ESET/マルウェア情報局
自分の力で検証する、IoTデバイスの脆弱性
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された「IoTデバイスのセキュリティ検証、最初にやっておくべき事」を再編集したものです
何らかの方法でユーザーを欺く攻撃が、最近、数多く行われている。ファイルを開かせる、不正リンクをクリックさせる、偽のWebサイトに個人情報を入力させる、などである。
しかし、「モノのインターネット」(IoT)においては、方法が少し異なる。IoTには、多くの場合、ユーザーがその状況を知るためのインターフェイスがない。加えて、デバイス自体がしばしばセキュリティの脆弱性および実装不良をさらしていることがある。
IoTデバイスの最大の課題は、規格が統一されておらず、多種多様化していることである。メーカー各社は独自のファームウェアを持ち、異なるプロトコルを使用し、独自のアーキテクチャーを組み立てている。したがって最初のステップは、分析をする前にアーキテクチャーを理解し、どのコンポーネントが関与しているか、それらがどのように相互に作用し合っているのかを調べることにある。理想を言えば、それぞれのパーツで何が問題になるかを判断するために、各パーツとその相互作用を含めて、デバイスの仕組みを簡単な図に落とし込んでおきたい(できるだけ正確に)。
このようにして、攻撃されるポイントを明らかにし、さまざまな攻撃経路をはっきりさせておく。
この最初の段階にあって、分析は必要に応じて、かなり深く掘り下げても構わない。各デバイスを分解し、電子デバイスまたは通信の観点から内部コンポーネントを分析してみてもよい。シリアルポート、UARTコントローラー、フラッシュドライブ、フィルタリングモジュール、JTAGインターフェイスなど、潜在的な脆弱性を検索する際に役立つコンポーネントを特定しておくことも大事である。
では、簡単な仕組み図を作成し、分析環境を整備したとして、実際のところ何を見つければよいのだろうか。
基本的には、通常の流れとは異なる操作や傍受を見つけ出すことである。脆弱性の恐れがあるところがどこなのかを探し始める最も良い方法は、コンポーネントの乗っ取りやコントローラーへの妨害など、さまざまなコンポーネントに対して、通常のフローにはないやりとりを試してみることである。
通信手段を一つひとつ確認することから始めるのがよいだろう。Bluetooth、無線電波、Wi-Fi、テレビ用の標準リモコンなどの赤外線コントローラーなど、いずれかに限定されることなく、デバイスを出入りするあらゆるタイプのトラフィックをチェックしよう。
こうした検証の結果、明らかになった事例を1つだけ挙げておこう。フィリップス社のヒュー(Hue)ランプとそのハブまたはコントローラーとの間の通信における脆弱性で、ニテシュ・ダンジャニ(Nitesh Dhanjani)という研究者が2013年に発見したものである。
これらのデバイスは「Zigbee」という無線プロトコル経由で通信を行い、攻撃者がこのトラフィックに対して「スニファ」(=パケット分析)攻撃を成功させると、ハブと照明との間の通信を分析することでその内容を理解し、データパケットを中断または変更することさえできる。また、ハブがどのような順序で送信するかにかかわらず、照明をオンまたはオフに切り替え可能になるのである。
ヒューの照明システムは、こうしたダンジャニ氏が研究で示した脆弱性が原因となって、永遠に市場から葬り去られてしまう恐れがあった。
幸いにも、Zigbeeプロトコルのこの脆弱性は修正され、フィリップスの照明やその他の影響を受ける可能性のあるデバイスにはパッチが当てられた。これは、スニファや中間者攻撃といったテクニックによって発見された脆弱性が、新しいアーキテクチャーにおいて解消されるように改善された、好例である。
こうした事例は、ほかにも数多くあり、今もなお継続して発見や改善が進められている。おもちゃ、IPカメラ、腕時計、サーモスタット、家電製品、その他ほぼ全てのスマートデバイスに影響を及ぼしている。多くの場合、コンポーネントや通信に既知の脆弱性が見つかっているが、攻撃者から身を守ることができるような強力なセキュリティ対策は実装されていない。
これらのデバイスでは、コンポーネントの一部にプレーンテキスト情報を送信したり、暗号化が不十分であったり、いかなる種類の認証を要求したりしないことが一般的となっている。
もう1つの事例は、インターネットを介して動作するインターフェイスを提供する人気製品「ベビーモニター」である。両親がカメラを介して子供を見るだけでなく、話しかけたり、赤ちゃんに音声を送ることもできる。認証方法とプラットフォームに脆弱性があるため、攻撃者は別の音声を送信したり、音楽を再生することさえできる。これらのデバイスを持つ家族のプライバシーへのアクセスレベルを考えると、かなりの危険性がある。
自宅にスマートデバイスがあるのなら、実際にセキュリティテストを開始してみよう。まず、アーキテクチャーの図を作成し、理解し、攻撃経路を明確にしておく。トラフィックが傍受されないように情報が暗号化されているかどうかを分析し、情報をどのように操作できるかを理解し、脆弱性を洗い出すのである。ESETでは以前も推奨したが、脆弱性などの検証ツールとしては「AttfyOS」が便利である。
[引用・出典元]