こんにちは、ひろかずです。
サイバーセキュリティシンポジウム道後2019の2日目です。
例によってライブ執筆ですので、誤字脱字表記漏れ、表記ゆれについてはご容赦ください。
はじめに
〜前略
このような会をやっていると、攻撃者と守る側の2軸で語られることが多いが、実際には利用者という軸もある。
利用者という軸を忘れて、セキュリティが高まるので良いのではないかという論調で進むと、10年後に思わぬ結果になっているかもしれない。
分岐点は得てして小さいものである。
そういった中に自分達は居るということ。
温泉3兄弟
越後湯沢
次回は20回大会
2019/10/11(金),12(土)
前乗り推奨企画があるかも
白浜
2019/5/23(木)~25(土)
メガイベントのセキュリティ対策
セキュリティ道場ではフォレンジックのワークショップ
学生向け危機管理コンテスト(防御側)の決勝戦がある
南紀白浜アドベンチャーワールドにはパンダの赤ちゃんがいる
お品書き
- 「ダークネット観測からの脆弱性&インシデント・ハンドリング」
- SEC道後2019学生研究賞
- コーセー小椋 情報統括部部長 × ラック社長 西本 対談in道後~平成ICT温故知新、新時代を考える~
- 「サイバーフィジカルシステムにおけるセキュリティ」
「ダークネット観測からの脆弱性&インシデント・ハンドリング」
講 師: 久保 正樹氏(国立研究開発法人情報通信研究機構(NICT)
サイバーセキュリティ研究所 サイバーセキュリティ研究室 上席研究技術員)
道後初参戦
久保さんはNICTER解析チーム所属
NICT-CSIRTのSOCチームのマネジメント
バックグラウンドは脆弱性ハンドリング
NICTER観測レポート
ダークネット観測といけばNICTER
全世界30万のセンサーに到達するパケットを可視化している
ダークネット
- インターネット上で到達可能かつ未使用のIPアドレス空間
- ホストは存在しない
- 応答は返さない
- ブラック保0るモニタリングとか、ネットワークテレスコープなど別名
- Torのダークウェブとは別物
- マルウェアの感染活動などを観測できる
- ゼロデイ脆弱性も見つかったりする
NICTERダークネット観測オペレーション
- 細かい内容まではわからないので、ハニーポットも併用する
- 収集結果から、全体傾向や特徴的通信、ペイロード、マルウェア、脆弱性を分析
- 観測結果を共有したり、観測データに基づくアラートを送ったりする。
- レポートを作成して公表
2018年のダークネット観測統計
特徴1
- 調査目的のスキャンが大幅に増加
- 全体の35%が調査目的のスキャンパケット
- 中には11億パケットを送信するスキャナもある
- 素性がわからないスキャンをするスキャナが増えている
- 1日30ポート、30万パケットを送っているホストをスキャナとして扱っている
特徴2
- Telnetを狙う攻撃がほぼ半減している
- その他のポートでは、IoTなどの機器固有のポートが増えてきている
- Telnet頼りの攻撃から脱却しつつあるか?
ダークネット観測で発見した脆弱性とインシデントハンドリング
5555/tcpが題材
きっかけは、2018年7月以降に5555/tcp宛の通信が急増している
- 対象ホストがその時から10倍に跳ね上がった
5555/tcpで待ち受けるホストをshodanで確認すると、Android機器だった。
shodanでは4万ホスト(日本は800ホストだが、100ホスト以上がモバイル回線)
Android Debug Bridge(ADB)
- Androidのデバッグ目的で、クライアントからUSBかWifiで繋ぐことができる
- ADBには認証なしのものもある。
- つながれば、シェルアクセスができたり、ファイルを出し入れしたり、画面キャプチャや画面操作の動画取得ができる。
機器の特定をしないといけない
事例1: BlueStacks
海外スマホの機種名が多数shodanで見える
足回りのネットワークは、多くが固定回線
モバイル回線に繋がっているのは数件
同じ機種を使って実機確認すると、設定画面からWifi経由でADB接続することができないことがわかった
エミュレータ?
BlueStacksをインストールして調査すると、インターネットからADB接続できることがわかった。
- BlueStacksは、スマホアプリをPCで使うような用途で使える
- デフォルトで認証のかからないADBが開くのはよろしくない
- IPAに届け出した
- 無事にアップデートが公開された
原因は、ポート開放のバッドノウハウ?
- ゲーム利用の紹介サイトの情報を鵜呑みにしている?
事例2: セットトップボックス
日本だけに聞きが存在
足回りはモバイル回線(グローバルIPが振られるSIM)
Youtubeには、セットトップボックスのハック動画が挙がっている
当該機器のIPアドレス(shodan)とダークネット観測データを突き合わせると、Miraiの特徴をもつパケットを飛ばしていることがわかった
- このことから、組み込み機器を狙っていたMiraiが、Androidを狙うようになった
JPCERT/CC経由で当該機器利用会社のCSIRTにコンタクトして、打ち合わせをした
- 工事現場のサイネージ機器だった
- 業者が持ち込んだものだった
- 現場監督立ち会いのもと、現物確認できた
- ひとまず電源を落として、情報を持ち帰った
その後の調査
- 当該機器は、ADBを有効にして出荷していた
- ユーザーがWifi経由でアプリをインストールする目的
- USBデバッグを無効にするとADBをオフになる
- コインマイニングツールのが感染しているケースも確認した。
感染方法
- wget/curlパターンでは、ファイルダウンロードとコマンド実行をADB経由で実行させる
- syncによるapkコピーパターンでは、踏み台からapkに
Android機器でどれくらいマイニングできる?
- 匿名性が高いMonero/XMRが使われていた
- BlueStacksは、実性能の4割程度だった
- 一般的なAndroidデバイスよりは、高いマイニング効率だった
- 実際に攻撃者のウォレットを確認して、どの程度マネタイズできているかを観測する研究もある
脆弱なホスト数の推移
- BlueStacksのパッチ公開以降、半減している。
- 相変わらずエミュレータが多数残っている
Google認証済みAndroid機器は、出荷時にADBが無効されていたり、セキュアADBを実装している。
- Google未認証Androidは、設定が甘いものもある
- 正規のAndroid機器では、問題にはなってない
- AndroidOSを組み込みOSとして使ってるデバイスに問題が残っている
- Androidの古いバージョンを使っている
ADB問題の収束には、Android機器における対策がポイントとなる。
ADB問題では、別の動向も観測されているので、引き続きウォッチしていく
QA
ADB以外にデバッグの仕組みとしてはJTAG等他にもあるが、どのような見立てであるか?
- NICTER観測ではそこまで見られてない
- 特定ポートを叩くことでコントロールを掌握できるような通信があることは認知している。
SEC道後2019学生研究賞
メッセージングアプリの普及に基づく簡単で公平なコイントス
宮原 大輝, 東北大
CSS2018での発表内容
離婚した二人が一台の自動車を巡って所有権を争う
会いたくないので、遠隔コイントスで決めたい
片方がトスしたコインを当てることはできないので、この方式は公平ではない
LINE等のメッセージングアプリを用いたコイントス方式を提案
- メッセージングアプリは普及しているので、悪意のある動作をしないという仮定に基づいている
アイデア
- 既読機能を活用する
- 既読を付けないまま、
動画
の内容を確認することは不可能である - コイントス動画をメッセージングアプリに投稿する
- 既読がつかないということは、動画を見ていないということ
手順
- コイントス動画をメッセージングアプリに投稿する(着信通知は来る)
- 予想を任意の手段で相手に伝える(既読を付けない方式)
- 未読であることを確認して、相手にその動画を確認させる
この方式は、通信デバイス・環境があれば、数分以内で実行できる。
- メッセージングアプリが悪意のある動作をしない限り安全である
おまけ
- LINEでは、送信取り消しができる(相手にはバレる)
- FaceBookのメッセンジャーは、送信取り消しはできないので、より強固である
- メッセージングアプリを使った暗号プロトコルは引き続き探求している
QA
LINEを前提としているけど、LINEの保証が取れない場合の補完はできそう?
- 今後の研究
実世界でも攻撃可能なAudio Adversarial Example
矢倉 大夢, 筑波大
機械学習やセキュリティを研究しつつ、CTFに参加している
Adversarial Example
- 画像を投入して、同認識してほしいかを教える
- 機械学習モデルは、画像のノイズを学習する
攻撃可能性
- 小さなノイズをサンプルに混ぜることで、機械学習に誤らせる
- 人間に気づかれないように、機械学習モデルを攻撃できる
- 音声については、現実世界では難しいと
- DNN-HMM型の認識モデルに対する攻撃は提案されているけど、古くてスマートスピーカーは該当しない
提案手法
- 周波数帯を限定してノイズを入れ込む
- インパルス応答を適用して、環境別のサンプルを収集し、シミュレーションしておく
- そのようなノイズを作っておく
実験環境と評価指標
- 室かな会議室内で再生録音を10回実施
- マイクとスピーカーは50cm
- FM変換して、ラジオを通して攻撃できることを確認する
評価結果
- hello worldやopen the doorについては、ちょっとノイズが乗ってる程度のレベルで、スマートスピーカーに認識させることができる
- ok google、DNNいなかったでは、ノイズがキツくて聞いてられないレベル
Amazon Mechanical Turkでノイズを感じるかを聞いてみた(サンプル25人)
- 音が不明瞭であると答えた人はいたけど、どのような言葉が乗っているかを認識できる人はいなかった
QA
AI解析をやっていると、マイクの性能で全然違う結果になることがある。
マイクには気を配ったか?
- スピーカーと伝送経路では、結果が安定している
日本語や中国語ではどうか?
- 公開されている認識モデルで、使いやすいものがなかったので試してない。
- 日本語は、言語空間が広いので、認識は難しいかもしれない
- 語彙が多いので、認識精度に影響が出るかも
ノイズを低減するアプローチは?
- 生成の観点では、歌詞入りの音楽に混ぜるとノイズが小さくなる
- 攻撃シナリオ観点では、雨音にノイズを混ぜようとしたら、作るのが難しい
- ノイズが小さくなる音楽を探すアプローチもあるのではないか
スマートフォンにおける音声とタッチスクリーンから取得した耳介を用いた個人認証
郷間 愛美, 電通大
スマートフォンには個人情報が入っているので、セキュリティが大切
- スマートフォンをロックしている人は、46%
- ロックを解除されてしまうこともあるので、継続的に認証する必要がある
盗難紛失による問題点
- 情報流出
- 不正利用
- 高額な通話料
通話を用いた認証(本人確認)はまどろっこしい
- ソーシャルエンジニアリングや盗聴ができる
- 会話中に認証ができると良い
先行研究
- スマホを耳に当てることで耳介で認証
- 音声で認証(スマホ利用は想定されていない)
提案
- スマホを耳に当てることで耳介で認証 + 音声で認証
評価結果
- 先行研究それぞれより、提案手法のほうが精度が高かった
考察1
- 生体情報の初回登録時の手間
- 手間として、発話を繰り返す行為が必要で、ユーザー負担が大きい
- 耳介+SVMでは、データ量による変動が発生しづらいので、負担が小さくなる
考察2
- 雑音が大きいと精度が下がってしまう
- 音声の精度が下がっても、耳介の認証で補うことができる
結論
- 通話時におけるシームレスな認証ができる
QA
認証精度は高いけど、認証されないことはある?
- Yes
違う人を認証することもある?
- Yes
これについて何か手立てはある?
- 耳介の認証が精度が低いので、前処理が必要だと思う
なりすまし対策は?
- 複数の要素が必要なので、なりすましは難しいのではないか
静電パネルはどの端末にも搭載しているが、機種変による影響は?
- 今はNexusだけでやってる。今後の研究課題。
分光スペクトルを用いたLEDの個体識別における電流変化の影響
藤 聡子, 電通大
小さい部品の個体識別をする時の課題
- タグやバーコードが付けられない、表面加工が難しい場合もある
- 個品番号という手法はすでにある。
人工物メトリクス
工業製品の個体に固有の物理的特徴を持たせる
- ワイン瓶を見分けるには、瓶の底のくぼみに光を当てる
- 光る度合いに個体差があるので、ラベルをすり替えられても識別できる
- ネジを見分けるには、表面の微細な模様が個体によって異なる
提案
- LEDの個体識別
- 光らせるだけで識別できると楽
嬉しさ
- 知性のない製品の真贋を光を見るだけで判定
- 可視光通信で敵味方を識別して、リレー攻撃対策になる
白色LEDと分光スペクトル
- 多くの白色LEDは、青色LED+黄色蛍光体で構成されている。
- 蛍光体が光を浴びて、そのエネルギーで黄色を発行する。
これまでの進捗
- 定電流で計測する条件では青色分光スペクトルで個体識別ができることはわかっている
- 電流が変わると分光スペクトルの形が変わるので、クローンが作れるのではないか
実験と結果
- 明るさを使わないで、波長だけで区別しようとすると、クローンが成立してしまった
- 電圧・電流を取得して、区別をすることはできた
今後の展望
- 鳥簡易的な方法がないか調査を行う(光だけでできるようにしたい)
- サンプル数を増やして実験を行う
QA
どうしてLEDを採用しようとしたか?
- 光らせるだけで(非接触型)でやりたかった
ユーザーが個体識別をしようとする時はどうしたらいいか?
- 先ずは、できるかどうかの話を試したかった。
- 誰でもできるというのは、必要な視点
印刷物での非接触型のやり方はある
- インクの知識があまりなかった
コーセー小椋 情報統括部部長 × ラック社長 西本 対談in道後~平成ICT温故知新、新時代を考える~
講 師:小椋 敦子氏(株式会社コーセー情報統括部 部長)
コーディネーター:西本 逸郎氏
(株式会社ラック代表取締役社長、
一般社団法人日本スマートフォンセキュリティ協会(JSSEC) 理事・事務局長)
1979年はガンダム放映開始の年
10年前にガンダム30周年をやった
30歳なら1989年生まれ
1989年は消費税導入の年
事業変革のためにIT活用を協力に推進するCIO
が鍵を握るという見立て
- 橋渡し人材と言われているが、本来であればITを駆使して経営をしていくので、本来ならいらないはず
- 去年はフジテック友岡さんに登壇してもらった
- 友岡さんは、現場からほしいと言われたシステムは作るな。情報システムから提案するんだと言っていた。
小椋さんの自己紹介
- コーセーは、1946年創業から、化粧品事業だけでやっている
- 営業利益率16%で安定している
- コーセーが目指す姿
- VISION2026
- ブランド戦略として、コーセーを全面に出すブランドと、価値観を全面に出すブランドの2種がある
- ローカル専用ブランドをやってた時は、あまり売上が上がらなかった
- 2010年以降、日本の人気ブランドを展開したところ、売上が上がった
- 研究員として入社したけど、一年でブランド事業打ち上げに異動
- 1991年に結婚出産と景気に研究所内のIT部門に異動したのが、ITとの出会い
- 当時は、メインフレームから、クライアント・サーバーシステムの構築からすべて自分たちで行っていた
- 情報システム部門としてのミッションは、システムを通じてビジネス貢献すること
- 技術の目利きや、利益貢献、業務コンサルティング、スピードと柔軟性
- スピード感:内製化、クラウド利用、グローバル統一
- チャレンジ:新しい技術への挑戦
- セキュリティは、コストを抑えながら最低限のところは抑えていっている
- CIOとして果たすべき役割は、ビジネスにこうけんし、そのための戦略立案をする。
- 外部の力を借りるにしても、IT技術の目利きができる
- 経営層と現場の通訳であること。
- 統合と断捨離
システムを捨てる時の基準は?
- 似たようなシステムは、一つに統合して、残りは捨てるとか
- 時代の経過で必要がなくなってきたものは、今に合う新しいものを作って、古いものは捨てるというやりかた
- 自動化を進めて、オペレーションを補佐するようなシステムを廃棄するというやり方
製品開発部門からシステム開発部門への転身経緯や背景
肌診断を行って、売り場での助けるブランドのプロジェクトだった
- 肌診断はプログラムで行うので、システムはわかるでしょという流れでIT部門へ異動が決まった
化粧品の製造の現場では、工場などのIT制御というやり方をしている?
- 料理に似ていて、完全なオートメーションはフィットしない。
- 工夫を変えた少量のものを作っていく、職人芸の領域
- 量産する時は、多少は機械化するけど、最後のひと手間で出来栄えが決まる
匠の人たちは、IT邪魔とかになるのでは?
- ユーザーに意識させずに、いつの間にかできるようになっているのが理想
日本はITの後進国と言われているが、コーセーにおけるITの利活用とセキュリティ意識は如何ですか?
ITの利活用は進んでいるが、製造現場ではまだまだアナログなので、程よいバランスを取りながら進めていきたい。
- 研究部門は、ノウハウの根幹であるので、すべてのアクセスログを取得等している
- 研究に携わる人達の意識も、セキュリティに配慮している
これまでの30年とこれからの30年のITのあり方とキャリアの積み方
- 平成元年からWindows3.1でピクセルで画面設計してきた
- その経験は今に生きている
- 新しい技術は、企業の施策としてどう使えるかという視点で、目利きを効かせている
今、注目している技術はあるか?
- B2Bの商売(対販売店)をやっている
- B2Cのつながりに苦労をしている
- 商品に印字したシリアル番号と介して、消費者と繋がる等チャレンジしている
- 究極はパーソナライズという方向性もある
- 化粧品はプロダクト・アウトで、消費者の期待を超越していくという方向性もある
- 新しくないかもしれないが、今必要としているものはそれ(B2Cのつながり)かもしれない。
働き方に関して、女性がマネージャ職を敬遠する理由に現場の仕事が楽しいということもあるが、それを上回るマネージャ職の魅力は?
- ひとりでできることには限界がある。
- 組織の力で物事を成し遂げるという喜びはある。
働き方に関して、女性がマネージャ職に立候補する自信が持てない要因の一つとして、特に育児期間中は「むりのないワークライフバランスを保てるか?」「周囲に迷惑をかけないか?」というものがあるか
出産育児をした時は、育児休暇という制度はなかった
人生をマラソンと考え、完走することを目的とするなら、一時的な停滞に焦る必要はないのでは?
働き方に関して、子供との時間が減ってしまうということには?
子供と触れ合う時は、100%子供に意識を向ける
日本のCIOの方々へ、経営と現場の間での役割や戦いなどのアドバイスは?
コストは非常に厳しく見ている
できることや、できないことを厳しく追求している
(ちょっと書ききれませんでした)
QA
非IT出身とのことですが、非ITの方向けにアドバイスはあるか?
- 難しいことを難しく話すのは簡単
- わからない人にわかるように伝えることが重要になってくる
「サイバーフィジカルシステムにおけるセキュリティ」
講 師: 森 彰氏(国立研究開発法人 産業技術総合研究所
情報・人間工学領域 サイバーフィジカルセキュリティ研究センター 研究チーム長)
サイバーフィジカルセキュリティ研究センター(CPSEC)
- ソフトウェアアナリスティクス研究チームに所属している
サイバーフィジカルシステムとは
物理空間のデータをIoTなどで集めて、クラウドなどのサイバー空間で演算分析するような感じ
現実世界にフィードバックして、地球規模での最適制御を実現する
- サイバー攻撃が物理世界へ影響が出るような領域
- フィードバックループするので
サイバーフィジカルシステムループ
と呼ばれる - スマートグリッドとか
- 高度道路交通システムなどは、それぞれの車の動きを把握して予測し、平均通過時間をなるべく小さくする
- Googleデータセンター省エネでは、データセンター内に数千個のセンサーを設置して、人工知能により稼働状態や機構などの変動を加味して、各装置をコントロールする
- 繋がる工場(Industry4.0)
- スマート農業では、サイバー空間で下手を打つと、作物が枯れてしまうとかありそう
CPSセキュリティの問題点
CPSセキュリティの特質
- サイバー攻撃の影響が物理世界に影響をもたらす
- バックアップリストアが効かない
- 自然現象や物理現象や人間・社会現象を含む
- 予測できない悪影響をもたらす危険性
- 大規模で複雑なシステムとなる場合が多い
IoTセキュリティの特質
- 大量にあるIoTききを メンテナンスできない
- 脆弱な初期設定が放置
- サイバー攻撃を受けても放置
- 古いOSをやライブラリ、ツール、プロトコルを使っているので、セキュリティホールだらけデバイスが広がってつながってくる
- 組み込みプロセッサを使うので、最新の保護機能の欠如
- shodanとかでこれらが検索できてしまう
Miraiウィルス
- デフォルト設定に不備にあるIoTデバイスを乗っ取る
- telnet/ftpサービスが自明なIDとパスワードで利用可能
- 監視カメラ、ルーター、デジタルレコーダーなどがターゲット
- ソースコードが公開されている
サイバー攻撃を許す要因
- ソフトウェア脆弱性
- マルウェアやトロイの木馬
- パスワード設定や、デフォルト設定の不備
- 無線/有線
スタックオーバーフロー
- サイズを超えたデータ書き込みが関数の戻り番地を上書きして、プログラムの制御が乗っ取られる
- セキュリティ的に大事なので、何度も説明している
ヒープオーバーフロー
- サイズを超えた書き込みが隣接ヒープパでヒント王して、関数ポインタ等を上書きされる
- セキュリティ的に大事なので、何度も説明している
コマンドインジェクション(DHCP)
- ニセのDHCPサーバが応答して、ホスト名などが適切にエスケープされずにシェル実行されると任意のコマンドが実行される
- Shell Shockと組み合わせる攻撃もできる
- 文字列のエスケープは大事
ルーターへの攻撃
- Juniper ScreenOS (2015)
- 正規のリポジトリが汚染されていて、バックドアが仕込まれている
その他
- VPNFilter(2018)
- BlueBorne攻撃(2017)
- Bluetoothドライバにおける深刻な脆弱性。Linuxが一番深刻だったかもしれない。
- Jeep Cherokee(2015)
- 車載システムのD-Busにプロセスが認証なしにroot権限で利用できるポートがある
- Tesla Model S(2016)
- 交通信号のハッキングシステム(2018)
- Faxへの攻撃(2018)
- 航空機への攻撃(2016)
- 侵入実験で侵入できたという話
医療デバイスへの攻撃
- ペースメーカーを設定するデバイスの脆弱性
- 薬注入器の脆弱性
携帯電話網の脆弱性
- 共通線No7(SS7)公衆交換電話網のシグナリングプロトコル
- メルケル首相が盗聴されたのはこれと言われている
- SMSも盗聴されてしまう
どうする
セキュリティライフサイクルと多層防御
- セキュリティ設計
- セキュアシステム設計
- セキュアデプロイメント
- セキュリティアセスメント
- セキュリティ(再)設計
- それぞれ専門性が違う
OS・システムレベルでの対策
- セキュアデプロイメント
- Safe Stack
- DEP
- アドレスサニタイザ
- ソースコード静的解析
- binaryコード静的解析
ヒューマノイドロボット
- CPS共通の問題
- ロボットがコケた理由がわからない
- 再現性がない、大量の動作情報、原因の追求が困難
決定的でバッキング
- 制御フローを再構成できるだけの実行時ログを記録しておいて、あとで再現する
- 逆実行で不具合原因を特定する
サイバーフィジカルソフトウェア工学
まとめ
自動化しかない。人手では無理。
今後は、国家レベル、サプライチェーン、繋がる工場、計測のセキュリティ
セキュリティのためのAIが必要なんじゃないか
今日はここまでです。
お疲れ様でした。