Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

OWASP TOP10 IoT版がリリース

ぼーっとニュースを見ていて、年末にOWASP TOP10 (IoT版)が12月30日にリリースされていたのに気づきました。日本語の記事を見つけられませんでしたが、正月休み等の長期休暇にはマスコミ、セキュリティ関係者の感度が極端に落ちる日本市場らしい気がします。(※お休みは大切ですが・・・)

f:id:foxcafelate:20190104093123j:plain

 

■公式発表 The OWASP IoT Project for 2018 has just been released!

 

◆キタきつねの所感

OWASP Japanが近いうちに翻訳版を出してくれるものと思いますが、内容をざっと見てみると、

・1位 Weak, Cuessable, or Hardcoded Passwords(脆弱、推測可能、またはハードコード化されたパスワード)

Use of easily bruteforced, publicly available, or unchangeable credentials, including backdoors in firmware or client software that grants unauthorized access to deployed systems.

いわゆるパスワード問題です。PCやスマホと同じ課題ではありますが、1番に来るところがIoTの初期パスワードやセキュリティを考えずにソフトウェアに埋め込まれて解読されてしまいやすいハードコード化されたパスワード、等をまとめて、パスワード関連の脆弱点としてまとめているようです。

 

 ・2位 Insecure Network Services(安全でないネットワークサービス)

Unneeded or insecure network services running on the device itself, especially those exposed to the internet, that compromise the confidentiality , integrity/authenticity, or availability of information or allow unauthorized remote control.

不要なサービスやポートが開いている所を攻められる脆弱性ですね。IoT機器が使う必要がないFTPが使用可能となっている場合、その脆弱性をベンダーや利用者はなかなか気づかずにいるケースもある訳ですが、攻撃側から見れば攻める手段が増えるだけであって、IoT機器の設定(例えばFTPが標準設定ではONになっているといった状態)に、仮に脆弱点があればそこを突いて、外部から制御できる様に狙ってくる事が、結構あります。

 

 ・3位 Insecure Ecosystem Interfaces(安全でないエコシステムインターフェイス

Insecure web, backend API, cloud, or mobile interfaces in the ecosystem outside of the device that allows compromise of the device or its related components. Common issues includ a lack of authentication/authorization, lacking or weak encryption, and a lack of input and output filtering.

IoT機器が安全であったからと言って、API接続、クラウドでのデータ保管、モバイル用の通信インターフェイス等の、IoT機器を便利に使う為、あるいはデータ収集、モニタリング用のクラウドAPI等の接続、通信など、エコシステムに脆弱性があれば、IoT機器の安全性は損なわれるという内容です。

つまり、

鎖は一番弱い輪以上に強くなれない - Fox on Security

という点を指しているのだと思います。よくある問題として認証不足、弱い暗号、フィルタリング不足も要注意だと言う事も挙げられている点には注意が必要かも知れません。

 

 ・4位 Lack of Service Update Mechanism(サービス更新メカニズムの欠如)

Lack of ability to securely update the device, This includes lack of firmware validation on device, lack of secure delivery(un-encrypted in transit), lack of anti-rollback mechanisms, and lack of notification security changes due to updates.

(現在の)IoT機器は販売されてしまえば、更新されない仕組みである点を指摘しているのだと思います。おもちゃやネットに接続されない事を前提とした機器類であれば、あまり考える必要は無かったかも知れませんが、ファームウェア検証、セキュア転送、ロールバック禁止機構、アップデート通信等が欠如しており、更新ライフサイクルが機能してない事を挙げています。

パッチ当てが必要であったとしても、そもそもパッチを当てるスキームが準備されてない、現状のIoT機器ベンダーの”無策”は責められるべきだと思いますが、使う側もそれを強く指摘すべきだと思います。

 

 ・5位 Use of Insecure or Outdated Components(安全でないまたは時代遅れのコンポーネントの使用)

Use of deprecated or insecure software components/libraries that could allow the device to compromised. This includes insecure customization of operating system platforms, and the use of third-party software or hardware components from a compromised supply chain.

IoT端末が危険に晒される可能性がある、あるいは安全でないソフトウェアコンポーネントやライブラリを使っている事。安価にIoT機器を作るために仕方が無い部分もあるのでしょうが、IoT機器全般に、既に脆弱性が多数見つかっている、あるいはサポートが切れているソフトを使っている場合、OSや上位ソフトの安全性が脅かされていると言っても過言ではありません。

サードパーティ製のソフトやサプライチェーン側が使っているソフトやハードもこの中に含まれると挙げられていますので、「ゼロトラスト」の思想が今後、今後IoT機器には必要となってくる事を示唆しています。

 

 ・6位 Insufficient Privacy Protection(不十分なプライバシー保護)

User's personal information stored on the device or in the ecosystem that is used insecurely, improperly, or without permission.

端末内、あるいはエコシステム(クラウド上)にあるユーザの個人情報が、安全でなく、不適切で、あるいは無許可で保存されている。

この指摘は、昨年大きな話題となったGDPRの規制対象に入る可能性も含めて、特にビジネス利用ではユーザ企業側が注意を払う必要がある事を意味しているのだと思います。海外機器では勝手にユーザ情報がビックデータとして海外に保存される仕組みになっているかも知れません。IoT機器ベンダーの責任は大きいと思いますが、併せて採用する企業側の(システム構築に対する)監督責任も問われているのだと思います。

 

 ・7位 Insecure Date Transfer and Strage(安全ではないデータ転送と保存)

Lack of encryption or access control of sensitive data anywhere within the ecosystem, including at rest, in transit, or during processing.

保持中・転送中・処理中を含む、エコシステム内のあらゆる場所でのセンシティブ(機微)データの暗号化、またはアクセス制御の欠如。

暗号化もされず、外部(インターネット)からも気軽にデータアクセスが出来る。攻撃側から見ればデータを窃取してくださいと言っている様にしか見えないかと思います。

 

参考:某所のカメラ映像

 

暗号化がされた状態であっても、ここのトップ10に記載された諸々の脆弱点があれば、まったく安全ではないのですが、せめて暗号化(パスワード化)する・・・IoT機器なるものはその前提が無いと、利用してはいけないのではないでしょうか。

 

 ・8位 Lack of Device Management(機器管理の欠如)

Lack of security support on devices deployed in production, including asset management, update management, secure decommissioning, systems monitoring, and response capabilities.

資産管理、更新管理、安全な機器利用停止、システム監視、および応答機能を含む、本番環境に展開されているデバイスに対するセキュリティサポートの欠如。

(保管された)データ管理という点で、IoT機器が何も考えられて無い。そんな風に感じる指摘です。情報セキュリティの基本は、資産台帳(棚卸し)とリスクアセスメントになるのだと思いますが、IoT機器はその部分に対するサポート機能が”無い”事は、接続台数が加速度的に増加していくであろうIoT機器の弱点と言えそうです。入れたら終わり、あとは導入ユーザ側で頑張って下さい・・・頑張れる訳がないのです。

 

 ・9位 Insecure Default Settings(安全ではない初期設定)

Devices or systems shipped with insecure default settings or lack the ability to make the system more secure by restrcting operators from modifying configurations.

安全ではない初期設定、あるいは設定を限られたオペレータによって、より安全に変える機能を持たない上体で機器が出荷される。

 

初期設定や安全性向上については、昨年カリフォルニアで注目されるべき州法が可決されました。こうしたIoT機器を規制する動きは、特に今年、各国に広がっていくだろうと予想されます。(とは言えユーザ側も安全な設定に変更する責任があると思いますが・・・)

 

最悪なパスワード設定はメーカー責任 - Fox on Security

 

こうした規制の動きとOWASPの指摘が若干違うと思われるのが、管理者機能を付けるべきと指摘している所でしょうか。限定されたオペレータだけが設定変更ができる=管理者権限とオペレータ権限のレベル分けを意味しているのだと思いますが、この辺りは、各国が今後検討するであろう法制度でも議論が進むかも知れません。

 

 ・10位 Lack of Physical Hardening (物理的強度の欠如)

Lack of physical hardening measures, allowing potential attackers to gain sensitive information that can help in a future remote attack or take local control of the device.

物理的なセキュリティ強化策が欠如しているため、潜在的な攻撃者が将来のリモート攻撃に役立つ可能性のある機密情報を入手したり、デバイスをローカルに制御したりすることが可能。

最後は、IoT機器の物理セキュリティ(強度)の指摘です。リモートアクセスやローカル制御を窃取できてしまう可能性があるので、IoT機器のセキュリティ機構への耐タンパー性を求めているのだと推測します。セキュア領域での鍵管理など、PCやスマホが辿ってきた事をIoT機器でもやるべきである・・・とまでは書かれている訳ではありませんが、ハッカーは大規模な攻撃に際して、IoT機器を分解したり、リバースエンジニアリングを試みようとする事が予想されるので、その対策を持つべき・・・そんな風に言っている様に思えます。

 

 

更新履歴

  • 2019年1月4日AM(予約投稿)