-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
こんにちは、デジタルペンテスト部の田端です。
東京都立産業技術高等専門学校にて、デジタルペンテスト部でIoTデバイスペネトレーションテストを担当しているペンテスターによる特別授業を、9月8日・9日の2日間で開催しました。
IoT機器及びそのIoTシステムのセキュリティ上の問題を調査し、セキュリティ対策の有効性や確認した問題と影響を調べる、「IoTデバイスペネトレーションテスト」について講義してきました。座学だけでなくハンズオンにも取り組んでもらった当日の様子をレポートします。
IoTデバイスペネトレーションテストとは
IoTデバイスペネトレーションテストは、ラックのセキュリティ技術者が、お客様のIoT機器及びそのシステムに潜在するセキュリティ上の問題を調査し、セキュリティ対策の有効性の調査や確認した問題による影響を検証します。検証する対象は、IoT機器と、関連するシステム(スマホアプリなど)です。調査内容は、製品内部の基盤の確認・ファームウェア解析・WEB管理画面や接続して使用するスマホアプリなどの解析・IoT機器と接続するスマホアプリ間の通信を行います。そのため、実施する技術者には基板等の低レイヤーからソフトウェア等の高レイヤーまで、幅広い知識や技術が求められます。
今回開催した特別授業では、このIoTデバイスペネトレーションテストの全体概要から、必要な知識、解析手法の体験ハンズオンなどを実施しました。
特別授業の様子
授業では、4人一組でチームを組み、授業のために用意した調査対象機器を使って学んでもらいました。
IoTデバイスペネトレーションテストの概要や、解析の手順、技術や脆弱性に関する情報収集の方法、IoT機器の仕様や基板情報について確認できるデータシートの読み解き方など、IoTペネトレーションテストに取り組むにあたって必要な前提知識の説明からスタートしました。
調査対象機器を分解して、はんだごてを使ってROMを抽出するハンズオンも実施しました。
実際に自分の手で分解したり、はんだごてを使って作業したり......、なんだかワクワクしますよね。
ROMの再実装手順などのポイントなどもお話ししました。
抽出したファームウェアの解析に必要な知識や技術も講義しました。
ファームウェア解析とは、ROMから抽出したデータ(バイナリデータ)を解析して、脆弱性を見つけることです。IoTデバイスペネトレーションテストでは、基本的にソースコードではなく、ファームウェアを解析して、どのような設計になっているのか、プログラミングされているのかなどを想定して、脆弱性の調査を実施します。そのため、ファームウェア解析の作業は、IoTペネトレーションテストにおいてとても重要な作業になります。解析には、リバースエンジニアリングツールの「Ghidra」を使用しました。
OSコマンドインジェクションなど、IoT機器に潜在する脆弱性についても学んでもらいました。
脆弱性を発見するハンズオンは皆さん苦労していましたが、チームで話し合いながらの取り組みが楽しそうでした。
最後はペンテスターの仕事紹介や質疑応答です。
ペンテスターはお仕事でどんなことをしているかなど、質疑応答の一部をご紹介します。
質疑応答の一例
Q.ファームウェア解析などの作業を一人でできるようになるまで、どのくらいの期間が必要ですか?
A.新入社員の時点では一人で作業することはなく、先輩に教わりながら調査します。そこで技術を学んで1年程でできるようになることを目標にすると良いと思います。
Q.今まで解析した中で難しかった機器は何ですか?
A.RTOS(リアルタイムOS)の解析は難しかったです。文字列情報から追えないし、関数名にシンボル情報がないなど、通常のOSと比べて解析が難しかったです。そのようなものを解析するには2年~3年程度の実務経験が必要になるかと思います。
Q.1つの解析案件は期間がどのくらいかかりますか?
A.脅威分析の段階で期間が見えてくるのですが、案件ごとに調査対象をどの程度見るか変わります。平均して1か月~1か月半ほどを調査期間としています。他に報告書作成の期間も必要です。
Q.取得しておくと就活で有利な資格はありますか?
A.情報処理安全確保支援士の試験は評価されやすいと思います。
資格は特に取得しなくても、セキュリティキャンプの参加実績や、発見した脆弱性報告の情報を出すと評価してもらえます。
おわりに
ペンテスターによるIoTデバイスペネトレーションテストの技術知見を、授業という形式で学生さんへお伝えしました。数多くのIoTデバイスペネトレーションテストの実績がある、ラックならではの授業が実施できたかと思います。今後も技術を高めつつ知見を広げながら、このような活動を続けてまいります。
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR