[CODE BLUE 2019]IoTの脅威、そしてIoTに対する脅威に対抗する家電メーカーアプローチ[レポート] #codeblue_jp

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

IoTの脅威、そしてIoTに対する脅威に対抗する家電メーカーアプローチ Presented by 林 彦博 大澤 祐樹

何十億ものIoTデバイスがインターネットに接続されている世界で生活しているため、そのようなデバイスを狙ったマルウェアや他の脅威が起こした被害を伝えるニュース記事が、次々と流れ続けている。ユーザーがそのような被害を防止するためにできることもあるが、消費者はメーカーが開発サイクルにおいてセキュリティをプロダクトデザインの一部と捉えることを期待している。 デバイスメーカーであるパナソニックは、開発中または出荷前段階において自身のデバイスに私たちが開発したハニーポッドを接続することで、これらの脅威に関する情報を収集することができるようになった。この展開以来、パナソニック社は1億7900万もの攻撃の実例と2万5,000ものマルウェア事例を発見することができ、うち4,800件はIoTを狙ったユニークな事例であった。それらの20%は新しいもので、VirusTotalに問い合わせてもハッシュは存在しなかった。さらに攻撃者が改変した家電機器上のデータへアクセスすることを可能にしたSMBプロトコルに対するゼロディ攻撃を発見した。 私たちは、セキュリティエキスパートの人数が限られているという不安へ対処するため、ハニーポッドから収集された情報を自動分析のためにサンドボックスに送信すシステムを開発してきた。本システムによってパナソニックは、幅広いIoTデバイスを狙っている「有名なマルウェア」に加え、「パナソニックのIoTデバイスを、狙っているもしくは攻撃しているマルウェア」の収集ができるようになり、迅速な対応が可能になった。 本セッションでは、このプロジェクトの詳細を解説し、これまで収集してきたマルウェア分析のいくつかを共有する。この情報を活用することで、パナソニック社はマルウェアに対するレジリエンスを備えた製品の開発を目指している。さらにこの脅威と対応情報を利用して、IoT SOCを開発する方法を探求している。

レポート

背景

• IoT機器を狙った攻撃が増えている
  • カスペルスキーの情報では2018年では前年より3倍以上に増えている
  • 収束の気配もない
• マルウェアが放たれると拡散され、サイバー攻撃に利用される
• メーカーによる製品自体のセキュリティの確保
  • メーカーとして製品自体のセキュリティや出荷後のアップデートが期待されている

Panasonicが従来から掲げている取り組み

• サイバー攻撃への対策は全社重要リスクとして位置づけ
  • 数年前から追加されている
  • 本社まで上がってPDCAサイクルに入る
• サイバーセキュリティ体制
  • 3つの組織がある
  • ITのセキュリティはCSIRT
  • 製品のセキュリティがPSIRT
  • 工場・生産技術関連はFSIRT
    • グローバルに300以上も工場があるのでこれも重要
• 製品セキュリティの重要な要素
  • リスクの最小化
  • インシデント対応
• ベースとして基礎知識もある
• 製品ライフサイクルにあった対応を行っている
  • 脅威分析
  • セキュリティ設計
  • セキュアコーディング/静的解析
  • 脆弱性診断
  • インシデント対応
  • 出荷後の対応はインシデント対応になる
• 脆弱性診断
  • 攻撃者と同じ手法・ツールで製品を攻撃して診断
  • 10年以上やっている
  • おそらく1000機種以上
  • 物理デバイスだけでなくアプリも
• インシデント対応
  • 社内外の連携・調整の窓口を「Panasonic-PSIRT」に一本化
  • 各部署とどのように対応するかをやりとり
  • グローバルに専門家を配置している

Panasonic IoT Threat Intelligenceプラットフォーム

• 製品セキュリティにおける課題
  • 進化し続ける攻撃
  • 特定製品を狙う攻撃
  • 増え続けるIoTマルウェア
  • 製品セキュリティのコスト
    • ここはクリティカル
    • バランスが大事
  • 課題解決のためにプラットフォームを作る構想
• Panasonic IoT Threat Intelligenceプラットフォーム構想
  • 収集・分析・防御を回す
  • 実際のIoT機器をわざとぶら下げて攻撃を監視している
  • 収集したマルウェアも分析
    • 分析・統計まで自動処理している
  • 開発者にフィードバックしたり他メーカーとも連携
• IoT脅威収集
  • リアルなIoT家電をハニーポットとして接続している
  • 世の中にはソフトウェアのハニーポットもあるが、メーカーとして物理デバイスを使うことに意義を感じている
  • 現状日本と台湾に設置済み
  • もっと世界中に広げていく予定
• IoT脅威分析
  • IoT家電を狙うマルウェアを網羅
    • プロセッサタイプ、OSアーキテクチャで分類
  • すべてを自動化している
    • 累計4,600以上のIoTマルウェアを自動処理
• これまでの成果
  • 2017/11 - 2019/09
  • 収集
    • 2億件くらいの攻撃
    • マルウェアは2万超え
    • 実際に不審なファイルが設置された機種が2つ
  • 分析
    • 接続先DNSがDNS以外すべて悪性サイト
    • 国はアメリカ/中国/日本が多い
• 攻撃元国別の攻撃件数推移
  • 中国/アメリカが今年に入ってから急激に増えてきている
• IoT家電に対する攻撃件数推移
  • 全体的に攻撃件数は増加傾向
  • 対象としてはカメラ/BDレコーダー/インターフォンが多い
  • 狙われやすいポートが空いているからだと考えられる
  • Web/UPnP/SMB等
• 2019年の攻撃件数推移
  • 2件のピーク
  • 2019/4/7
    • UPnP
    • 直前にUPnPの脆弱性が公開されたことが影響されていそう
  • 2019/7/19
    • UPnP
  • プロトコル別で2019/8/28にもピークが見えた
• 2019年のIoTマルウェア収集件数推移
  • 25%が未知のマルウェア
  • 日々数件から数十件を収集
  • 攻撃観測件数とマルウェア収集件数は比例しない
    • 攻撃件数の多くはスキャンだと考えられるため
• これまでに収集したマルウェア
  • Linuxベースのマルウェアの多くはPC/Server向け
  • 21.5%がIoT
  • ARMとMIPSが多い
• 攻撃されたIoT家電
  • 認証無しで放置した共有フォルダにマルウェアを設置された
  • 2018/6に観測
    • マルウェアを5つ設置された
    • SambaCryを狙ったファイル
  • 他にも2回置かれた
• 攻撃解析
  • SambaCryについて解析
  • マルウェアのフルパス指定に失敗して攻撃は未遂だった
  • 痕跡を消去する挙動を確認
    • しかし一部が残っていた
• 解析ケース1: Hakai_pd
  • Mirai亜種
• 他にも数種確認

今後の展望

• 最新攻撃をリアルタイム観測及び分析
• IoT家電による観測
• IoTマルウェアに特化した挙動分析
• 自動処理による効率化・コスト削減
• 今後の狙い、B2Cのセキュリティ強化
  • 実際の機器をセキュアに
    • アップデートを迅速に回す方法の検討
    • 効率的なセキュリティ診断
    • 開発者へのフィードバック

感想

IoT機器を実際に使ったハニーポットを使って脅威情報を収集/分析しているのは素晴らしい取り組みですね！IoT機器のアップデートを継続的に行うのは大変だと思いますが頑張って欲しいですね！