連載「IoTのセキュリティリスクを考える」 #02 ルール大学ボーフムのイェンス・ミューラー氏攻撃者視点でIoTセキュリティを考える

『THE ZERO/ONE』編集部

December 22, 2017 15:30
by 『THE ZERO/ONE』編集部

IoT製品は責任の分岐点が不明瞭であることが多い。そのため、脆弱性が発見されてもすぐに修正されず、攻撃者の絶好のターゲットとなってしまうことがある。

前回出演してくれた、横浜国立大学吉岡克成准教授は次のように語っている
「産業制御システムであればメーカー、SI業者、利用者と3者の責任が絡み合います。コネクティッドカーのような自動車になると、メーカー、ディーラー、車検制度、利用者など、ステークホルダーがさらに増えます。まだ、IoT機器へのサイバー攻撃による被害の責任に関する判例はほとんどないですし、責任の所在問題はこれから議論されていくという段階です」

2017年12月19日の日経新聞に「Wi-Fi端末92万台感染も IoT狙うサイバー攻撃 」というタイトルで以下のように報じている。
「感染したIoT機器から感染可能な別のIoT機器を探索する通信が10月31日から急増している。12月18日にはNICTのネット観測装置に対して、国内の1万5000カ所から新たな感染先を探す通信が届いた。通信が急増する前の50倍以上の水準だ」

IoT機器への攻撃を伝える日経新聞

このマルウェアは昨年猛威を振るった「ミライ」の亜種とみられ、国内の大手周辺機器メーカーが製造した無線LANルーターを狙っているという。この周辺機器メーカーは、12月19日に修正したファームウェアを公開した。しかし、ミライの亜種による攻撃ニュースや感染した際の復旧方法は書かれていない。もちろん、感染して被害が発生した際の責任についても触れていない。早急に修正パッチを公開したのは、評価すべきだ。しかし、なぜこの更新が重要なのか、重要な修正であれば自動でアップデートをしてほしいと思うユーザーも多いのではないだろうか。

IoT機器でボットネットワーク構築

IoT攻撃は増えているが、攻撃者の目的はいったいなんだろうか? 一般的には、IoT機器に感染してボットネットワーク構築を狙っているのではないかと考えられている。巨大なボットネットワークは、サイバー犯罪やサイバー攻撃を利用する際に重宝する。

昨年、セキュリティジャーナリストのブライアン・クレブス氏が、市場の最大規模のDDoS攻撃を受けた。まさにこの攻撃は「ミライ」を利用したものであった。DDoS攻撃だけでなく、情報漏洩、アドウェアやスパムメールの配信、ランサムウェアの運用など、ボットネットはサイバー攻撃・犯罪の道具として使われる。

ボットネットは以前から存在するが、基本的にはPCを狙ったものが多かった。しかし最近ではセキュリティが低く、台数が多いIoTが狙われている。

IoTセキュリティに関する講演が注目される

そんな事情を反映して、セキュリティカンファレンスでもIoT関連の発表が多い。例えば、11月9日に開催された「CODE BLUE」では「LG vs. Samsung スマートTV: あなたを追跡できるのはどちら?」と題しイ・サンミン氏が講演を行った。スマートテレビはインターネットに接続されているため、個人情報の収集と送信が手軽にできてしまう家電である。LGのスマートテレビにはWebOS 3.0というシステムを搭載しており、このOSのファイルシステムやデータ分析、どのようなデータを収集しているかを調査し、その結果を公表した。

また11月11日に行われた「AVTOKYO」では、Kohki Ohhira氏が「プリンタの怖い話(1) 〜意外と簡単に盗める〜」と題して、プリンターの攻撃例を発表した。

プリンターハッキングの第一人者

もちろん、海外でもIoT関連の発表は行われている。特に、今年の夏にラスベガスで行われたセキュリティカンファレンス「Black Hat USA 2017」で行われた、ルール大学ボーフムのイェンス・ミューラー氏(JENS MÜLLER)の発表は注目を集めた。

ミューラー氏はHacking Printers Wiki というプリンターハッキングWikiページを作っている。HPの法人向けプリンターの脆弱性を発見したセキュリティグループ「FoxGlove Security」は、Hacking Printers Wikiを参考にしており、関係者からのミューラー氏の注目度がうかがえる。

ミューラー氏は「EXPLOITING NETWORK PRINTERS」と題して、プリンターのセキュリティについてスピーチを行った。彼はPRINT Exploitation Toolkit(PRET)というツールを使って、20種類の製品テストを行い、脆弱性を発見したという。

ミューラー氏のプレゼン資料はネットにアップされている

今回、幸運にもミューラー氏に話を聞くことができた。攻撃者視点からIoTセキュリティが語られることは少ないので、とても興味深いコメントをもらったので紹介しよう。

Black Hat USA 2017において、PostScriptやPJL(プリントジョブ言語)を悪用してプリンターを攻撃する発表を彼は行った。なぜPostScriptやPJL悪用する手口を使おうと思ったのか? 「PFT/Hijetter」というツールから非常にインスパイアされた」とミューラー氏語る。このツールは2002年に、PJLを利用することで、HPプリンターのファイルを操作・実行できることを示したツールだ。

プリンターを狙った攻撃は今後増えるのだろうか? 昨年、未成年が約15万台のプリンターをハッキングしたり、学校のプリンターからヘイトスピーチを出したりする事件もあったが、ミューラー氏はこれらの出来事は、無害なので気にする必要はないという。注意しないといけないのが、プリンターを利用した「見えない標的型攻撃」だと指摘する。このアタックは「企業に攻撃コードを仕込んだPDFをメールで送信します。それが印刷された際に、プリンターから攻撃者サーバへのリモートシェルを生成し、攻撃者がさらに上位のネットワークに侵入する方法」だという。

「見えない標的型攻撃」も含め、プリンターへの攻撃に対してどのような対策方法があるのだろうか? その一例として、チップメーカーや暗号の専門家たちが、IoTの組み込み製品にチップ認証を利用してセキュアな環境を作ろうとする動きがある。チップに鍵を埋め込み、鍵を持っていないとファームウェアやOSのブートソフトウェアのインストールを許可しない仕組みだ。ミューラー氏は、この動きに関しては賛成だ。
「ファームウェア/ソフトウェア改ざん攻撃に対して間違いなく保護することができる」
ただし、この対策方法は完璧ではないと氏は語る。なぜならIoTデバイスを狙った攻撃は複数あるため、1種類の方法で対策するのは危険だからだ。ただ、チップ認証を使いセキュアな環境をIoTに提供するのは有効であるようだ。コスト面やユーザービリティ面でどのように解決していくかが、今後の鍵になるだろう。 

今回は攻撃者視点からだったが、次回は守る側「企業側の視点」としてCCDSの方に話を聞いた。
(次回に続く)

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…