Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
「IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ 」 OWASP Ka...
Search
OWASP Kansai
September 04, 2017
Technology
1
430
「IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ 」 OWASP Kansai
OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaにて
パナソニック株式会社 堀部 千壽さんに
発表いただいた資料です
OWASP Kansai
September 04, 2017
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP KansaiDAY 2025.09_文系OSINTハンズオン
owaspkansai
0
74
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
80
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
510
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
1.2k
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
380
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
1k
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
520
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
200
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
260
Other Decks in Technology
See All in Technology
AI Agentと MCP Serverで実現する iOSアプリの 自動テスト作成の効率化
spiderplus_cb
0
490
stupid jj tricks
indirect
0
7.9k
定期的な価値提供だけじゃない、スクラムが導くチームの共創化 / 20251004 Naoki Takahashi
shift_evolve
PRO
3
300
業務自動化プラットフォーム Google Agentspace に入門してみる #devio2025
maroon1st
0
190
「AI駆動PO」を考えてみる - 作る速さから価値のスループットへ:検査・適応で未来を開発 / AI-driven product owner. scrummat2025
yosuke_nagai
4
580
o11yで育てる、強い内製開発組織
_awache
3
120
SREとソフトウェア開発者の合同チームはどのようにS3のコストを削減したか?
muziyoshiz
1
100
Findy Team+のSOC2取得までの道のり
rvirus0817
0
330
"複雑なデータ処理 × 静的サイト" を両立させる、楽をするRails運用 / A low-effort Rails workflow that combines “Complex Data Processing × Static Sites”
hogelog
3
1.9k
AI時代だからこそ考える、僕らが本当につくりたいスクラムチーム / A Scrum Team we really want to create in this AI era
takaking22
6
3.4k
KAGのLT会 #8 - 東京リージョンでGAしたAmazon Q in QuickSightを使って、報告用の資料を作ってみた
0air
0
200
pprof vs runtime/trace (FlightRecorder)
task4233
0
160
Featured
See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
2.6k
4 Signs Your Business is Dying
shpigford
185
22k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.5k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
Embracing the Ebb and Flow
colly
88
4.8k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
9.7k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
140
34k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.4k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
15k
How to Ace a Technical Interview
jacobian
280
24k
BBQ
matthewcrist
89
9.8k
Transcript
IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ パナソニック株式会社 Panasonic PSIRT
堀部 千壽
自己紹介… • パナソニック株式会社 製品セキュリティセンター 所属 • Panasonic-PSIRT 在籍 • ネットワーク家電のセキュリティ強化に従事
• 家電および組込み機器に対する脆弱性診断 • 家電向けサービスサーバに対する脆弱性診断 • 家電を含むネットワークシステムの机上リスク分析 • セキュリティ診断関連業務に10年間従事 堀部 千壽(Yukihisa Horibe) 2
IoTって何? • IoT : Internet of Things の略 • 今までネットワーク(≒インターネット)につながらなかったような物
がつながる – センサーなどの小型・小リソースデバイス – クラウドサービス・AI – スマートフォン(個人携帯端末) • 今までつながっていたものも継続してつながる • 2017年で推定84億台、2020年で推定204億台がつながる… それらサービスやデバイスが 相互接続・連携しあい新しい価値が生まれる 3
IoTっておいしいの? • 新たなサービス・価値 – 大量データ(ビッグデータ)の活用による、より綿密・繊細なサービス – AIを絡めた、今までにはないデータ活用方法 • 誰にでも利用可能なサービス –
スケールメリットによる低価格・高品質化 • 国家的にも推進 – ドイツを筆頭としたEU – Google・Apple・Amazonを擁する米国 – 日本も国家成長戦略の一環としてIoTを推進 ユーザに対するメリットも多そう お金が儲かりそうなにおいも… 4
IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場
5
IoTって大丈夫なの… 専用検索エンジンによるIoTデバイス探索 • SHODAN、ZoomEye、Censys など • インターネットにつながっているデバイスを気軽に検索できる • 意図せずインターネットからアクセスできてしまっていると 思われるデバイスも多数確認できる…
6
IoTって大丈夫なの… ハッキング事例:Blu-Rayプレイヤー • defcon22(2014)にて公開 • Panasonic製の家庭向け Blu-Rayプレーヤーに脆弱性 (同じ発表枠で他にも20デバイスほど、組込み機器の脆弱性が報告された…) • リモコン入力部分に、リモコンで
攻撃コードを入力することで コマンドインジェクション可能 • 基板上のデバッグピンや ファームウェアの解析が中心 7
IoTって大丈夫なの… IoTむけマルウェア「Mirai」 • IoTデバイスを主要な感染ターゲットとする • デバイス上のTelnetに対しBruteForce攻撃を実施 – IoTデバイスでよく使われるデフォルトID/PWDを利用 • ログインに成功すると感染行動を開始する
• MiraiによりBot化したIoTデバイスが Botnetを形成し、DDoS攻撃に加担 • ソースコードが公開された • 亜種も多数確認されている 8
IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場
9 現状、あまり大丈夫ではなさそう…
救世主? OWASP IoT Top10! • OWASP : Webアプリケーション分野で 最も有名なセキュリティコミュニティ •
IoTデバイスで特に留意すべき10の脆弱性を提示 ① Insecure Web Interface ② Insufficient Authentication/Authorization ③ Insecure Network Services ④ Lack of Transport Encryption ⑤ Privacy Concerns ⑥ Insecure Cloud Interface ⑦ Insecure Mobile Interface ⑧ Insufficient Security Configurability ⑨ Insecure Software/Firmware ⑩ Poor Physical Security 10
留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4
通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 11
留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4
通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 12 Webアプリにおける 視点とほぼ同じ
留意すべき10の視点・観点(抜粋) 5:プライバシーの懸念 • 不必要な個人情報の収集 13
留意すべき10の視点・観点(抜粋) 7:安全ではないモバイルインターフェース • アカウントが推測可能(連番で生成など) • アカウントのロックアウト機能なし • 認証情報がネットワークに露出する(BASIC認 証など) 14
留意すべき10の視点・観点(抜粋) 8:不十分なセキュリティ機能の設定 • 権限設定の不備 • パスワード管理機能の不備 • 攻撃検知やログ出力情報の不備 15
留意すべき10の視点・観点(抜粋) 9:安全ではないソフトウェア/ファームウェア • ファームウェアが平文で提供される • ファームウェアの改ざんチェックを行わない • ファームアップ機能がない 16
留意すべき10の視点・観点(抜粋) 10:貧弱な物理セキュリティ • USBポートから内部にアクセス可能 • ストレージが取り外し可能 17
留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4
通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 18
IoTのセキュリティ強化における課題(の一部) • デバイスのリリース後、セキュリティ対策を 後から入れ込むことは、けっこう難しい… – システムのロジックが大きく変わる変更は難しい • 後から認証機能やアクセス権限機能など、 システムの根幹にかかわる機能を追加すると、 開発リソースの増加と大量のバグや脆弱性を生み出す…
– ファームウェアアップデートの問題 • アップデートを準備してもユーザ側が実施するか? • 自動アップデートの場合、理解が得られるか? (システムの可用性への影響を懸念、動作確認作業の増大) 19 要件定義や設計の上流工程の段階で セキュリティを仕様として入れ込むことが重要 そのためにOWASP IoT Top10の 普及、啓発が必要!
まとめ • IoTに関しても、もちろんセキュリティを考慮する 必要がある • OWASP IoT Top10にて、留意すべき10の視点が 整理、公開されている •
特にデバイスにおいては、設計段階でのセキュ リティの考慮が重要 – リリース後のセキュリティ対応が困難であることが多 いため 20