いろんなまとめ

IT技術系のことを気が向くままに書いていきます。勉強会の感想とか

OWASP 2018 IoT Top10を読んでみた感想

そういえば、OWASPからクリスマスプレゼント来ていたので、改めて確認してみようと思う。

本家サイトへのリンクはこちら
www.owasp.org


1つ1つ見て、自分なりのコメントを付けていこうと思います。
もし記事に間違いがありましたら、コメント欄にてご指摘いただけると幸いです。

1. Weak, Guessable and HardCoded Password(弱い、推測しやすい、ハードコードされたパスワード)

これは1番目に来てもなんら不思議ではないですね。
IoTを狙ったマルウェアMiraiも初期パスワードによるリスト攻撃で拡散して有名になったのは記憶に新しいです。

こんな記事も
techfactory.itmedia.co.jp

他にもWebサービスでルータやIoT機器のデフォルトパスワードを検索できるサイトもあります。

そんな背景からTop1になったのだと思いました。

2. Insecure Network Services(セキュアでないネットワークサービス)

不要にネットに接続されていたり、セキュアでない接続をしているIoTがある。
また、認証なしにssh接続できたり、機微な情報が平文のまま流れていたりする場合がある。

私はおおよそ上記のような理解をしています。

以前The Zero/ Oneで下記のような記事がありました。
the01.jp

上記の記事でも、認証なしに接続可能なデバイスがあることが紹介されていました。

3. Insecure Ecosystem Interfaces(セキュアでないインターフェース)

翻訳は正しいのかな?ちょっと自信ないです。
IoT自体ではなく、そこで動作するAPIインターフェイスのつくりが粗末な場合セキュアでない、ということだと理解しています。
確かに管理画面やAPIなど、セキュリティを気にして作りこんでいる印象はないですね。


4. Lack of Secure Update Mechanism(セキュアなアップデートメカニズムの欠落)

最近のIoTはインターネットに常時繋いでいる物も増えてきていますが、適切にアップデートされているとは言えない現状があります。
総務省でもIoT機器に関する脆弱性調査を行ってました。
www.soumu.go.jp

それだけ問題が根深く影響が大きいってことなんでしょうね。

5. Use of Insecure Or Outdated Components(時代遅れのコンポーネントの利用)

これも上記のものと似ている問題だと思っています。
一度リリースされたIoTをメンテナンスする話はあまり聞かないですし、そういった問題のことを言っているのだと思いました。

6.Insufficient Privacy Protection(十分でないプライバシー保護)

個人情報をIoT機器やエコシステム内に保存し、パーミッションなしでの利用やセキュアでない利用をしてしまう。
この問題については、あまりニュースやtwitterで見たことがないです。(私の情報収集不足ですね。。。)
ただソシャゲのユーザIDがほぼ生でストレージ上に保存されている話は聞いたことがあるので、それに近い問題なのかな、と思いました。

7. Insecure Data Transfar and Strage(セキュアでない通信や保存)

暗号化やアクセスコントロールが適切に行われていない問題。
ぱっと出てきませんが、通信が平文で流れてるIoT機器があったニュースがあったような、、、、ないような、、、、
限られたリソースしか持っていないので、PCと同等の暗号化処理が難しいのも問題だと思います。

そんな折を受けて、軽量暗号の開発が進んでいるようですね。
www.marubeni-sys.com

8. Lack of Device Management(デバイスマネジメントの不足)

バイスのデプロイの際に想定していたモニタリングやアップデートマネジメントなどの考慮不足。
それによる、適切なアップデートが行われないといった副次的な問題に繋がる可能性がある。
そんな風に読めました。5の問題とも関わってくるのではないかと思いました。

9. Insecure Default Settings(セキュアでない初期設定)

先ほど挙げた、総務省の調査の中でも、ポートスキャンに対して応答を返すIoT機器が53%という結果が出ています。
そういった不要なポートをふさいでいない、デバッグ用のポートが空きっぱなしといったIoT機器はありそうですね。

10. Lack of Physical Hardening(物理ハードニングの不足)

OWASPのドキュメントでは、「潜在的な攻撃者に情報を与え、将来的な攻撃につながる可能性がある。」とのこと。
この問題に関しては、8,9の問題と同じなのではないかと思いました。
IoTデバイスのハードウェア情報がリクエスト、レスポンスの中で露呈していることでしょうか。
あとは、ICチップに型番が書いてあって、それを元に攻撃を行うといった手法が紹介されていましたね。
そういった細かい情報が少しずつ洩れている問題のこと指摘しているのでしょうかね。

まとめ

今回、OWASPからのクリスマスプレゼントをざっと呼んで紹介しました。
脆弱性診断の世界でも、IoT機器に対する診断のサービスも出始めています。
まだまだ作り手、使い手の双方のセキュリティに対する意識が不足している部分なので、これからも攻撃は続くと思います。
私自身も知識をアップデートして、対応できるように勉強しなければいけませんね!

以上です。

もし読み違い、理解が間違っていましたらご指摘いただければ幸いです。