IoTサイバー脅威分析リポート(検証速報)
横浜国立大学とBBソフトサービス株式会社は、急増する一般家庭内のテレビやゲーム機をはじめとするIoT機器を狙ったサイバーセキュリティ脅威の一般消費者への拡大を防ぐため、2017年6月より共同研究を開始いたしました。
横浜国立大学・BBSS
IoTサイバーセキュリティ 共同研究プロジェクトホームページ
URL: https://www.bbss.co.jp/business/service/iot_lab.html
共同研究の一環としまして、2017年7月に大学内の一角に一般住宅を再現したコネクテッドホーム試験室で実施した、IoT機器へのデモンストレーション攻撃の検証を以下2例ご報告いたします。
※外部と切り離したネットワーク環境での実験となります。
脅威検証速報1
「ホームネットワークの通信を混雑させる攻撃の検証」
【実験概要】
マルウェアに感染した家庭内のIoT機器から大量の通信を行い、ホームネットワーク内の通信を混雑、飽和させる攻撃について検証実験を行いました。
【検証内容】
実験では、コネクテッドホーム試験室内の機器に実際にマルウェアを感染させ、疑似制御サーバから攻撃命令を送信することで行いました。
なお、実験では、実際にマルウェア感染することが確認されている脆弱な製品を用い、マルウェアも観測システムで収集した本物の検体を利用しています。
【検証結果】
命令を受けた感染機器から大量の通信が発生し、試験室内ネットワークは混雑状態となり、試験室内に設置した機器群を制御するための正規の通信が届きにくくなる現象を確認しました。具体的には、スマートフォンやタブレット機器からロボット掃除機に対して操作を試みても反応がなく、掃除が開始されない現象や、既に掃除を開始している状態で停止できない現象が確認されました。
一方、スマート電源コンセント(スマートフォンやタブレットから電源のオン・オフ等が可能な電源コンセント)は、混雑状態であっても操作が可能であることが確認されました。このように機器によって通信を混雑させる攻撃の影響が異なるのは、各機器が採用する通信方式に関係している可能性があります。
今後も、様々な機器に対して同様の実験を行い、このような攻撃の影響や対策を検討します。
実験の様子の動画はこちら ※外部と切り離したネットワーク環境での実験となります。
脅威検証速報2
「スマート電源コンセントの不正操作攻撃の検証」
【実験概要】
マルウェアに感染した家庭内のIoT機器から他の家庭内機器群を不正に遠隔操作する攻撃を想定し検証実験を行いました。
【検証内容】
今回の検証実験ではスマートフォンやタブレットから遠隔で電源のオン・オフ操作が可能なスマート電源コンセント2種類を対象として分析を実施しました。
【検証結果】
いずれの機器に対しても正規の操作用アプリがインストールされた機器以外の機器からオン・オフの操作が可能であることが分かりました。
このため、家庭内のいずれかの機器がマルウェア感染すると、その感染機器から不正に家庭内のコンセントが操作される恐れがあります。
これは、スマート電源コンセントを操作するための通信の認証が不十分であることが原因と考えられますが、本検証実験の結果は機器の脆弱性に関連するため、詳細情報は非公開とし、しかるべき公的機関に情報提供致します。
また、今後も様々な機器に対して同様の実験を行い、実験結果を適切にフィードバックすることで、このような攻撃への対策を実施いたします。
実験の様子の動画はこちら ※外部と切り離したネットワーク環境での実験となります。