 医事会計システム、 電子カルテ A群 ヘルスケア機器 一般利用者による利用 使用することにより健康の増進 や体型の維持向上が期待できる とされている器具 ペースメーカー、 人工心臓弁、 インスリンポンプ 携帯型電子式血圧計 携帯型心電計、 電気治療器、 B群 Copyright © 2015 独立行政法人情報処理推進機構 エアロバイク等、 活動量計、睡眠計 体組成計 C群 14 利用者や利用シーン等の整理(2/2) ~IPAにおける医療機器の分類~ A群(医療機関で取り扱われる専門機器) • 機器一台が高額,かつ細やかな設定がなされている。 • 病院内での利用に限られ,基本的には安全な環境で利用される。 • 不具合が発生した場合,人体への影響は大きい。 B群(医療機関の判断で利用される専門機器) • 一般利用者(患者)が利用するが,設定等は主に病院が行う。 • センサ機能だけでは無く,医療行為を行う機能がついている。 • 病院外での利用に対応しており,短距離無線機能を持つものも多い。 C群(健康促進・体調管理を目的として利用される機器) • 一般利用者が家電量販店等で購入することが可能。 • 主にセンサ及び情報集積機能のみであり,医療行為は行わない。 • データの信頼性は(現状のところでは)強く求められていない。 D群(医療行為のサポートを行うシステム) • 医療行為に大きな影響は無いが,多くの機微情報を含む。 • オープンソースのシステムもあるなど,一般的な情報システムに酷似 Copyright © 2015 独立行政法人情報処理推進機構 15 適切な脅威分析・対策検討の実施 ~IPAによる自動車セキュリティ分析の例~ 外部から、情報の入出力が出来るポートを持つ機能についてはPCと同様の脅威がある。 一方で、制御系を外部から直接攻撃する手段に関しては、現状では見つからない。 設定不良、 ユーザ情報漏 えい、盗聴、 DoS攻撃 (設定不良、蓄積情報漏え 不正利用、 不正設定、 盗聴 等 F. い、不正利用、不正設定、 ウイルス感染、盗聴) A.駆動系 B.シャーシ 系 ITS 機能 C. ボディ系 不正利用 蓄積情報漏えい、 不正設定、ウイ ルス感染、盗聴、 不正アクセス等 G.テレマ ティクス D.安全 快適機能 設定不良、蓄 積情報漏えい、 DoS攻撃 等 ウイルス感染、蓄積 情報漏えい、不正利 用、不正設定、盗聴、 不正アクセス 等 ウイルス感染、設定 不良、操作ミス、不 正利用、不正設定、 盗聴、不正アクセス 等 H.インフォ テイメント E.診断・ Bluetooth 無線LAN USBポート SDスロット OBD-II 保守 設定不良、情 報漏えい、不正 アクセス 等 不正利用、 不正設定、 盗聴 等 I. 持ち込み 機器 スマートフォン パソコン タブレット プレーヤ メモリ/HDD エコメータ カスタムメータ 海外の研究発表の事例にもあるように、自動車制御に直接攻撃を仕掛けるのではなく、 脆弱なシステムを踏み台にして、自動車制御に影響を与える危険性がある Copyright © 2015 独立行政法人情報処理推進機構 16 ライフサイクルを通したセキュリティへの取組み ~組織としてのセキュリティ対策~ マネジメント(セキュリティ関連商品でなくても、メーカとして常に行うべき事柄) セキュリティルールの策定、セキュリティ教育の実施、セキュリティ情報の収集と展開 企画(ライフサイクル全体の計画を行うフェーズ) セキュリティに配慮した要件定義の策定、セキュリティ関連予算の確保、 開発外部委託におけるセキュリティへの配慮、新技術に関連する脅威への対応 開発(システムの開発を行うフェーズ) 設計、実装時のセキュリティ対策、セキュリティ評価・デバッグ、 利用者等への情報提供用コンテンツ等の準備 運用(組込みシステムがユーザの手に渡った後、製品として利用されるフェーズ) セキュリティ上の問題への対処、利用者や自動車関係者への情報提供、 脆弱性関連情報の活用 廃棄(買い替え、故障などで組込みシステムが廃棄、リサイクルされるフェーズ) 廃棄方法の策定と周知 「自動車の情報セキュリティへの取組みガイド」や 「Cyber Security Management System」を御参考に これらの紹介パネル・資料は当ブースにあります。 Copyright © 2015 独立行政法人情報処理推進機構 17 情報システムにおける セキュリティ対策の有効利用(1/3) 脆弱性情報データベース JVN iPedia URL:http://jvndb.jvn.jp/ 国内外の脆弱性対策情報を収集したディクショナリデータベース IPAが運営するサイト 国内ベンダーと連携を し、脆弱性対策情報を 公開 海外の脆弱性DB (NVD)の情報を日本語 翻訳して公開 約42,000件の脆弱性 対策情報を登録 Copyright © 2015 独立行政法人情報処理推進機構 情報システムにおける セキュリティ対策の有効利用(2/3) セキュリティ上の弱点(脆弱性)を作りこまないための教育 • 学習によって脆弱性に対する理解を深める • サンプルアプリで実際に手を動かして脆弱性を知る • 「よくある脆弱性」に対するチェックを行う 学習の流れ 学習テーマ選択後の流れ 脆弱性 原理解説 演習 影響解説 ウェブアプリの脆弱性体験学習ツール AppGoat Copyright © 2015 独立行政法人情報処理推進機構 対策方法 解説 脆弱性 修正 解答・修正 例確認 Androidアプリの脆弱性体験学習ツール AnCole 情報システムにおける セキュリティ対策の有効利用(3/3) ファジング(英名:Fuzzing)の利用 • 何万種類もの問題を起こしそうなデータ(例:極端に長い 文字列)を送り込み、対象製品の動作状態(例:製品が 異常終了する)から脆弱性を発見する技術 【イメージ図】 検査データ(1番目) ファジング ツール(*1) (Fuzzing tool) 応答あり 検査データ(2番目) 応答あり 例えば、 「Codenomicon」 「Raven」 「Peach」 など。 ・ ・ ・ 何万種類の検査データを送信 ・ ・ ・ 検査データ(12345番目) 応答なし 対象機器(*2) IPAが実施したファジングでは、ルータの脆弱性を発見。他の組込み機器に対しても調査中。 IPAではこの調査結果や、ファジングの利用ガイド等も随時公開。 (*1): ファジングツールは、商用製品だけではなく、オープンソースソフトウェア、フリーソフトウェアも存在します。 (*2): この図では組込み機器を示していますが、ソフトウェア製品でも同様です。 Copyright © 2015 独立行政法人情報処理推進機構 既存制度の利用・改良 ~自動車の例を基に~ IoT機器は業界ごとに専用の制度・施設等が存在する • 免許の取得・更新 • 利用者にセキュリティ教育を施す機会 • 公的機関によるものなので,足並みを揃えるのが容易 • 車検 • 数年に一度とはいえ,必ずメンテナンスできる機会 • 被害事例やパッチ適用率等も調査可能? • ガソリンスタンドという情報ステーション • 「自動車利用者なら必ず訪れる場所」が存在 一般利用者にセキュリティ意識を持って頂く事はなかなかに難しい 特定環境下もしくは特定利用者に利用される機器は 利用者教育及び機器の一元管理がやりやすい状況にある。 Copyright © 2015 独立行政法人情報処理推進機構 まとめ ~IoTセキュリティのこれから~ 22 総合的&継続的なセキュリティ対策を 医療関係者 利用者 開発関連組織 サービス提供社 セキュアな IoT関連機器 樽の理論 セキュリティレベル Copyright © 2015 独立行政法人情報処理推進機構 サービス 提供社 利用者 効果的なセキュリティ対策を実施するため には、組込み機器の開発関連組織のみな らず、それに関わる組織・人の連携が必要 IoT関連組織 何本もの樽材で組み合わせ、タガを締めた樽 には、一番短い樽材の位置までしか水は入らな い。それより長い樽材をどれほど高級なものにし たとしても、この結果は変わらない。 攻撃者はサービス・システム 全体を分析した上で、一番 弱点となっている所を狙う。 場合によってはそれを踏み 台としてさらに内部に攻撃を しかける事も。 23 最後に: 安全でセキュアな社会に向けて 事故 誤操作 攻撃 Safety & Security Copyright © 2015 独立行政法人情報処理推進機構 24 Windows Server 2003のサポート終了に伴う注意喚起 Windows Server 2003のサポートが、2015年7月15日に終了します。 サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が 成功する可能性が高まります。 サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの 影響調査や改修等について計画的に迅速な対応をお願いします。 業務システム・サービスの停止・破壊 重要な情報の漏えい データ消去 ホームページの改ざん 脆弱性を 悪用した攻撃 脆弱性が 未解決なサーバ 他のシステムへの攻撃に悪用 会社の事業に悪影響を及ぼす被害を受ける可能性があります 詳しくは IPA win2003 検索 またWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします 25 ITパスポート公式キャラクター 上峰亜衣(うえみねあい) 【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html 「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。 ご清聴ありがとうございました! 本成果はIPAのWebサイトでダウンロードする事ができます。 https://www.ipa.go.jp/security/index.html Contact: IPA(独立行政法人 情報処理推進機構) 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー TEL 03(5978)7527 FAX 03(5978)7518 電子メール [email protected] Copyright © 2015 独立行政法人情報処理推進機構 27