リバースエンジニアリングによる高度な解析技術を活用した
DDSのIoTセキュリティ診断サービス
無防備なIoTデバイス
2020年1月28日「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表がありました。
提言には「IoT機器のセキュリティ調査を行う」「問題発生後の報告体制を強化する」など5点の対策が盛り込まれています。
https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00093.html
IoT機器については、国内の重要施設に設置された機器が攻撃されやすい状態にないか調査し、問題があれば管理者に注意喚起、対策を促すとしています。情報通信研究機構(NICT)の調査によれば、IoT機器の管理画面のトップページに、管理事業者名や機器の用途が表示され、攻撃を受けやすいものが一定数あると言われています。

メインボード取り外し作業
IoTデバイスはPCやサーバとは異なり、セキュリティ対策ソフトを導入したり、ファームのアップデートを適用したりして脆弱性を防ぐ手法が用意されていないことも多く、無防備なデバイスが世の中に多数放置されており大変危険な状態です。
サイバー攻撃の25%はIoT関連
Check Point Researchの「2020 Cyber Security Report」には、「5Gのロールアウトに伴ってつながるIoTデバイスの数は劇的に増加し、それがセキュリティ上の弱い鎖になり得る」と書かれています。調査会社によって数字に幅はありますが、「とてつもない数のIoTデバイスがつながり、5Gはそれを加速させる」と、Check Point IoTプロダクトマネージャーはイベントで述べています。こうした機器はネットワークにつながっているが可視化することができず、管理が困難です。
さらにこれらはサイバー攻撃の間口になっており、「サイバー攻撃のうち25%がIoTに関連している」といいます。この結果、IoT機器そのものが侵害されるだけでなく、それらが踏み台となって、個人情報や機密情報を扱う企業ネットワーク侵入の間口になる恐れがあります。

ビルド番号をデベロッパーモードへ
最近ではセキュリティを考慮し、一律ではなく個別のパスワードが設定されていたり、ファームウェアのアップデート機能を搭載したりしたIoTデバイス、組み込み機器が登場していますがWindows 2000のような過去のOSが、デフォルト設定のまま使われていることもあります。
Security by Design 〜IoT機器が安全だということを誰がいつ保証するのか〜

Security by Design
IoTデバイスをセキュアにすることは非常に困難で、設計段階からセキュリティを考慮する“Security by Design”という発想が今後重要となってきます。こうした機器はネットワークにつながっているにもかかわらず“見えない”存在で、管理も困難です。
IPAが公開している「セキュリティ・バイ・デザイン入門」によると、設計時のセキュリティ対策コストを1としたとき、運用時のセキュリティ対策コストは100倍になると発表されています。この取組みを推進するために、セキュリティ要件に適合するIoT機器に関しては認証マークを付与するという方向性になるのではないでしょうか。
https://www.ipa.go.jp/files/000055823.pdf
DDSは設計の段階で、タブレット、ルーター、DRONE、UTM、ロボット系家電、電気自動車などIoT機器の脆弱性を攻撃者視点で診断、レポートします。基板からのチップオフ→ファーム抽出作業まで完全自社対応しています。論理抽出(設定変更、抽出ファイル)、解体作業(筐体解体、本体からメインボードの取り外し、メインボードからROMチップの取り外し)物理抽出(ROMチップからデータ抽出)

メインボードからのチップ取り外し
(電気自動車)
今後はエッジやデバイスで発生するIoT製品への様々な脅威から、機器を保護するためのブラックリストを配信する予定にしています。
脆弱性にまつわる問題は、経済産業省の鴨田浩明氏(商務情報政策局サイバーセキュリティ課企画官)も指摘していました。「自前でソフトウェアを作る以外にも、アウトソースしたり、オープンソースソフトウェアを使ったり、いろいろな方法がある。その中でソフトウェアが安全だということを誰がいつ保証するのか、脆弱性が発覚したら誰が責任を取り、誰に知らせ、誰の負担でどう穴を埋めていくのかは課題の一つだ」と鴨田氏は述べています。

リボーリング後のROM
攻撃者側は脆弱性情報を知っている
産業制御システムのソフトウェアでさえベンダーによっては放置されているケースがあるそうです。大本のソフトウェアではパッチが提供されている場合でも、最終的に組み上げられた機器には対応が行き渡らない状況があります。これをN-day問題と表現しています。 問題は、自社で利用している機器にどのような脆弱性があるのか、把握が難しい一方、攻撃者は脆弱性情報を知っているという、危険な状況にあるということです。

ルーターROMチップからの
データ吸い出し作業