不正侵入・ハッキング対策に、DDH（デジタルデータハッキング）

ABOUT

DDH(デジタルデータハッキング)とは

「セキュリティもハードの技術を押さえられるかどうかが重要」
私たちは、データ復旧国内シェアNo.1の実績（※1）、29万件の復旧実績（※2）を誇るデジタルデータの技術者集団です。
フォレンジック技術、データ復旧技術、サイバーセキュリティ技術の3つを核とし、
予防からインシデントレスポンス、事故調査解析まで一気通貫で対応可能な企業です。
世界中の最先端技術を導入、ホワイトハッキングエンジニアと連携し、
日本でもトップクラスのセキュリティシステムやソリューションを提供しています。
インシデント発生後の対応もこれまでのサービスで培ってきた24時間365日運営のノウハウを活かし、
一日約４億ものサイバー攻撃から、あなたの会社・ビジネスを守ります。

※1 第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間：2007年〜2017年)
※2 算出期間：2011/1/1～

SERVICE

サービス

プロダクトソリューションコンサルティング

プロダクト

不正通信を検知・遮断し、社内の情報を流出させない出口対策製品「DDH BOX」の設置・診断・サポートを行います。

DDH BOX

ベトナム公安省への
DDHBOX贈呈式

鳥栖商工会議所にて
サイバーセキュリティ講演会

三井住友海上にて
サイバーセキュリティセミナー

お客様の声

ソリューション

IoTセキュリティ診断サービス

タブレット、ルーター、DRONE、UTM、電気自動車など、IoT機器の脆弱性を攻撃者視点で診断、レポート、
基板からのチップオフ→ファーム抽出作業まで自社対応（バックドア調査など）しております。
エッジやデバイスで発生するIoT製品への様々な脅威から
機器を保護するためにブラックリストリストを配信提供予定

リバースエンジニアリングによる高度な解析技術を活用した

DDSのIoTセキュリティ診断サービス

無防備なIoTデバイス

2020年1月28日「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項[緊急提言]」の公表がありました。
提言には「IoT機器のセキュリティ調査を行う」「問題発生後の報告体制を強化する」など5点の対策が盛り込まれています。
https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00093.html
IoT機器については、国内の重要施設に設置された機器が攻撃されやすい状態にないか調査し、問題があれば管理者に注意喚起、対策を促すとしています。情報通信研究機構（NICT）の調査によれば、IoT機器の管理画面のトップページに、管理事業者名や機器の用途が表示され、攻撃を受けやすいものが一定数あると言われています。

メインボード取り外し作業

IoTデバイスはPCやサーバとは異なり、セキュリティ対策ソフトを導入したり、ファームのアップデートを適用したりして脆弱性を防ぐ手法が用意されていないことも多く、無防備なデバイスが世の中に多数放置されており大変危険な状態です。

サイバー攻撃の25%はIoT関連

Check Point Researchの「2020 Cyber Security Report」には、「5Gのロールアウトに伴ってつながるIoTデバイスの数は劇的に増加し、それがセキュリティ上の弱い鎖になり得る」と書かれています。調査会社によって数字に幅はありますが、「とてつもない数のIoTデバイスがつながり、5Gはそれを加速させる」と、Check Point IoTプロダクトマネージャーはイベントで述べています。こうした機器はネットワークにつながっているが可視化することができず、管理が困難です。
さらにこれらはサイバー攻撃の間口になっており、「サイバー攻撃のうち25％がIoTに関連している」といいます。この結果、IoT機器そのものが侵害されるだけでなく、それらが踏み台となって、個人情報や機密情報を扱う企業ネットワーク侵入の間口になる恐れがあります。

ビルド番号をデベロッパーモードへ

最近ではセキュリティを考慮し、一律ではなく個別のパスワードが設定されていたり、ファームウェアのアップデート機能を搭載したりしたIoTデバイス、組み込み機器が登場していますがWindows 2000のような過去のOSが、デフォルト設定のまま使われていることもあります。

Security by Design 〜IoT機器が安全だということを誰がいつ保証するのか〜

Security by Design

IoTデバイスをセキュアにすることは非常に困難で、設計段階からセキュリティを考慮する“Security by Design”という発想が今後重要となってきます。こうした機器はネットワークにつながっているにもかかわらず“見えない”存在で、管理も困難です。

IPAが公開している「セキュリティ・バイ・デザイン入門」によると、設計時のセキュリティ対策コストを1としたとき、運用時のセキュリティ対策コストは100倍になると発表されています。この取組みを推進するために、セキュリティ要件に適合するIoT機器に関しては認証マークを付与するという方向性になるのではないでしょうか。
https://www.ipa.go.jp/files/000055823.pdf
DDSは設計の段階で、タブレット、ルーター、DRONE、UTM、ロボット系家電、電気自動車などIoT機器の脆弱性を攻撃者視点で診断、レポートします。基板からのチップオフ→ファーム抽出作業まで完全自社対応しています。論理抽出（設定変更、抽出ファイル）、解体作業（筐体解体、本体からメインボードの取り外し、メインボードからROMチップの取り外し）物理抽出(ROMチップからデータ抽出)

メインボードからのチップ取り外し
（電気自動車）

今後はエッジやデバイスで発生するIoT製品への様々な脅威から、機器を保護するためのブラックリストを配信する予定にしています。

脆弱性にまつわる問題は、経済産業省の鴨田浩明氏（商務情報政策局サイバーセキュリティ課企画官）も指摘していました。「自前でソフトウェアを作る以外にも、アウトソースしたり、オープンソースソフトウェアを使ったり、いろいろな方法がある。その中でソフトウェアが安全だということを誰がいつ保証するのか、脆弱性が発覚したら誰が責任を取り、誰に知らせ、誰の負担でどう穴を埋めていくのかは課題の一つだ」と鴨田氏は述べています。

リボーリング後のROM

攻撃者側は脆弱性情報を知っている

産業制御システムのソフトウェアでさえベンダーによっては放置されているケースがあるそうです。大本のソフトウェアではパッチが提供されている場合でも、最終的に組み上げられた機器には対応が行き渡らない状況があります。これをN-day問題と表現しています。　問題は、自社で利用している機器にどのような脆弱性があるのか、把握が難しい一方、攻撃者は脆弱性情報を知っているという、危険な状況にあるということです。

ルーターROMチップからの
データ吸い出し作業

サイバーセキュリティ対策の鍵は「自動化」と「ゼロトラスト」

出口対策製品 DDHBOXとIoT

「自動化」と「ゼロトラスト」を実現する出口対策製品DDHBOXとIoT

最近ではセキュリティを考慮し、一律ではなく個別のパスワードが設定されていたり、ファームウェアのアップデート機能を搭載したりしたIoT機器、組み込み機器が登場しています。

ルーターのメインボード

ネットにつながっているのはそうした機器ばかりではありません。それ以前の考え方で開発された機器、機能を改善しようにも十分なリソースを搭載していない機器もあり、その両方を保護する必要があります。また、工場などで使われる産業制御システム（ICS）や、ネットにつながる医療機器も対象に対策を進めていかなければなりません。　そもそも自社のネットワークにどのようなIoT機器が何台つながっているのか、把握することは困難です。

DDHBOXを活用したセキュリティ対策のキーワードの1つは「完全な自動化」です。

社内に多数のIoT機器があっても、ネットワーク配下の機器はコピー機まで含め全てが監視対象です。わざわざ1台１台の存在を調べたり、機器のソフトウェア種類やバージョンを確認する必要はありません。脆弱性がないか、リスクを判断する煩わしさがなく、全ての機器を自動で守ります。

管理画面キャプチャ

手作業で大量のIoT機器に対し、それぞれ適切なポリシーを適用していくというのは不可能です。

最近ITセキュリティの世界でも認知度が高まっている「ゼロトラスト」という考え方があります。侵害があり得ることを前提に、指示を出すC２サーバとの通信を検知→遮断することで、被害を最小限に抑える対策が今後必要となります。DDHBOXはIoTデバイスそのものを守ると同時に、感染したIoTデバイスから社内ネットワークを守るという2つの役割を果たすことが可能です。過去1年に観察されたマルウェア・ファミリーのうち、41%がMandiant(米セキュリティ企業)の研究者にとって未知のものであったという事実からも、侵害がある前提の対策という考え方が必要です。

＊Check Point社の調査では、従業員1万人規模の企業ならプリンタやIP電話も含め2万台のIoT機器が、500床規模の病院なら1万台の医療機器が、2000人が働く工場なら5000台のIoT機器がつながっていると言われており、「その事実を知らない人のほうが多い」とのことでした。

サプライチェーンを守る画期的なツール

脆弱性にまつわる問題は、経済産業省の鴨田浩明氏（商務情報政策局サイバーセキュリティ課企画官）も指摘していました。同省の産業サイバーセキュリティ研究会に設けられたタスクフォースの中で、この課題も議論されているといいます。

「自前でソフトウェアを作る以外にも、アウトソースしたり、オープンソースソフトウェアを使ったり、いろいろな方法がある。その中でソフトウェアが安全だということを誰がいつ保証するのか、脆弱性が発覚したら誰が責任を取り、誰に知らせ、誰の負担でどう穴を埋めていくのかは課題の一つだ」（鴨田氏）。同氏は、技術的な面での対策だけでなく、保険のような社会的なシステムも含めて対策を進めていくべきだとしました。また、「設計データなどの重要な情報も、サプライチェーンの下のレイヤーまで落ちていることが多い。そのため攻撃者はどこを狙うかというと、大企業本体よりもセキュリティレベルの低いところ、つまり全国に約360万社あるといわれる中小企業を狙う」と同氏は述べています。

サプライチェーン攻撃の例

鴨田氏は、18年～19年にかけて大阪商工会議所が行ったサイバー攻撃に関する調査・分析の結果を紹介しました。約30社を対象にセキュリティ調査を行ったところ、その全てでサイバー攻撃を受けていたことを示す不審な通信が見つかりました。中には管理者権限を奪取されてやりたい放題の状態になっていたにもかかわらず、そのことを知らなかったケースまであったそうです。一番の問題は、被害者がその攻撃、被害に気付く手段がないということです。この場合、永続的に情報を盗み続けられてしまいます。

鴨田氏は「おそらく全国で同じような状況になっているだろう。かといって、中小企業に大企業並みの対策を求めるのは困難だ」と述べ、自社でできることはやってもらいつつ、サイバー攻撃の相談窓口「サイバーセキュリティお助け隊」など、さまざまな支援策を展開していく方針を示しています。DDHBOXはLAC社のJSOCのC２サーバリストをデイリーで自動アップデートします。中小企業が大企業並みの対策を安価で実現できる唯一の対策製品だと言っても過言ではありません。

システムや人などのつながりを「サイバー空間」「フィジカル（物理）空間とサイバー空間」「企業間（サプライチェーン）」の三層に分け、セキュリティの在り方を考えていくことが重要です。DDSのIoTセキュリティサービスとDDHBOXを活用した出口対策（通信監視）はまさに経済産業省のフレームワークに合致していると言えます。サプライチェーン全体のセキュリティを考えれば、自分（自社）だけが対策すれば“OK”という時代は終わっています。