********************************************************************** セッションs4-c テーマ:組込み開発者のためのITセキュリティの基礎 講師:松岡正人(カスペルスキー) 日時:2013/8/23 13:00〜14:30 参加人数:19名(開始時),23名(終了時) ********************************************************************** 内容 ・会社説明 - 海外での活動 - 国際的にサイバー犯罪を取り締まる活動 - 西洋でも結構シェアを占めている - 実はプライベートカンパニー→お金にならないこともできる! - 日本での活動 - 事故や事件の解析 - 政府が新しく取り組みをするときに,ともに議論を行う ・インシデントの増加 - サイバーテロ,Yahoo!の不正アクセスなど - 当然見つかっていないものも・・・ - 今年は昨年を超える勢いで見つかってきている - 日本でも認識が変わってきている - 今までは性善説の意識が強かった - インターネットにつながっている限り世界中から攻撃を受ける→日本な観念は通用しない - すべてをカバーするのはほぼ不可能&かなりのお金がかかる ・標的型攻撃 - あるターゲットに対して,何らかの攻撃を行うこと - 情報のハブになるようなマシンからサーバに吸い上げるためのソフトウエアを仕掛けておく - 仮に気づかれても,他の目的で使用されているというように勘違いをさせることで,検出を防ぐ - 通常のアンチウイルスでは防げない - されないように,攻撃しづらい環境を用いることで対策をするのは可能 - 攻撃をなくすことはできない・・・ ・組込み分野でのセキュリティの必要性 - スマート化の流れ - 長所:さまざまなサービスの提供ができる - 短所:セキュリティのこと考えてますか? - 組込み機器でのセキュリティ - 使用される物(環境,デバイス,デバドラ等)によって,対策しなければならないことが違う - パソコンとして使っていないパソコンもある - セキュリティのことを考慮していないものが多いのでは? - IT分野の人と,組込み業界の人での意識の違いが存在 - 車のメーターをハッキングするデモ - 組込み業界:モニタする機械をさせば普通にできるじゃん - IT業界:そんなことできるのか! ・IEC62443 - 制御システムの標準 - 石油化学プラントは,独自で業界規格が決まっている→62443に入りそう - 二つの要求が存在 - テスト項目が増える→コスト増加の可能性 - ユーザー側の(要求しなければ)義務ではない! ・スマートグリッド - オープンシステムが持っている脆弱性をどうやって保証するか? - そこに脆弱性があることで,どのようなリスクがあるのか? - どの程度の投資が適切かを判断することが必要 ・家電製品のセキュリティ - 何らかのIFを使って攻撃を行う→外部とのIFがあるものが狙われる - Linuxのような汎用OSを使うような家電製品の増加 - 端末そのものが標的ではないことがある - そのデバイスを介して何らかの情報を収集したり,誤った情報を提供したりすることもかのう - 踏み台にされる可能性 - 現在汎用のPCで行われている対策と同じようなことしかできない・・・ - 許可されたアプリのみを動作させるような仕組みも必要かもしれない ・自動車のセキュリティ - どういったセキュリティが必要なのか - セキュリティレベルの異なったものが必要になるかもしれない ・ハードウエアと絡めたセキュリティ - 地デジの暗号化 - UEFI boot - PadLock Hardware Security Suite ・組込み機器でのセキュリティ - 経路 - Internet,LAN,WAN,USBなど - 目的 - データをもらってお金にする - 人もの仕組みに悪さをしてシステムを止める or 誤った動作をさせて間接的に利益を得る - 手段 - OSの脆弱性など ・基本的な対策 - 侵入 - ファイアウォール - IPS(ネットワーク攻撃防御) - 工場などではIDSを入れるのが普通 - IPSでは疑わしい通信が発生した瞬間にその通信を止めてしまうため,生産ラインなどに影響が 出る可能性があるため - 脆弱性スキャン - (メール,web)アンチウイルス - ソーシャルエンジニアリングなどによくつかわれる - 活動 - (ファイル)アンチウイルス - ホワイトリスト - プロアクティブ防御 - 流出 -暗号化(流出しても大丈夫なようにする) ・脆弱性攻撃 - OS,Office,Java等に存在する潜在的な脆弱性を使う - 現在最も脆弱性が多いのがJava,その次がAdobe - 対策:見つかった穴をふさぐのみ! ・組込みシステムのネットワーク接続 - プロセッサの脆弱性 - ARMプロセッサのNullポインタ脆弱性など - Backdoor.Win32.Desty - PoS端末を狙うマルウエア ・Stuxnet - 工業用のシステムを攻撃 - 対象はウランの生成プラント - 外部との通信手段がない→直接インターフェースをさして感染 - 仕組み - Autorunの脆弱性を利用し,管理者権限を乗っ取る - 乗っ取った後はシステムを破壊して終わり - 複数の組織でコードが共有されている可能性がある ・RED OCTOBER - サイバー諜報網 - 2007年頃から活動している - スマホ,ネットワーク機器などのデバイスも攻撃対象となっている - iPhoneへの侵入は案外簡単(らしい) - Javaを使った脆弱性,Wordを使った攻撃の紹介 ・NET TRAVELER - APT攻撃をするためのツール - 普通は自社のセキュリティの確認に使うが・・・ ・リスク回避 - 痕跡をいかに早く見つけるかが大事 ・最新の保護技術の紹介 まとめ ・思った以上にリスクはある ・想定されるリスク - ビジネスの全域で想定することが必要 ・対処 - ITセキュリティだけでは対処しきれない ・技術 - 新しい技術を利用することで,多くの脅威を防ぐことが可能 以上