Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
「IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ 」 OWASP Ka...
Search
OWASP Kansai
September 04, 2017
Technology
1
410
「IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ 」 OWASP Kansai
OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaにて
パナソニック株式会社 堀部 千壽さんに
発表いただいた資料です
OWASP Kansai
September 04, 2017
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
11
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
260
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
760
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
310
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
880
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
330
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
150
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
200
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
340
Other Decks in Technology
See All in Technology
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
1
250
Flutterによる 効率的なAndroid・iOS・Webアプリケーション開発の事例
recruitengineers
PRO
0
170
日経電子版のStoreKit2フルリニューアル
shimastripe
1
160
セキュリティ運用って包括的にできていますか?SaaSを使って次のステップへ / Comprehensive Cyber Security Operations for Cloud Services Using SaaS
sakaitakeshi
0
150
Amazon Forecast亡き今、我々がマネージドサービスに頼らず時系列予測を実行する方法
sadynitro
0
180
Android 15 でウィジェットピッカーのプレビュー画像をGlanceで魅せたい/nikkei-tech-talk-27-1
nikkei_engineer_recruiting
0
100
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
400
【平成レトロ】へぇボタンハック👨🔧
vanchan2625
0
120
AI前提のサービス運用ってなんだろう?
ryuichi1208
8
1.4k
Adopting Jetpack Compose in Your Existing Project - GDG DevFest Bangkok 2024
akexorcist
0
130
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.6k
LLMの気持ちになってRAGのことを考えてみよう
john_smith
0
120
Featured
See All Featured
What's new in Ruby 2.0
geeforr
343
31k
Thoughts on Productivity
jonyablonski
67
4.3k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Ruby is Unlike a Banana
tanoku
97
11k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
Adopting Sorbet at Scale
ufuk
73
9.1k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Building Applications with DynamoDB
mza
90
6.1k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
850
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
111
49k
Transcript
IoTのセキュリティを考える ~ OWASP IoT Top 10 ~ パナソニック株式会社 Panasonic PSIRT
堀部 千壽
自己紹介… • パナソニック株式会社 製品セキュリティセンター 所属 • Panasonic-PSIRT 在籍 • ネットワーク家電のセキュリティ強化に従事
• 家電および組込み機器に対する脆弱性診断 • 家電向けサービスサーバに対する脆弱性診断 • 家電を含むネットワークシステムの机上リスク分析 • セキュリティ診断関連業務に10年間従事 堀部 千壽(Yukihisa Horibe) 2
IoTって何? • IoT : Internet of Things の略 • 今までネットワーク(≒インターネット)につながらなかったような物
がつながる – センサーなどの小型・小リソースデバイス – クラウドサービス・AI – スマートフォン(個人携帯端末) • 今までつながっていたものも継続してつながる • 2017年で推定84億台、2020年で推定204億台がつながる… それらサービスやデバイスが 相互接続・連携しあい新しい価値が生まれる 3
IoTっておいしいの? • 新たなサービス・価値 – 大量データ(ビッグデータ)の活用による、より綿密・繊細なサービス – AIを絡めた、今までにはないデータ活用方法 • 誰にでも利用可能なサービス –
スケールメリットによる低価格・高品質化 • 国家的にも推進 – ドイツを筆頭としたEU – Google・Apple・Amazonを擁する米国 – 日本も国家成長戦略の一環としてIoTを推進 ユーザに対するメリットも多そう お金が儲かりそうなにおいも… 4
IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場
5
IoTって大丈夫なの… 専用検索エンジンによるIoTデバイス探索 • SHODAN、ZoomEye、Censys など • インターネットにつながっているデバイスを気軽に検索できる • 意図せずインターネットからアクセスできてしまっていると 思われるデバイスも多数確認できる…
6
IoTって大丈夫なの… ハッキング事例:Blu-Rayプレイヤー • defcon22(2014)にて公開 • Panasonic製の家庭向け Blu-Rayプレーヤーに脆弱性 (同じ発表枠で他にも20デバイスほど、組込み機器の脆弱性が報告された…) • リモコン入力部分に、リモコンで
攻撃コードを入力することで コマンドインジェクション可能 • 基板上のデバッグピンや ファームウェアの解析が中心 7
IoTって大丈夫なの… IoTむけマルウェア「Mirai」 • IoTデバイスを主要な感染ターゲットとする • デバイス上のTelnetに対しBruteForce攻撃を実施 – IoTデバイスでよく使われるデフォルトID/PWDを利用 • ログインに成功すると感染行動を開始する
• MiraiによりBot化したIoTデバイスが Botnetを形成し、DDoS攻撃に加担 • ソースコードが公開された • 亜種も多数確認されている 8
IoTって大丈夫なの… • ハッキングされ続けるIoTデバイス… – 技術系のニュースサイトなどでは、 ちょくちょく記事になっている – セキュリティカンファレンスなどでも話題になっている • IoTむけマルウェアの登場
9 現状、あまり大丈夫ではなさそう…
救世主? OWASP IoT Top10! • OWASP : Webアプリケーション分野で 最も有名なセキュリティコミュニティ •
IoTデバイスで特に留意すべき10の脆弱性を提示 ① Insecure Web Interface ② Insufficient Authentication/Authorization ③ Insecure Network Services ④ Lack of Transport Encryption ⑤ Privacy Concerns ⑥ Insecure Cloud Interface ⑦ Insecure Mobile Interface ⑧ Insufficient Security Configurability ⑨ Insecure Software/Firmware ⑩ Poor Physical Security 10
留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4
通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 11
留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4
通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 12 Webアプリにおける 視点とほぼ同じ
留意すべき10の視点・観点(抜粋) 5:プライバシーの懸念 • 不必要な個人情報の収集 13
留意すべき10の視点・観点(抜粋) 7:安全ではないモバイルインターフェース • アカウントが推測可能(連番で生成など) • アカウントのロックアウト機能なし • 認証情報がネットワークに露出する(BASIC認 証など) 14
留意すべき10の視点・観点(抜粋) 8:不十分なセキュリティ機能の設定 • 権限設定の不備 • パスワード管理機能の不備 • 攻撃検知やログ出力情報の不備 15
留意すべき10の視点・観点(抜粋) 9:安全ではないソフトウェア/ファームウェア • ファームウェアが平文で提供される • ファームウェアの改ざんチェックを行わない • ファームアップ機能がない 16
留意すべき10の視点・観点(抜粋) 10:貧弱な物理セキュリティ • USBポートから内部にアクセス可能 • ストレージが取り外し可能 17
留意すべき10の視点・観点 No. 視点・観点 1 安全ではないWebインターフェース 2 不十分な認証、権限管理 3 安全ではないネットワークサービス 4
通信路の暗号化の欠如 5 プライバシーの懸念 6 安全ではないクラウドインターフェース 7 安全ではないモバイルインターフェース 8 不十分なセキュリティ機能の設定 9 安全ではないソフトウェア/ファームウェア 10 貧弱な物理セキュリティ 18
IoTのセキュリティ強化における課題(の一部) • デバイスのリリース後、セキュリティ対策を 後から入れ込むことは、けっこう難しい… – システムのロジックが大きく変わる変更は難しい • 後から認証機能やアクセス権限機能など、 システムの根幹にかかわる機能を追加すると、 開発リソースの増加と大量のバグや脆弱性を生み出す…
– ファームウェアアップデートの問題 • アップデートを準備してもユーザ側が実施するか? • 自動アップデートの場合、理解が得られるか? (システムの可用性への影響を懸念、動作確認作業の増大) 19 要件定義や設計の上流工程の段階で セキュリティを仕様として入れ込むことが重要 そのためにOWASP IoT Top10の 普及、啓発が必要!
まとめ • IoTに関しても、もちろんセキュリティを考慮する 必要がある • OWASP IoT Top10にて、留意すべき10の視点が 整理、公開されている •
特にデバイスにおいては、設計段階でのセキュ リティの考慮が重要 – リリース後のセキュリティ対応が困難であることが多 いため 20