弊社で開催しているセキュリティハッカソンでは毎年、webアプリなどに対して脆弱性検査を行い発見した個数と影響度を競う大会を開催しています。

今年はIot機器への脆弱性検査も予定していましてIot機器へのアタックするためいろいろ私なりに調べています。

Iotのセキュティホールはどこにありそうか。

セキュリティホールを探すとき、闇雲に探すのではなくセキュリティホールのある場所をしっかり理解して検査する必要があります。Owaspという団体が「Iot TESTING GUIDANCE」を公開しています。

それを見ていきましょう。

1 , Insecure Web Interface (セキュアじゃないWebインターフェイス)

• 弱いパスワードは使っていないか
• アカウントロックアウトの仕組みは大丈夫か
• アクセスできるWebインターフェイスにXSS,SQLi,CSRFはないか

2 , Lack of Transport Encryption (転送時の暗号化漏れ)

• 通信するデバイス同士の暗号化はしているか
• 独自の暗号化、プロトコルを使用していないか

3 , Insufficient Security Configurability (十分じゃない設定）

• パスワードの長さや堅牢さのオプション設定
• 暗号化のオプションが利用可能か。例えば、AES-128がデフォルト設定だがAES-256を使える設定ができるか

4 , Poor Physical Security ( 物理的セキュリティの弱点)

• そのデバイスのUSB ポートなどの外部接続ポートが必要最小数か

5 ,  Insufficient Authentication / Authorization (十分じゃない認証)

• パスワードリカバリのメカニズム
• 2要素認証が利用できるか

6 , Insecure Cloud Interface (セキュアじゃないクラウドインターフェイス)

• クラウドへ暗号化
• クラウドwebインターフェイスにXSS,SQLi,CSRFなどの脆弱性はないか

Top 10のうち前編は６つ紹介しました。

さらに詳しくは、

https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf

を見るといいと思います。

後編はPrivacy Concerns , Insecure Mobile Interface , Insecure Network Services , 

Insecure Software/Firmwareの４つを見ていきます。

次に、ファームウェアとはなにか。どのように解体していくを大雑把に書いていきます。

では。