LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

ラックピープル | 

身近になったIoT機器の脆弱性を調べる!IoTデバイスペネトレーションテストの特別授業をレポート

こんにちは、デジタルペンテスト部の田端です。

東京都立産業技術高等専門学校にて、デジタルペンテスト部でIoTデバイスペネトレーションテストを担当しているペンテスターによる特別授業を、9月8日・9日の2日間で開催しました。

IoT機器及びそのIoTシステムのセキュリティ上の問題を調査し、セキュリティ対策の有効性や確認した問題と影響を調べる、「IoTデバイスペネトレーションテスト」について講義してきました。座学だけでなくハンズオンにも取り組んでもらった当日の様子をレポートします。

IoTデバイスペネトレーションテストとは

IoTデバイスペネトレーションテストは、ラックのセキュリティ技術者が、お客様のIoT機器及びそのシステムに潜在するセキュリティ上の問題を調査し、セキュリティ対策の有効性の調査や確認した問題による影響を検証します。検証する対象は、IoT機器と、関連するシステム(スマホアプリなど)です。調査内容は、製品内部の基盤の確認・ファームウェア解析・WEB管理画面や接続して使用するスマホアプリなどの解析・IoT機器と接続するスマホアプリ間の通信を行います。そのため、実施する技術者には基板等の低レイヤーからソフトウェア等の高レイヤーまで、幅広い知識や技術が求められます。

今回開催した特別授業では、このIoTデバイスペネトレーションテストの全体概要から、必要な知識、解析手法の体験ハンズオンなどを実施しました。

特別授業の様子

授業では、4人一組でチームを組み、授業のために用意した調査対象機器を使って学んでもらいました。

4人一組でチームを組み、特別授業授業に臨む生徒たちの様子

IoTデバイスペネトレーションテストの概要や、解析の手順、技術や脆弱性に関する情報収集の方法、IoT機器の仕様や基板情報について確認できるデータシートの読み解き方など、IoTペネトレーションテストに取り組むにあたって必要な前提知識の説明からスタートしました。

IoTデバイスペネトレーションテストに取り組む前に必要な前提知識を説明

調査対象機器を分解して、はんだごてを使ってROMを抽出するハンズオンも実施しました。
実際に自分の手で分解したり、はんだごてを使って作業したり......、なんだかワクワクしますよね。
ROMの再実装手順などのポイントなどもお話ししました。

はんだごてを使って調査対象機器を分解する様子
はんだごてを使用する作業環境

抽出したファームウェアの解析に必要な知識や技術も講義しました。

ファームウェア解析とは、ROMから抽出したデータ(バイナリデータ)を解析して、脆弱性を見つけることです。IoTデバイスペネトレーションテストでは、基本的にソースコードではなく、ファームウェアを解析して、どのような設計になっているのか、プログラミングされているのかなどを想定して、脆弱性の調査を実施します。そのため、ファームウェア解析の作業は、IoTペネトレーションテストにおいてとても重要な作業になります。解析には、リバースエンジニアリングツールの「Ghidra」を使用しました。

OSコマンドインジェクションなど、IoT機器に潜在する脆弱性についても学んでもらいました。
脆弱性を発見するハンズオンは皆さん苦労していましたが、チームで話し合いながらの取り組みが楽しそうでした。

OSコマンドインジェクションなど、IoT機器に潜在する脆弱性について説明する様子

最後はペンテスターの仕事紹介や質疑応答です。
ペンテスターはお仕事でどんなことをしているかなど、質疑応答の一部をご紹介します。

質疑応答の一例

Q.ファームウェア解析などの作業を一人でできるようになるまで、どのくらいの期間が必要ですか?

A.新入社員の時点では一人で作業することはなく、先輩に教わりながら調査します。そこで技術を学んで1年程でできるようになることを目標にすると良いと思います。

Q.今まで解析した中で難しかった機器は何ですか?

A.RTOS(リアルタイムOS)の解析は難しかったです。文字列情報から追えないし、関数名にシンボル情報がないなど、通常のOSと比べて解析が難しかったです。そのようなものを解析するには2年~3年程度の実務経験が必要になるかと思います。

Q.1つの解析案件は期間がどのくらいかかりますか?

A.脅威分析の段階で期間が見えてくるのですが、案件ごとに調査対象をどの程度見るか変わります。平均して1か月~1か月半ほどを調査期間としています。他に報告書作成の期間も必要です。

Q.取得しておくと就活で有利な資格はありますか?

A.情報処理安全確保支援士の試験は評価されやすいと思います。
資格は特に取得しなくても、セキュリティキャンプの参加実績や、発見した脆弱性報告の情報を出すと評価してもらえます。

おわりに

ペンテスターによるIoTデバイスペネトレーションテストの技術知見を、授業という形式で学生さんへお伝えしました。数多くのIoTデバイスペネトレーションテストの実績がある、ラックならではの授業が実施できたかと思います。今後も技術を高めつつ知見を広げながら、このような活動を続けてまいります。

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • セキュリティ・キャンプ全国大会2022オンライン、参加者がペンテスターに興味を持ったこととは?

  • IoT機器に保管される機密情報を守る!暗号方式と暗号鍵について考えよう

  • IoTエラーログフォーマットの標準化とX.1367勧告で、IoT機器を守る