ProactiveDefenseを運営する株式会社神戸デジタル・ラボ(KDL)では、IoT機器を取り巻く脆弱性の知見や実際の検証手法を習得すべく、経済産業省事業「開発段階のIoT機器に対する脆弱性検証事業促進事業」に、本事業の受託先である株式会社三菱総合研究所(MRI)様を通じて参加いたしました。
社会全体のDX化が進むに伴い、IoT製品や付随するシステムの普及が著しい反面、それらのサイバーセキュリティについては十分な対策が取られているとは言えない状況です。
IoT製品の脆弱性のためにリコールや利用者による訴訟に発展した事例もあり、最悪の場合、開発・製造企業の経営に対して影響を与える可能性もあります。
この状況を改善すべく、”IoT製品等の脆弱性に関する現状の把握”と”IoT製品の適切な脆弱性検証を行うための手引き等の作成”を目的として、主に中小企業の方々が開発・製造するIoT機器等の脆弱性検証を無償で実施する「開発段階のIoT機器に対する脆弱性検証事業促進事業」が立ち上げられました。
KDLはこちらの事業に脆弱性検証事業社として参加し、2社の製品検証を実施いたしました。
工場向けセンサー、住環境向けゲートウェイ
検証概要
実際のIoT製品とその搭載部品に対し、疑似攻撃シナリオを作成し、Wi-Fiパスワードやパケットの解析について検証を実施しました。
検証担当者が得られた知見
実際のIoT製品(ハードウェア)に触れながら検証できたことが一番の学びでした。
対象機器に触れる前から、検証手法の構想は始めていましたが、実際のIoT基盤とそこから発される通信という、従来の案件とまるで違うインターフェースが相手になるので、検証手法を思いついても適当ではなかった・・と悪戦苦闘を何度も繰り返しました。振り返ると、この具体的な検証に到達するまでの過程が一番難所であり、やりがいを感じた点でした。
また、従来の案件で使用しているproxyソフトが使えなかったり、搭載されている各部品を攻撃対象に含めたり、必要なツールや検証対象範囲の詳細について理解が深まったのは、実際の機器に触れることでしか得られない経験でした。
IoT機器管理システム、IoTセンサー管理アプリケーション (Webアプリ・WebAPI・スマホアプリ)
検証概要
一般社団法人JPCERTコーディネーションセンターが公開しているIoTセキュリティチェックリストを元に、複数アプリ間の連携を想定しながら検証を実施しました。
検証担当者が得られた知見
①物理のIoT機器に対する攻撃シナリオを考える必要があった点
②アカウントに紐づくIoT機器を軸に、Webアプリースマホアプリ間の連携を考慮して検証をする必要があった点
上記の2点については、今までの案件で培ったノウハウだけでは対処できず、試行錯誤した結果、新たな経験値と知識を得ることができたと自負しております。
何よりも開発元のご担当者様からいただいた評価のお声が嬉しく、今後に向けての自信や励みとなることを改めて感じられました。
KDLでは、今回の事業参加実績と得られた知見をもとに、社会ニーズが一層高まるであろうIoT機器の脆弱性診断のサービス化を検討して参ります。
