攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング
インプレスグループでIT関連メディア事業を展開するインプレスは、荻野司氏、田久保順氏、城間政司氏著書で、一般社団法人重要生活機器連携セキュリティ協議会編集による、攻撃者の視点に立ってセキュリティ検証を実践するための手法を事例とともに詳説した「攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング」を、2022年6月14日(火)に発売した。
現代では、「IoT」(Internet of Things)という言葉が身近になり、私たちの日常生活にもネットワークに接続する機器やサービスが広がりをみせている。
IoT機器のセキュリティは、ハードウェアやソフトウェア、ネットワークと考慮すべき範囲が幅広く、検証によってセキュリティ上の問題を漏れなく検出することが難しい分野となる。
また、技術革新とともに「ハッカー」と呼ばれる攻撃者によって、日々新しい攻撃手法が考案され、アンダーグラウンドなコミュニティを通じて情報が共有されていることも脅威の1つ。
「攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング」は、経済産業省から2021年4月にリリースされた、IoTセキュリティを対象とした『機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き』の『別冊2 機器メーカに向けた脅威分析及びセキュリティ検証の解説書』をもとに、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説した。
「攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング」では、まず第1章で(攻撃者の)実際のハッキングに向けた準備について、一般的な宅内にあるネットワークカメラを題材に、セキュリティ検証でよく使用されている手法を利用しながら解説。
第2章以降では、例として宅内監視システムに使われているネットワークカメラやWi-Fiルータを対象機器として、実際の製品へのハッキング手順を解説している。
第2章(ステップ1)と第3章(ステップ2)では、ネットワークカメラの内部ソフトウェアを抜き出して、リバースエンジニアリングによってバイナリー解析を行う。
第4章(ステップ3)では、既知の脆弱性を検査して過去の侵入手法への耐性を調べ、第5章(ステップ4)では、アタックサーフェース(AS)へのファジングテストを用いた検査を行って、未知の脆弱性を発見していく。
第6章(ステップ5)では、脆弱性を検査するために有効な宅内監視システムのネットワーク調査を行い、第7章(ステップ6)では、典型的なハッキング事案に基づいた、IoT機器の入出力インタフェースへの検査を行う。
具体的には、以下のような構成となっている
目次詳細は参考資料を参照。
第1章 ハッキングに向けた準備
第2章 実践ハッキング「ステップ1」:ハードウェアハッキングとファームウェア解析
第3章 実践ハッキング「ステップ2」:バイナリー解析
第4章 実践ハッキング「ステップ3」:既知脆弱性の診断
第5章 実践ハッキング「ステップ4」:ファジングテスト
第6章 実践ハッキング「ステップ5」:ネットワーク内調査
第7章 実践ハッキング「ステップ6」:キャプチャデータ分析
実際の製品に対して漏れなく防御策を講じるのは、有限の時間と費用を考えると難しいが、攻撃者の視点で防御策を考えることで、攻撃者がよく使う手法に対して事前に備えることができ、効率的かつ効果的な防御の実施が期待できる。
「攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング」の事例では、実際のサンプル機器に対するハッキング手法の解説だけでなく、使用したコマンドや実行結果も示しているので、ハッキングツールの使用方法も理解しやすくなっている。
「攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング」の実践例をもとにIoT機器のセキュリティ検証や対策を行うことで、安心安全な製品開発に役立てよう。
「攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング」Amazonでの購入はこちら
「攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング」楽天市場での購入はこちら
|