デバイスのテストやファームウェア分析、設計コンサルティングなどの展開を強化
Rapid7、IoTハードウェアの侵入テスト機能をMetasploitに追加
2017年05月17日 07時00分更新
セキュリティベンダーのRapid7は5月16日、IoTハードウェアに対するペネトレーションテストやセキュリティサービス(デバイステストやファームウェア分析、デバイス設計コンサルティングなど)の展開を強化すると発表した。
これは今年2月、脆弱性検証やセキュリティ評価を行うオープンソースの侵入テストツール「Metasploit Framework」に、自動車のCANバスやIoTデバイスなどのハードウェアと直接接続して脆弱性テストを実施するための新機能「Metasploit Hardware Bridge」を追加したことを受けてのもの。
Metasploit Hardware Bridge機能を追加したMetasploit Frameworkを検証ツール本体やPCにインストールし、脆弱性テストを実施する。ハードウェアに依存せず動作し、スクリプト作成で自動化も可能。初回サンプルモジュールはCANバス、RAFトランシーバ、ZigBeeに対応しており、将来的にはK-Lineなどその他バスシステムにも対応する予定だ。
Rapid7, Inc.の運輸関連セキュリティ、リサーチディレクターのクレイグ・スミス氏は、医療機器や家電、産業ロボットなどあらゆるものが利便性などを考えてインターネット接続されるようになりつつある現在だが、これらはオフライン運用を前提に設計されているため、「通信が暗号化されていない」「パスワードがデフォルトのまま運用されている」「認証メカニズムが弱い」といった脆弱性を多数抱えていると説明する。
原因の1つは、ソフトウェア設計/開発チームが実践するセキュリティ対策や検証のライフサイクルに、ハードウェア設計/開発チームが組み込まれていないことだ。「セキュリティを意識したハードウェア設計が行われていないために、ソフトウェア側で脆弱性を発見してもハードウェア側で修正対応できない事態に陥る。新機能の追加により、ソフトウェアだけでなくハードウェアでも組み込み系デバイスの再帰的なテストが実現し、セキュリティ向上を目指せる」(スミス氏)。
国内市場の動向について、ラピッドセブン・ジャパン執行役社長の牛込秀樹氏は、「ペネトレーションテストはCSIRTやSOCを中心に需要があり、現在は国内数社と話し合いが始まっている。年内には成約できる見込み」だと述べた。今後は、自動車・運輸、エネルギー(SCADAやスマートメーター)、監視カメラ、医療機器の4領域に注力するという。
「脆弱性などの問題が露呈することを嫌ってテストを避ける傾向もあり、またテスト期間を2日間や土日限定で実施したいなど、攻撃の実態とかけ離れた条件を希望するところも多く、まだまだ課題は多い。今後は欧米で先行するIoTセキュリティのベストプラクティスを国内に広めながら、効果的なテストの実践を普及していきたい」(牛込氏)