ピンボール戦車少女

LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック
サービス・製品 | 

IoTデバイス開発で重要なセキュリティ対策とは?~潜在する脆弱性を発見するセキュリティテストを疑似体験

シェアボタンを表示

こんにちは。
疑(yi)似攻(gong)撃を用いて、「攻(gong)撃者の目的(de)」が達成(cheng)できてしまうか実証する「ペネトレーションテスト」を提供(gong)しているデジタルペンテスト部(bu)で、サービスプロモーションを担当している田端です。

あらゆるモノがインターネットにつながるIoT(Internet of Things)の利(li)用シーンが年々増加し、たくさんのIoTデバイスが開(kai)発されています。同時に、IoTデバイスを狙った攻撃(ji)者やマルウェア攻撃(ji)なども増加しており、セキュリティの重要性がますます高まっています。

ラックは、IoTデバイスやIoTシステムのセキュリティ対策(ce)の有効(xiao)性や潜在するセキュリティ上の問題とその影響(xiang)を検証し、被害を未然に防げるよう改善(shan)策(ce)を提(ti)案(an)する、「IoTデバイスペネトレーションテスト」というサービスを提(ti)供しています。

サービスに興味を持っていただいた多(duo)くの方から、いったいどのように問題を発見しているのか知りたいという声を多(duo)数いただくため、実際にセキュリティテストで実施している内容の一部をホワイトペーパーにして公開しました。

  • セキュリティテスト対象へ「攻撃者が侵入できる」と考えるポイントの考え方や一例
  • 侵入できてしまった場合に起こり得る脅威(不正アクセスやデータの窃取など)の例
  • IoTデバイスや関連システムの基板、通信を調査することによって、発見される可能性のある脆弱性や疑似攻撃のヒントの例

本(ben)記事では、ホワイトペーパーで公開した内容の一部を紹介(jie)します。

IoTデバイスにセキュリティテストを実施しないと起こり得るリスク

IoTデバイスには、下記の脅威が潜んでいる可能性があります。

乗っ取りにより制御を奪われる

IoTデバイス本体(ti)や連携(xie)するアプリケーションに、悪意ある攻撃者(zhe)に侵入される脆弱性(xing)が存(cun)在する場合の一例(li)として、機器の制御を奪われてしまう危険(xian)性(xing)があります。

制御を奪われてしまうと、場合によっては人命に関(guan)わる事故(gu)を故(gu)意に起こされる、または偶発(fa)的に発(fa)生(sheng)させてしまう恐(kong)れがあります。

機密情報や個人情報が奪われる

乗っ取(qu)りと同様、IoTデバイスへの侵入を許(xu)してしまうと脆(cui)弱性を悪(e)用され、機密情報や個人(ren)情報が窃取(qu)されてしまう危(wei)険性があります。

また、機器内部だけでなく、クラウドなどとの通信(xin)仕様(yang)に脆弱性が存在する場合、通信(xin)が傍受されることにより通信(xin)内容を盗聴され、機密(mi)情報(bao)(bao)や個(ge)人情報(bao)(bao)を窃取されてしまう恐れもあります。

サイバー攻撃の踏み台にされる

IoTデバイスを狙ったサイバー攻撃によりマルウェアに感染すると、他(ta)のシステムにDDoS攻撃を行(xing)うための踏み台になってしまう危険性があります。

DDoS攻(gong)(gong)(gong)撃とは、多数の攻(gong)(gong)(gong)撃元(yuan)から標的のネットワークまたはサーバに大量のアクセスやデータを送信し、標的のサービスを一時的もしくは無(wu)期(qi)限に利(li)用できなくするサイバー攻(gong)(gong)(gong)撃のことです。

例えば、IoTデバイスを標的とするマルウェアの1つに「Mirai」があります。Miraiに感(gan)染(ran)したIoTデバイスを乗(cheng)っ取って、攻撃対(dui)象に一斉に攻撃を仕掛(gua)けます。そのため、攻撃対(dui)象になったシステムは大量のデータを送りつけられて、システムがダウンしてしまいます。

このようなサイバー攻撃(ji)による被害からIoTデバイスを守るためには、IoTデバイスはもちろん、関連するシステムにおいてもセキュリティを意(yi)識した設計や開(kai)発が求められています。

ラックでは、潜在(zai)するセキュリティ上の問題(脆弱(ruo)性)を発見できるセキュリティテスト「IoTデバイスペネトレーションテスト」を提(ti)供しています。このサービスで、どのように潜在(zai)するセキュリティ上の問題を見つけているのか、一連(lian)の流れを疑似体験できるような知見をまとめたホワイトペーパーを公開しました。

攻撃者目線でセキュリティ上の問題を見つけるセキュリティテスト

ホワイトペーパーで疑似体(ti)験できる、「IoTデバイスペネトレーションテスト」の概要を紹介します。

製品(IoTデバイス)と、IoTに関連(lian)するシステム全体(ti)に対(dui)して、セキュリティエンジニアが悪意(yi)ある攻撃(ji)者目線で調査し、セキュリティ上の問題が潜んでいるか確(que)認します。発見した問題がどのように悪用できるか実(shi)施し、さらに発見した問題の改(gai)善策を提案するサービスです。

サービスの基本(ben)的(de)な流れとしては、こちらをご参照ください。

  1. テスト対象に「侵入」できそうなポイントを考える
  2. テスト対象に潜在する脅威を考える
  3. ペネトレーションテスト調査フェーズ
    潜在している脆弱性や攻撃のヒントを調査します
  4. ペネトレーションテスト検証フェーズ
    攻撃者目線でどんな攻撃ができるのか3の結果により「攻撃シナリオ」を検討し、実施することで、想定した脅威の存在を検証します

ホワイトペーパーでは、架空のIoTシステムを想定して、どのようにセキュリティ上の問題を考えているのか、どんな手法(fa)を実(shi)施しているのかなどを、上記の基本(ben)的(de)な流れのフェーズごとに解説(shuo)しています。

テスト対象へ侵入できそうなポイントを考える
ホワイトペーパーの一部分をご紹介

例(li)えばこちらのページでは、IoTデバイスや関連システムの仕様(yang)(yang)を確(que)認したことにより考えられる侵入ポイント(攻撃者が侵入を目論(lun)みそうなポイント)の例(li)を記載しています。システム仕様(yang)(yang)を確(que)認することにより、「使用(yong)されている通信仕様(yang)(yang)の脆弱(ruo)性(xing)を悪(e)(e)用(yong)して侵入できないか」、「IoTデバイスの管理画面に存在する脆弱(ruo)性(xing)を悪(e)(e)用(yong)して侵入できないか」などの侵入方法が考えられます。

こちらのページのように、このホワイトペーパーは攻(gong)撃者がどのような視点(dian)(dian)で侵入しようとするのか、攻(gong)撃者視点(dian)(dian)とはどのようなことなのかを学べる内容(rong)になっています。攻(gong)撃者視点(dian)(dian)を知ることで、セキュリティ対(dui)策をより効(xiao)果的に実(shi)施できるようになります。

ぜひ続(xu)きもホワイトペーパーでご覧ください。

IoTの脆弱性を発見するセキュリティテストを疑似体験できるホワイトペーパー

IoTデバイス開発(fa)(fa)の現場で役立てていただけるように、ラックで行っている脆(cui)弱性を発(fa)(fa)見するセキュリティテスト「IoTデバイスペネトレーションテスト」を疑(yi)似体(ti)験(yan)できるホワイトペーパーです。IoTデバイスの開発(fa)(fa)やセキュリティ対策に関わる方におすすめの内容です。ぜひご覧ください。

IoTの脆弱性を発見するセキュリティテストを疑似体験できるホワイトペーパー

プロフィール

田端 あやの

田端 あやの
ペネトレーションテストなどのセキュリティサービスのプロモーションを担当しています。
ラックのセキュリティエンジニアが執(zhi)筆する、エンジニア向けの情(qing)報発信ブログ「ラック・セキュリティごった煮ブログ」の運営もしています。運動不足解消(xiao)のためベリーダンスやテニスを習(xi)っています。

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • ファームウェア更新機能が搭載されているだけでは安心できない!IoT機器のセキュリティを考える

  • 工場(chang)DXを支(zhi)えるペネトレーションテスト~OTシステムに求められるセキュリティ対(dui)策

  • 効(xiao)果的なペネトレーションテストの始め方~攻撃シナリオを作るコツ