IoT 時代と高度サイバー攻撃 · IoT に対するセキュリティ ......

IoT 時代と高度サイバー攻撃

2015年12月2日 JPCERT コーディネーションセンター洞田慎一

Copyright©2015JPCERT/CC All rights reserved.

目次はじめに

IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃まとめ

1


はじめに

2


「JPCERT/CCをご存知ですか？」

JPCERT/CCとは一般社団法人 JPCERTコーディネーションセンター

Japan Computer Emergency Response Team Coordination Center ジェーピーサートコーディネーションセンター

日本国内のインターネット利用者やセキュリティ管理担当者、ソフトウエア製品開発者等（主に、情報セキュリティ担当者）がサービス対象コンピュータセキュリティインシデントへの対応、国内外にセンサをおいたインターネット定点観測、ソフトウエアや情報システム・制御システム機器等の脆弱性への対応などを通じ、セキュリティ向上を推進インシデント対応をはじめとする、国際連携が必要なオペレーションや情報連携に関する、我が国の窓口となるCSIRT（窓口CSIRT）

CSIRT: Computer Security Incident Response Team ※各国に同様の窓口となるCSIRTが存在する(米国のUS-CERT、CERT/CC、中国のCNCERT、韓国のKrCERT/CCなど)

経済産業省からの委託事業として、サイバー攻撃等国際連携対応調整事業を実施

3


重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信早期警戒情報

海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援 CSIRT構築支援

脆弱性情報ハンドリング未公開の脆弱性関連情報を製品開発者へ提供し、対応依頼

関係機関と連携し、国際的に情報公開日を調整

セキュアなコーディング手法の普及制御システムに関する脆弱性関連情報の適切な流通

マルウエア（不正プログラム）等の攻撃手法の分析、解析アーティファクト分析

各種業務を円滑に行うための海外関係機関との連携国際連携

インシデントの予測と捕捉インシデント予防発生したインシデントへの対応

制御システムに関するインシデントハンドリング、情報収集・分析発信制御システムセキュリティ

日本シーサート協議会、フィッシング対策協議会の事務局運営等国内外関係者との連携

マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化

攻撃手法の分析支援による被害可能性の確認、拡散抑止

再発防止に向けた関係各関の情報交換及び情報共有

インシデントハンドリング（インシデント対応調整支援）

「JPCERT/CCをご存知ですか？」

JPCERT/CCの活動

情報収集・分析・発信定点観測（TSUBAME）

ネットワークトラフィック情報の収集分析セキュリティ上の脅威情報の収集、分析、必要とする組織への提供

4


JPCERT/CC に報告されるインシデントインシデントの概要

5

スキャン 56% Web サイト改ざん

16%

フィッシング 13%

マルウエア 4%

標的型攻撃 1%

DoS 1%

制御システム 0%

その他 9%

様々なインシデントが報告されています高度サイバー攻撃 (標的型攻撃) など、複雑なインシデントも継続して観測しています

JPCERT/CC 対応インシデントの内訳

(2015年4-9月)

JPCERT/CC インシデント報告対応レポートより https://www.jpcert.or.jp/ir/report.html


インシデントに対策していくには？攻撃：コストとベネフィット —攻撃にもコストが必要 (攻撃インフラ、ツール等) —環境を改善しない限り攻撃は終わりません

攻撃にかかるコストを上げて行くには —組織だけの対策だけではなく、情報の公開や、共有も重要

JPCERT/CC からの情報発信 —注意喚起や早期警戒情報 —脅威に関する情報を分析し情報共有することで、攻撃を防ぐように努めています 6

costs benefits costs benefits

攻撃情報の共有

・攻撃手法、特徴

攻撃を検知！


組織ではどう対応したらよいのか？インシデントが発生する主な背景 —利用者の注意や確認の不足 —脆弱性に対する攻撃者と利用者の知識の差

攻撃者も被害者も「人」 —マルウエアは道具、脆弱性は知識

攻撃を受けにくくするには —基本的な対応は必須 (ウイルス対策ソフト等による対策) —ソフトウエア・ハードウエアの管理・更新 —運用を改善 —情報収集・共有

7

多くは、修正済みの脆弱性が悪用されています

運用を改善することや、体制を見直すことは有効策


脆弱性情報やアップデート情報の提供

注意喚起 —組織で利用されている主要なソフトウエアについての更新情報等を注意喚起として配信しています

Microsoft Windows Adobe Acrobat / Reader / Flash Player Oracle Java ISC BIND など

その他の公開情報 —Weekly Report —分析レポート —詳しくは、https://www.jpcert.or.jp/ まで

JPCERT/CC では、脆弱性の情報や、アップデートに関する情報を提供しています注意喚起脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN)

8


脆弱性情報や対策情報の提供脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN) https://jvn.jp/

9

情報を定期的に確認し、アップデートなど必要な対策をとることが重要です


脆弱性ハンドリングハンドリングの全体像

メーカ5

メーカ4

脆弱性の検証対策の作成エンド

ユーザ

企業ユーザ

SIer

ISP

小売

マスコミ

JPCERT/CC

メーカ2

メーカ1

対策情報の提供

メーカ3

通知

ネット上の情報

収集

JVN （脆弱性情報ポータル）

日程を合わせて

公表脆弱性の発見者

CPNI CERT-FI

等

海外の情報源

海外の情報源

CERT/CC

IPA

日程を合わせて

公表

MITRE

CVE# 採番 CERT/CC : CERT Coodination Center http://www.cert.org/ CPNI : Centre for the Protection of National Infrastructure http://www.cpni.gov.uk/ CERT-FI : http://www.cert.fi/ MITRE : http://cve.mitre.org/

通知

国外メーカ

海外発見者

通知

脆弱性情報の開示、公表日程の調整

通知

脆弱性情報の報告

受付分析

対策情報のとりまとめ

該当するメーカを抽出し

情報配信

通知

10


情報の収集・分析・発信脆弱性への対応対策済みの脆弱性として公開 (通常のケース)

対応未然の脆弱性として公開されてしまうケース

いつ、どこに情報が公開されるか解らない情報の収集・分析・発信が極めて重要必要としている人に、必要な情報を届ける

注意喚起早期警戒情報

脆弱性利用者開発者

修正プログラム

脆弱性攻撃者

Exploit / マルウエア利用者

例：Adobe Flash Player の未修正の脆弱性に関する注意喚起 (7/13)

11

報告者調整機関

報告者公開や売買


情報収集・分析・発信例 Hacking Team のデータ流出と悪用

Day 事象 7/5 Sun データ流出発生

7/6 Mon

7/7 Tue Adobe Flash Player の exploit が発見され公開される

7/8 Wed マルウエアによる被害

7/9 Thu Adobe Flash Player のアップデートを公開

7/10 Fri

7/11 Sat 新しい exploit が発見され公開される

7/12 Sun

7/13 Mon マルウエアによる被害

7/14 Tue

7/15 Wed Adobe Flash Player のアップデートを公開

注意喚起

注意喚起

12


脆弱性を放置しない運用を心掛けましょう脆弱性をそのままにしておくと —マルウエアの感染等のインシデントに繋がります

「これくらいは、大丈夫だろう」から、「被害に遭うかもしれない」という運用へ —ハードウエアやソフトウエアの管理 —管理方法及び体制の整備 —セキュリティに関する教育

13

サイバー攻撃の被害に遭うリスクが高まります

特に様々な開発者・利用者が想定される IoT においてセキュリティに対する Human Factor の影響は極めて大きいと考えられます


IOT セキュリティへの熱い視線

14


IoT セキュリティへの熱い視線 BlackHat / DEF CON / USENIX 等におけるセキュリティ研究者の熱い視線 —Internet of Things (IoT) 、制御システムに関する話題 —スマートフォン (Android, iOS) に関する話題

PC やネットワークを超え、社会インフラに影響を与える攻撃を示唆 —自動車、衛星位置情報、携帯、照準器、産業用制御システムなど

—脆弱性への対応姿勢に対する警鐘セキュリティを考慮した設計の検討脆弱性に対処するまでの時間

15

IoT などの非 PC 環境のフロンティアにセキュリティの関心


ネットワークの接続ポイントが主な攻撃対象ネットワークは便利であると同時に攻撃者も接続 —端末が持つ脆弱性の悪用 —中間者攻撃によるサービスの悪用

16

ネットワーク

テレマティクス端末

クラウドサービス

遠隔の第三者からの攻撃に脆弱問題：利用者、デバイス以外の第三者の存在が想定されていない

攻撃者

例：Uconnect

例：OnStar


産業用スイッチの対応事例産業用スイッチベンダーに見る対応の違い指摘された脆弱性は、 Web インタフェースにおける XSS や、秘密鍵 (パスワード) ハードコードなどの問題

OpenGeer 1 週間足らずで修正

Seimens ３ヶ月

General Electronic ８ヶ月

早さだけが問題ではありません —設計の段階から、セキュリティへの考慮が十分でない？ —高度サイバー攻撃で、もし利用されたら？

ソフトウエアの品質と、改修スピードが問われています

Seimens SCALANCE X200

C. Cassidy et.al, “Switches Get Stitches”, BlackHat USA 2015 / DEFCON 23.

17


TSUBAME がとらえた制御システムへの攻撃産業制御システムで使用される PLC の脆弱性を標的としたアクセス —インターネット定点観測システム (TSUBAME)

インターネット上の攻撃動向を観測するためのシステム https://www.jpcert.or.jp/tsubame/

— 機器・産業機器がネットワークに繋がりつつあります — 産業制御システムがダメージを受けた場合、影響は大

産業用制システムプラントインターネット

18

https://www.jpcert.or.jp/tsubame/


SHODANの ICS探索能力が向上

SHODANはインターネットに接続されたノード (IPアドレスを持つ機器)を検索するサービス様々なプロトコルのリクエストを送信し、レスポンスについて

IPアドレスをキーとしてDB化している検索結果の地図上表示を追加制御システム関連プロトコルの処理コードや製品固有のシグニチャ等の提供を受けて、制御システム関連の探索能力が向上

Modbus、DNP3、Ethernet/IPなど大手ベンダのSCADAやPLCが利用するプロトコル

19

https://www.shodan.io/

https://www.shodan.io/


IOT とサイバー攻撃

20


制御システムにおけるインシデント

21

S. H. Houmb, “Protecting industrial control systems”, Control Engineering (2015).

ICS-CERT Year in Review 2014のデータを元にJPCERT/CCにて作成 https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2014_Final.pdf

245 257

197 140

39

0 50 100 150 200 250 300

2014年

2013年

2012年

2011年

2010年米ICS-CERT インシデント統計(米会計年度)

インシデント報告件数

79 65 14 12 6 5 15 13 36

0 50 100 150 200 250

2014年

産業別内訳（カレンダー年）

Energy Critical Manufacturing

特定の産業を狙ったサイバー攻撃は、世界的にも複数観測されています

ICS-CERTインシデント統計


制御システム環境でのスパイ活動米国では2012年頃からエネルギー関連企業に対するサイバー攻撃が増加情報窃取型の攻撃、業務妨害型の攻撃が混在石油やガスパイプライン用の制御システムにアクセスされた事例もある

現状では偵察目的で、甚大な被害を引き起こす攻撃の準備段階であると推測されている

米国の電力供給事業者では、ほぼ毎日攻撃を受けている事業者が十数社に上る状況

22

長期に渡って攻撃を仕掛けていることが特徴


Havex 【概要】Dragonfly (Energetic Bear)

が、欧米のエネルギー関連企業を対象に攻撃

第二の Stuxnet とも

【目的】将来に向けたスパイ活動・妨害・破壊活動と推測される

【特徴】メールや水飲み場型攻撃、Webサイト上の制御機器向けソフトウエアの置き換えなど様々な方法を利用する

【マルウエア】Havex RAT 制御機器 (ICS / SCADA) の情報を調査する機能を有する遠隔操作型のマルウエア

BlackEnergy 【概要】Sandwormが、制御システム

を利用する組織を狙って攻撃

【目的】将来に向けたスパイ活動・妨害・破壊活動と推測

【特徴】SCADAソフトウエアの脆弱性を突いて侵入を試みる

ICS-CERTによると複数の企業のHMIで感染が確認されている

• ICS-CERT Alert (ICS-ALERT-14-281-01B)

【マルウエア】BlackEnergyの亜種マルウエアがモジュール化されている

二つのマルウエア： Havex と BlackEnergy

23


Dragonfly / Sandworm の攻撃者像 Dragonfly / Sandworm ともに高度サイバー攻撃 (標的型攻撃) を行う攻撃グループとされています

高度サイバー攻撃の流れ - サイバーキルチェインモデル -

24

【先進的(A)】攻撃者は目的達成のために必要な最小限のツールしか使用しません。そのため、一連のイベント自体が「先進的」と見なされます。

【執拗な(P)】攻撃者はネットワーク上に長期にわたって居座り続けます。例えば、繰り返しアクセスを図り、複数年にわたってアクセスを維持することもあります。

【脅威(T)】長期的な活動を実施するためには技術だけではなくリソースが必要です。そのため、国家等が活動を支援していることが疑われる場合があります

観察マルウエア感染社内侵入被害発生

準備潜入横断的侵害活動

目的は必ずしも情報窃取だけとは限りません


Android 端末を使った高度サイバー攻撃チベット、ウイグルの活動家に対する攻撃 (2013年3月) —標的型メールにより感染 —情報を窃取

Contacts (SIMと電話両方) Call logs SMS messages Geo-location Phone data (phone number, OS version, phone model, SDK version)

高度サイバー攻撃は、既に非 PC 領域に進出

25

K. Baumgartner, C. Raiu, D. Maslennikov (Kaspersky), Android Trojan Found in Targeted Attack https://securelist.com/blog/incidents/35552/android-trojan-found-in-targeted-attack-58/


おわりに

26


IoT は既にサイバー攻撃の前線に組織のネットワークに接続する機器は、PC / 非 PC によらずサイバー攻撃の対象となっている現実 —IoT はフロンティアであると同時に、セキュリティについても考慮をすることが既に求められています

IoT に対する高度サイバー攻撃は、まだ進展する可能性があります

27

準備潜入横断的侵害活動

自動車や制御システムの脆弱性 (BlackHat 等での発表)

Havex / BE2 などのマルウエアまだ観測されていない活動

サイバー破壊？武器化

展開


すでにいろいろなモノが接続していますもはや、繋がっていない機器はない？ — IPアドレスが付与された機器や、専用の制御網、あるいは

USB などの人が介在する機器 Cyber3 Conference Okinawa 2015 における E. Kaspersky の発言 —IoT は、Internet of Things を超え、Internet of Threats へ —世界最大級の IoT として、「CERN 加速器」に言及

IoT セキュリティの問題

28

モノのスケールが大きくなると

Cyber-Physical Threat へと発展

CERN, http://home.cern/


管理者・開発者のセキュリティ対策 IoT の脅威を現実のものとしないためには ① NW 管理者による対策 ② 開発者による対策侵入をうけて当たり前というところから見つめる ① 「攻撃が来るはずがない。被害を受けても被害者であり、

攻撃者が悪い」 ② 「攻撃は来て当たり前。組織、顧客の情報を守るために

は適切な対策が必要」

29

報告を受けてから考えるのではなく、事前からセキュリティ対策を施すことは、NW 管理者も開発者も同じく重要

開発に脆弱性はつきもの、完璧などあり得ない実装の段階から、セキュリティを考えてみませんか？

https://www.jpcert.or.jp/securecoding/


開発とセキュリティ利便性と安全性、バランスはとれていますか？

利便性手元で情報を入手できるいつでも好きな番組や音楽が視聴できる ICT により、「時間」と「距離」が縮まる遠隔地にいても、看護ができる

安全性個人情報の管理不正なコンテンツの混入遠隔の第三者からの攻撃昼夜関係なく、世界中から攻撃に狙われる

子供からお年寄りまで、何らかのインターネットに繋がるデバイスを所持・使用して生活

怖いから使わないでおくことは不可能 → 誰もがサイバー攻撃に巻き込まれる可能性

使用者だけでなく、開発者やサービス提供者の役割は大きい・脆弱性への対処、安全対策、セキュアコーディング．．．

30


（参考）自己評価ツールの提供

制御システムセキュリティに関する各種調査、ツールの提供 —制御システムやその管理体制等、制御システムのセキュリティへ

の対策状況を「可視化」し、セキュリティへ取組むきっかけとして活用いただくことを目的としたセキュリティ自己評価ツールを工業会と連携して作成・提供

日本版SSAT(SCADA Self Assessment Tool) https://www.jpcert.or.jp/ics/ssat.html

—約100問の短い設問で施策の達成状況や問題点を診断 —技術的施策から管理施策までの幅広くカテゴリをカバー

J-CLICS https://www.jpcert.or.jp/ics/jclics.html

—SSATをもとにした、制御システム向けセキュリティ自己評価ツール —チェックリストと補足ガイド —制御システム部門全体で取組むSTEP1と各担当者で取組むSTEP2 —SICE/JEITA/JEMIMAと一部のアセットオーナに協力いただき作成

31

https://www.jpcert.or.jp/ics/ssat.html

https://www.jpcert.or.jp/ics/jclics.html


最後に攻撃はセキュリティの甘いところが狙われています —対応未然のセキュリティや、パッチ適用が遅れがちなシステムは、攻撃者には魅力 —BlackHat, DEFCON 等、セキュリティ研究者が注目している IoT セキュリティの”先”を見つめてみる

新しいソリューションやサービスの開始と並行してセキュリティへの配慮が必要です —開発者と利用者の他、攻撃者の存在を意識 —セキュアコーディングや、システム監査の活用

JPCERT/CC の活用 —脆弱性ハンドリング、早期警戒情報、インシデント対応、アーティファクト分析、制御システムセキュリティ —インシデントが起きる前からぜひご活用を！

32


お問い合わせ、インシデント対応のご依頼は

JPCERTコーディネーションセンター ‒ Email：[email protected] ‒ Tel：03-3518-4600 ‒ Web: https://www.jpcert.or.jp/

インシデント報告 ‒ Email：[email protected] ‒ Web: https://www.jpcert.or.jp/form/

ご清聴ありがとうございました。 33

mailto:[email protected]

https://www.jpcert.or.jp/

IoT 時代と高度サイバー攻撃 · IoT に対するセキュリティ ......

Documents

Transcript of IoT 時代と高度サイバー攻撃 · IoT に対するセキュリティ ......

IoT 時代と 高度サイバー攻撃 · IoT に対するセキュリティ ......

Documents

Transcript of IoT 時代と 高度サイバー攻撃 · IoT に対するセキュリティ ......

IoT 時代と高度サイバー攻撃 · IoT に対するセキュリティ ......

Transcript of IoT 時代と高度サイバー攻撃 · IoT に対するセキュリティ ......