IoT Security Current Status IoTデバイスのセキュリティ課題と最新脅威動向

1. 基調講演
IoTデバイスの
セキュリティ課題と最新脅威動向
須崎有康 (Kuniyasu Suzaki)
国立研究開発法人 産業技術総合研究所
情報技術研究部門
Osaka, 24/Feb/2017

2. Who am I?
2
• コンピュータセキュリティ研究者
– 国立研究開発法人 産業技術総合研究所
– 情報技術研究部門
• 最近の仕事 https://staff.aist.go.jp/k.suzaki/
– 仮想化を使ったセキュリティの強化や脆弱性の研究
• BackHat US 2010
• BlackHat SaoPaulo 2014
• Code Blue 2014
– 制御システム用セキュリティ技術
• S4x14 (SCADA Security Scientific Symposium)
• ICSJWS (Industrial Control Systems Joint Working Group ) 2014/fall
– KNOPPIX日本語版のメンテナンス 2002-15
Here is my
office

3. アウトライン
• IoTの問題点
– 多種多様、OSのサポート、パスワード、アップデート
• 代表的な攻撃
– 車への攻撃
– 制御システムへの攻撃(Stuxnet)
– Telnetを使った攻撃
– DoSのためにBotとなったIoT(Mirai)
– WiFi内部からの攻撃(DarkHotel)
– 高性能センサーデバイスを使ったサイバーエスピオナージ
(電子的諜報活動)
• まとめ
3

4. IoTとは
• 総務省平成27年度情報通信白書より
– 2020年までに530億個
4
質的変化
ＰＣで出来ることの多くは受動的であったが、
IoTで外界に働きかけられるようになった
量的変化
ＰＣより圧倒的に多くなる。センサも多様
個人で管理が及ばない

5. IoTデバイスの問題点(1)
• 多種多様
– セキュリティを考慮してあるPCと比べて数も種類も多い
• セキュリティの対策の手が回らない
– Security Surfaceが大きい
• センサ類も多種多様で高性能化している（詳細は後述）
• インターネットに繋がるデバイスは何であるか検索が
可能
• インターネット接続を想定していないプロトコルがアク
セス可能になる
– 車で使われているCAN: Controller Area Network
– 制御システムで使われているSCADA: Supervisory Control
And Data Acquisition
5

6. デバイス検索サイト
• SHODAN
– HoneyPotが検出でき、攻撃
者は回避できる
• Censys
– ミシガン大学より2016.10か
ら提供
6

7. プリンタへの攻撃
• プリンタなんって通信の盗聴以外攻撃のしようがない？
• プリンタの発火。2011年にコロンビア大から発表
– ファームウェアの脆弱性を狙ってネットワーク越しにプリンタを
発火させた
• ドットマトリックスプリンタは音から印字が分かる
– Acoustic Side-Channel Attacks on Printers [USENIX Sec 10]
– ドットマトリックスのプリントの音で印字内容を盗める
– 隠れた通信にも使える
– ドットマトリックスはカーボンコピーを必要としているところで使
われているので侮れない
7

8. スマホを使った情報窃取
• ベネッセ個人情報流出事件(2014)ではスマホにより情
報が漏えいした
• ベネッセではUSBからの情報漏えいに対してActive
DirectoryによるUSBマスストレージの使用の接続禁止
が設定されていたと言われている
• 攻撃者はMTP: Media Transport ProtocolあるいはPTP:
Picture transport Protocolを使ったと言われている
– Active DirectoryでMTP/PTPの設定禁止はある
• 更なる脅威：USB デバッグモード
– 開発者のデバッグに使われるが、ファイル転送も可能。
8

9. CAN
• Controller Area Network (CAN) はドイツのボッシュ社
が1983年に開発を始めたノイズ耐性を持ち、機器間
通信に使われる規格。
• 自動車においては、速度、エンジンの回転数、ブレー
キの状態、故障診断の情報などの転送に使用。
• 1990年代にメルセデスベンツ SクラスにCANが搭載
された。
• セキュリティや認証については他から侵入がないもの
として、あまり考慮されていない。
9

10. つながる車 Connected Car
• クライスラーのチェロキーへのハッキング(BlackHat 15)
Charlie Miller & Chris Valasek
– クライスラー車のWi-Fiパスワードは日付けベースで生成さ
えているため、推測可能
– CANバスに直接接続されていないが、CANバスに接続して
いるV850コントローラとは通信可能
– V850コントローラのファームウェアを改ざんして、CANコマン
ドでハンドル、エンジン、ブレーキをコントロール
– 100万台以上がクライスラーからリコール
– “Remote Exploitation of an Unaltered Passenger Vehicle”, Dr. Charlie Miller & Chris Valasek
» http://illmatics.com/Remote%20Car%20Hacking.pdf 10

11. SCADA
• SCADA（Supervisory Control And Data Acquisition ）
は、コンピュータによるシステム監視とプロセス制御
を行う産業制御システム
• 人間のオペレータがプロセスを監視し制御できるイン
ターフェースがある。
• セキュリティや認証については、物理的に隔離し、他
から侵入がないものとして、あまり考慮されていない
– SCADA専用にセキュリティ会議 S4: SCADA Security
Scientific Symposium 11

12. Stuxnet(1)
• イランの核施設を破壊するために作られたマルウェア
– Siemens社のPLCに対する攻撃 (2010)
• SCADAシステムを検出と言われてる手法が巧妙
12この画像からSCADAを推定

13. Stuxnet(2)
• 監視システムがアラートを表示しないように調整
– 遠心分離器の周波数を1410Hzから2Hzへと落とし、引き上
げる。このアップダウンを巧妙に繰り返して破壊
• USBを使ってインターネットに繋がっていないシステム
に侵入(Air Gap越え)
13
Office Network
Plant Network
Control Network
Internet
SCACA
PLC
Firewall
Malicious
USB
Stuxnet
Air Gap

14. Stuxnetが打ち砕いた神話
• 制御システムはサイバー攻撃とは無縁
• インターネットと切り離せば安全
• 特殊な構成のため外部の攻撃者からは分からない
– 暗号のケルクホフスの原理「敵はシステムを知っている」
• マルウェアは異常動作から検出できる
14
JPCert「Stuxnet 制御システムを狙った初のマルウェア」を参考

15. IoTデバイスの問題点(2)
• 想定しているライフサイクル&サポート期限が多種多様
– 産業機器では30年以上。自動車では10年以上。
– PC関連OS(Windows, Linuxディストリビューション)ではサポー
ト期限があるが、それ以上の使われる例が多い。
15
OSサポートが実は曲者

16. OSのサポート状況 (1)
• ELSはExtended Life cycle Supportの略
• 他のPC用Linuxディストリビューションでもほぼ同じ 16
Windows リリース サポート終了
Windows XP 2001/10/25 2014/04/09
Windows Vista 2007/01/30 2017/04/11
Windows 7 2009/10/22 2020/01/14
Windows 8 2012/10/26 2023/01/10
Windows 10 2015/07/29 2025/10/14
Red Hat
Enterprise Linux
(RHEL)
リリース サポート終了
サポート終了日
(ELS)
3 2003/10/22 2010/10/31 2014/1/30
4 2005/2/15 2012/2/29 2017/3/31
5 2007/3/15 2017/3/31 2020/11/30
6 2010/11/9 2020/11/30 -
7 2014/6/9 2024/6/30 -

17. OSのサポート状況(1)
• ELSはExtended Life cycle Supportの略
• 他のPC用Linuxディストリビューションでもほぼ同じ 17
Windows リリース サポート終了
Windows 10 2015/07/29 2025/10/14
Windows 8 2012/10/26 2023/01/10
Windows 7 2009/10/22 2020/01/14
Windows Vista 2007/01/30 2017/04/11
Windows XP 2001/10/25 2014/04/09
Red Hat
Enterprise Linux
(RHEL)
リリース サポート終了
サポート終了日
(ELS)
3 2003/10/22 2010/10/31 2014/1/30
4 2005/2/15 2012/2/29 2017/3/31
5 2007/3/15 2017/3/31 2020/11/30
6 2010/11/9 2020/11/30 -
7 2014/6/9 2024/6/30 -
但し、例外あり

18. OSのサポート状況(2)
• つまり、全てのOSが
サポート期限を明確
にしているわけでは
ない
• Androidには更なる
問題が…
18
MacOS リリース日 サポート終了日
10.9 Mavericks 2013/10/22
10.1 Yosemite 2014/10/16
10.11 El Capitan 2015/9/30
10.12 Sierra 2016/9/20
Android リリース日 サポート終了日
5 Lollipop 2014/11/3
5.1 Lollipop 2015/3/9
6 Marshmallow 2015/10/5
7 Nougat 2016/8/22
8 Nougat 2016/10/20
iOS リリース日 サポート終了日
8 2014/9/17
9 2015/9/16
10 2016/9/13
サポート終了日は
非公開。次のバー
ジョンがリリースさ
れた後数か月サポ
ートが続く
サポート終了日は
非公開。
サポート終了スケ
ジュールは検討中
サポート終了日は
非公開。

19. Androidはなぜ危険なのか
• 携帯電話のOSにはアップデートやバグフィックスが十
分でない無い場合が多い。
– The Impact of Vendor Customizations on Android Security,
ACM CCS13
– Phone Makers’ Android Tweaks Cause Security Problems,
MIT Technology Review
• ベンダー：電話会社、端末製造会社は個々の機器向
けにAndroidをカスタマイズしないといけない。
• このカスタマイズの過程によって生じる脆弱性が、
Android全体のエコシステムの脅威のうち60%を占め
る。
19

20. Android 意図しない感染源と漏洩元
• USB充電器からの感染
– USB充電器にバックドアを仕掛け、銀行取引情報、認証用
のパスワードを窃取。端末利用者の動きを追跡することが
できる。
• Android NFCへの攻撃
– サンフランシスコとニュージャージーでは、NFCによる改札
をハッキングして、一生地下鉄をただで乗れるようにした。
• 悪意のあるアプリ
– 機能は懐中電灯アプリであるが、本当の目的は携帯電話
のロケーション、キー入力記録、連絡帳などを盗む。
20

21. Linux kernelのサポート
• LTSI: Long Term Support Initiative
– 2011 年 10月26日 チェコ共和国プラハ（LinuxCon Europe）発
– コンシューマー エレクトロニクス向け長期安定カーネル
– 年に 1回安定版Linuxカーネルを選択し、それを2 年間、長期的かつ定期
的にメンテナンス
21
Version Maintainer Released Projected EOL
4.9 Greg Kroah-Hartman 2016-12-11 Jan, 2019
4.4 Greg Kroah-Hartman 2016-01-10 Feb, 2018
4.1 Sasha Levin 2015-06-21 Sep, 2017
3.16 Ben Hutchings 2014-08-03 Apr, 2020
3.12 Jiri Slaby 2013-11-03 May, 2017
3.10 Willy Tarreau 2013-06-30 Oct, 2017
3.4 Li Zefan 2012-05-20 Apr, 2017
3.2 Ben Hutchings 2012-01-04 May, 2018
https://www.kernel.org/category/releases.html
デバイスの寿命より短い！危殆化の管理が必要。
延長される
場合有り。
3.18はサ
ポート切れ

22. 危殆化の管理
• 暗号・ハッシュの危殆化
– 計算能力の向上で暗号解読が可能になる
• 事前に予測可能でライフサイクルが管理できる
– 対策1： ビット長を長くする。
– 対策2: 暗号・ハッシュの廃止：DES，MD5
– 突然解読法が出る場合もある
• ソフトウェアの危殆化
– 基本的に突然攻撃法が判明する
• 多くは実装バグに起因するが、設計に起因する場合は問題。
– 例：プロトコルの脆弱性
• ライフサイクルが管理できない
– ソフトウェア若化(Software Rejuvenation)と言う研究があるが
十分ではない
22

23. サポート切れ対処
• DHCP Fingerprintを使い、IPアドレスを割り当てない
23
DHCPDISCOVER
Open Sequence 1,15,3,6,44,46,47,31,33,249,43
DHCPOFFER
DHCPDISCOVER
Open Sequence 1,33,3,6,15,28,51,58,59
DHCPOFFER
• DHCP Fingerprint一覧 https://fingerbank.inverse.ca/
0 Pad
1 Subnet Mask
2 Time Offset
3 Router
4 Time Server
5 Name Server
6 Domain Server
7 Log Server
8 Quotes Server
9 LPR Server
10 Impress Server
11 RLP Server
12 Hostname
13 Boot File Size
14 Merit Dump File
15 Domain Name

24. IoTデバイスの問題点(3)
• セキュリティが考慮されていない
– デフォルトパスワードがある
• telnetが多く使われている
– セキュリティアップデートが考慮されていない
– バックアップも考慮する必要がある
24

25. パスワードへの攻撃
• デバイスごとのデフォルトパスワードは公開されている
• クラックツールで安易なパスワードは破られる
– THC-Hydra
• 小学生の解説HPもあった
– Medusa
– Brutus 25

26. パスワードの扱いの違い
• パスワードとパスコードの違いを理解していますか？
– 根本的に攻撃の難易度の違い
• パスコードは物理的な画面からの入力で認証が入力に律速される
– 何回も入力を要求するBrute Force Attackが使えない
• パスワードはインターネットから利用でき、認証は早い
– Brute Force Attackが有効
• 対策技術
– わざと処理を遅くするKey stretching (Robert Morris, 1978)
26

27. TelnetによるIoT攻撃
• 横浜国大の吉岡先生がIoTのHoneyPotを作成し、詳
細を解析している。
– QEMUをベースとするHoneyPot
• 8つのCPU アーキテクチャMIPS, MIPSEL, PPC, SPARC, ARM,
MIPS64, sh4 and X86.
» Yin Minn Pa Pa, Etal(Yokohama National University), IoTPOT:
Analysing the Rise of IoT Compromises, USENIX Workshop on
27

28. 横浜国大の例
• 2016/1-6に横浜国大に攻撃してきたマルウェア感染IoT
– 約60万台（ IPアドレス区別）
– 500種類以上(Web,telnetの応答による判断)
– 攻撃元デバイス
• 監視カメラ関係：IPカメラ, デジタルレコーダ
• ネットワーク機器：ルータ、無線ルータ、モデム、ネットワークストレージ
• 電話関係：IP電話、VoIPゲートウェイ
• インフラ：駐車管理システム、LEDディスプレイ制御システム
• 制御システム：ビル監視システム、センサ監視装置
• 家庭：Webカメラ、太陽光発電管理システム、電力需要監視システム
• 放送関連：セットトップボックス、映像配信システム
• その他：ヒートポンプ、火災報知システム、医療機器(MRI), 指紋スキャナ
28
吉岡克成（横浜国立大）、ネットワーク観測からわかる IoTのサイバーセキュリティ実情 –
JNSA IoTセキュリティセミナー2016 より

29. Bot化するIoT (1)
• 2010 WORM IRCBOT.ABJ (別名 Chuck Norris)
– ルータの初期パスワードに対して侵入を試す。侵入後、Windowsのファ
イル共有機能に対して辞書攻撃。
• 2012 Carna Bot
– 42万台以上の家庭用ルータに感染。4億3,000万の機器がセキュリティを
考慮していないこと明らかにした。
• 2013 Linux.Darlloz
– X86, ARM, MIPS, PowerPCへのワーム。PHPのphp-cgiに存在する既知
の脆弱性を突く。
– 暗号通貨のマイニング。Bitcoinではなく、MinicoinとDogecoin
• 2014 BASHLITE
– TelnetとShell Shockを利用。100万台以上に感染。DoSに利用。
中里(NICT)他,ダークネット観測による IoT 機器の脅威, 暗号と情報セキュリティシンポジ
ウム2014 29

30. Bot化するIoT (2)
• 2015 Linux.Moose
– Telnetを使ってルータに感染。SNS盗聴機能。
– 資源を有効利用するため他のマルウェアを見つけると削除
• 2015 Linux.Wifatch
– P2Pネットワークを構成。他のマルウェアを削除。
– Telnetデーモンを停止し、さらなるアクセスを防ぐ。パスワードを変更して
デバイスのファームウェアをアップデートするようにというメッセージを残
す。
• 2016 Mirai
– 50万台以上に感染。史上最大のDoS攻撃に使われた。
中里(NICT)他,ダークネット観測による IoT 機器の脅威, 暗号と情報セキュリティシンポジ
ウム2014
30

31. NICTERによる観測
• NICTのNICTERでは
ダークネットへの通信
状態が観測可能
– ダークネットはインター
ネット上で到達可能か
つ未使用のIPアドレス
空間であり、本来はアク
セスが無いものだが、
不正活動でランダムに
アクセスする場合に兆
候が表れる。
31

32. セキュリティアップデート
• 脆弱性に対処するために、セキュリティアップデート
が必須だが、家庭用ルータなどで考慮されていない
ものがまだまだ多い。
• ただし、アップデートはマルウェアをインストールする
のにも使われる。
– 「Microsoft Application Compatibility Frameworkの積極的
な利用によるエクスプロイット」 CodeBlue14
• OSとアプリケーションとの互換性問題を解決したりするための枠組
みを活用して、攻撃を仕込む。
32

33. 不適切なバックアップ
• バックアップをリストアすることで脆弱なアプリを戻し
てしまう。
– 認証が必要だが、考慮していないものも多い。
• 不要なデータもバックアップして、漏えいのリスクがあ
る。
33

34. 高性能センサを活用した
サイバーエスピオナージ
34

35. 質問
• この会場に何台のデジカメがあるでしょうか。
• デジカメを持っていない人はいますか？
35
レガシーなデジカメ
スマートフォン
タブレット
ノートPC

36. モバイルガジェットに幾つのセンサが
入っているか知ってますか？
• デジタルカメラ
• マイクとスピーカ
• GPS
• ジャイロスコープ
• その他、多様なセンサー
• これらのデバイスがモバイルガジェットに入ったのはそれほど昔
ではない。
– 2000年前後のPDA(携帯情報端末。例 Palm Pilot, Apple Newton)と呼ば
れるものにはこのようなデバイスがないものが多かった。初期のiPadにも
カメラが無かった。
• 現在のモバイルガジェットは従来のコンピュータと言うより、セン
サーデバイスの塊になっている。 36

37. センサの性能を知ってますか？
• デジタルカメラ
– 1M pixel以上
• マイク、スピーカ
– CD クオリティ (44.1kHz)以上
• GPS
– 10m以内の位置検出
• ジャイロスコープ
– 20 Hz以上のサンプリング
37
高性能センサは
サイバーエスピ
オナージ(諜報活
動)の格好のター
ゲット。

38. Facial Reflection
Keylogger
[T.Fiebig, WOOT’14]
38
キーボードをマップ
このカメラが顔（目）の写真
を撮ります。
T.fiebig, j.krissler and r.hanesch, “Security Impact of High Resolution Smartphone Cameras" woot 2014.
https://www.usenix.org/conference/woot14/workshop-program/presentation/fiebig
親指検出ズーム

39. Facial Reflection
Keylogger
[T.Fiebig, WOOT’14]
39
キーボードをマップ
このカメラが顔（目）の写真
を撮ります。
T.fiebig, j.krissler and r.hanesch, “Security Impact of High Resolution Smartphone Cameras" woot 2014.
https://www.usenix.org/conference/woot14/workshop-program/presentation/fiebig
親指検出ズーム

40. 写真から指紋窃取
• 国立情報学研究所の越前教授の研究
• お札がコピーできないように、プライバシーに関わ
る写真がとれないカメラが出るかもしれない。
40

41. ジャイロスコープによる盗聴
• Gyrophone [USENIX Security 14, BlackHat Europe 14] はジャ
イロスコープで音声の解析ができることを示した。
– 利点: マイクの使用には許可を取る必要があるが、ジャイロ
スコープは必要なし。
– 問題点：ジャイロスコープのサンプリングは 20-200Hzで音声
(男性 85 - 180 Hz, 女性 165 - 255 Hz)が取れない。
– エイリアシングによって音声が解析できることを示した。
41
Y.Michalevsky, D.Boneh, and Gabi Nakibly, “Gyrophone: Recognizing Speech from Gyroscope Signals”,
https://www.usenix.org/conference/usenixsecurity14/technical-sessions/presentation/michalevsky

42. マイクを使った盗聴
• “Bundestrojaner” (連邦トロジャン) は社会に大きなインパクトを与
えた。
– 連邦トロジャンはコードの中にあった「C3PO-r2d2-POE」というストリングか
ら「R2D2」も呼ばれる。
• 報道によるとR2D2はドイツの空港で管理官からインストールされ
た。
– R2D2はSkypeの通話を盗聴し、リモートのサイトにデータを転送していた。
– R2D2はChaos Computer Club (CCC) によって2011年に発見。
• WikiLeaksによるとマルウェアはドイツの州政府からの発注。
42

43. GPSによる悪意あるトラッキング
• “Cerberus” や“mSpy” は盗難防止アプリとして売られて
いるが、従業員のトラックにも使われる。
• 日本のカレログはGPS制御マネージャとして売られてい
た。ただし、こちらは許可を得ずにGPSのデータを盗んで
いた。
– 社会問題となりサービス停止に追い込まれた。
43

44. モバイルガジェットの活用シナリオ
• モバイルガジェットは重要情報を扱う工場、会議、病院で
広く使われるようになった。
• 管理者は仕事で使うモバイルガジェットで不要なセンサを
利用禁止にしたい。
– モバイルガジェットのデバイスは組み込みで取り外しができない
44工場 リモートミーティング

45. その他の脅威
• モバイルガジェットのセンサは攻撃者ばかりでなく、ユー
ザ（社員）も使いたい！
• ユーザ(社員)が対応策を回避するかもしれない。
• 管理者は攻撃者ばかりでなく、ユーザも対象として対策
技術を考えなくてはならない。
45

46. 現在の対応策
46
プロテクションキャップ
セキュリティシール(カメラ用)
これらはユーザの良心に依存。
• セキュリティグッズ
• BIOS/EFI によってデバイスを使用不可にする
– 有効だが、全てのモバイルガジェットで有
効なわけではない。

47. 対策
• Active Directoryのグループポリシー
– USBのアクセス制御。MSC/MTP/PTPの設定禁止はある。
• DeviceDisEnabler [Blackhat SaoPaulo 14, CodeBlue14]
– ハイパーバイザーにより、正しいPCIデバイスを認証した場
合のみOSに提供する。
47

48. 内部からの攻撃 (1)
• 無料のインターネットサービスへの攻撃
– ホテルなどのルータは外部から設定変更できないが、内部
からは可能。
• 西田慎(横浜国立大学)、ネットワーク機器の脆弱性を悪用した水飲
み場攻撃は起こりうるか？、暗号と情報セキュリティシンポジウム
2017
• ホテル内のWiFiに攻撃を仕込むDarkHotel
– ホテルに滞在中のVIPへの標的型攻撃
– Kasperskyの調査によると日本、台湾、中国、ロシア、韓国
が多い。日本が2/3
48

49. 内部からの攻撃 (2)
• 偽のＷｉＦｉサービス
• コンバースニッチ
– 一見普通の電球だが、マイクが搭載されていて、近くの会話をすべて拾う
• 拾ったUSBからの攻撃
– USBメモリをばらまき実験(CompTIAレポート)で実証
• 17%の人がUSBを自分でデバイスに刺し、ファイルを開き、URLをクリックしている
• 若い人ほど気にしていない
– イリノイ大学での実験(BlackHat 2016)
• 約半数がUSB内のファイルを開く。
• Bad USBのような攻撃（USBキーボードに偽装して入力）も可能。
49

50. 攻撃の変化
• 現状のPCへの攻撃では情報窃取がメインだが、IoT
では物理的な物への攻撃になる。
– PC、スマホはユーザが使っているので気づかれないように
注意
– IoTへはセンサ特性を生かした攻撃
• センサの使い方は多種多様で色々な攻撃が考案されている
50
PC, スマホ IoT
情報窃取 ◎ ×
ランサムウェア ◎ ×
ボット化（踏み台） 〇 ◎
サイバーエスピオナージ 〇 ◎
サボタージュ × ◎

51. 攻撃のレベル
• IoTの攻撃はまだPCより低い
– PCでは多くの防御技術回避が考慮されている
• ポリモーフィック型・ミューテーション型
• アンチデバッグ、アンチVM
• ゼロディ
– IoTではまだ単純な攻撃で十分
• Telnetのパスワード攻撃
• アンチデバッグ＆アンチＶＭは無い
51

52. まとめ
• IoTにより多種多様なセンサーが使えることにより、外
界に影響を及ぼす攻撃が可能
– あなたが攻撃者にもなりうる(NFCへの攻撃)
• 開発やサポートはIoTのライフサイクルを考慮すべき
• 幸い、まだまだ攻撃レベルは低いので今のうちに対
処する必要がある
52