サイバーフィジカルシステム...

第2回サイバーセキュリティ・リレー講座（初級者向け）

サイバーフィジカルシステムにおけるセキュリティ

国立研究開発法人産業技術総合研究所

情報・人間工学領域

サイバーフィジカルセキュリティ研究センター

研究チーム長森彰


概要• サイバーフィジカルシステム（CPS）とは• CPSのセキュリティ ~ Miraiウィルスを例に ~• サイバー攻撃の原因とその対策• 事例紹介

–通信機器・ツール–コネクテッドカー–そのほか

• CPSセキュリティ向上への取り組み• まとめと今後の展望• テスト

22019.9.24


サイバーフィジカルシステム（CPS）とは

32019.9.24


CPSの目指すところ• リアルタイムの全体最適化• 阪神高速、首都高速の渋滞をなくす• テーマパークの待ち時間を短くする• 街全体のピーク時エネルギー消費を少なくする• ビルのエレベーターの待ち時間を短くする• レストランの食材の使用効率を高める• 災害時の避難効率を高める• ・・・・

42019.9.24


IoTとは

• Internet of Things• CPSを実現するために必要な技術• あらゆるものをネットワークで接続して、現実世界の状況をリアルタイムに把握する

–センサー• 機器を遠隔操作して、現実世界の状況を変化させる

– アクチュエーター、ロボット

52019.9.24


サイバーフィジカルシステムとは

2019.9.24

�"�$��

�� $�$��

��$ �

��

�� IoT

�!��

��$�

�#AI� ��

��

� ��

6


サイバーフィジカルループ

1. 現実世界の情報を集め、2. ネットワーク（クラウド）上でビッグデータとして集積し、

3. 人工知能の技術などを活用して分析・学習・予測し、

4. 遠隔制御により現実世界にフィードバックし、

5. 地球規模での最適制御を実現する。

CPSでない自動化システムを考えることが困難な時代

72019.9.24

https://codezine.jp/article/detail/9095CodeZine:近未来の技術トレンドを先取り！「Tech-Sketch」出張所第22回

https://codezine.jp/article/detail/9095


考察

• CPSとRPAやDXとの関係について考えてみる• RPADXはCPS化の一部といえるか– RPA：ロボットプロセスオートメーション– DX：デジタルトランスフォーメーション

82019.9.24


例：スマートグリッド

• 各家庭のスマートメーターを介して電力使用・供給状況を把握し、電力流通を最適化する

2019.9.24 9


例：ITS（高度道路交通システム）

• それぞれの車の動きを把握して予測し、平均通過時間をなるべく小さくする

102019.9.24

路側センサー

信号機制御


例：データセンターの省エネ

112019.9.24

• データセンター内に数千個のセンサーを設置–温度、消費電力、冷却ポンプの速度、各種設定–人工知能により、稼働状態や気候などに応じて、冷却設備の設定を最適化

最大40%の省エネ人間の判断を凌駕

2億6000万ワット（20万家庭に相当）


例：つながる工場（Industrie4.0）• 製造現場をIoT化し、多種多様な製品を同時に生産• 原材料の無駄をなくし、製造効率を向上• 製品自体もIoT化し、メンテンスまで一貫して自動化

2019.9.24 12ドイツ IT・通信・ニューメディア産業連合会(BITKOM)資料より


例：スマート農業

2019.9.24 13


CPSのセキュリティ

142019.9.24


CPSの問題点• これまでネットワークに接続されていなかったものが接続される–あらたな攻撃の入り口になってしまう–思いもかけない攻撃が発生

• 個人PCやサーバーのように管理されていない–パスワードの更新やセキュリティパッチの適用がない–ひとたび設置されれば壊れるまでそのままになる

• サイバー攻撃が現実空間への悪影響をもたらす–被害をもとに戻すことができない

152019.9.24


例：Miraiウィルス（2016.10）

• セキュアでないIoT機器が乗っ取られる–監視カメラ、ルーター、デジタルレコーダー、など– telnet/ftpサービスが自明なIDとパスワードで利用可能

• 全世界で50万台と推定– 10万台以上のボットネットワークを構成（Miraiボット）

162019.9.24


MiraiボットによるDDOS攻撃

• Brian Kreb氏のセキュリティブログへの攻撃

– 665Gbps、Akamaiがホスティング断念

• Dyn社（米国DNSサービス事業者）への攻撃

– Twitter、Netflix、Spotifyなどが接続困難に

• OVH社（仏ホスティング事業者）への攻撃

– 1Tbps、史上最大の規模

• リベリアの国全体のインターネットがダウン

172019.9.24


Miraiウィルスの教訓

1. 管理されないIoT機器がグローバルアドレスで接続されてしまう危険性

2. 不要な通信ポート・サービスが開放されたIoT機器

3. 安易なデフォルトパスワード4. ソフトウェアアップデート機構が存在しない5. アンチウィルスソフトが利用できない6. プライバシー漏洩や機密情報流出の危険性

182019.9.24


• インターネットのどこからでもアクセスできるIPアドレスのこと

–世界中から郵便物が届く住所のようなもの• 家庭や会社のPCでは、ルーターを介してローカルアドレスを利用するようになっているはず

–外部から直接アクセスできない– ファイヤーウォールなどを設置して、サイバー攻撃を受けにくくすることもできる

192019.9.24

1. グローバルアドレス接続


ルーター

• データを2つ以上の異なるネットワーク間に中継する通信機器

• 区画内の機器の通信すべてが経由するため、乗っ取られると非常に危険

��

2019.9.24 20

宅内ネットワーウ

グローバルアドレス

ローカルアドレス


例：VPNFilter（2018）

• ルーターの脆弱性を攻撃し乗っ取るマルウェア• 制御システムを攻撃する機能を持つ–工場やプラントにとって大きな脅威となる

• 国内プロバイダーでのルーター攻撃の報告– スマホ乗っ取り

• 米英当局によるロシアの関与の疑念表明

2019.9.24 21


脆弱性とは

• サイバー攻撃の原因となるソフトウェアや通信プロトコルの欠陥のこと

• 多くのサイバー攻撃は、不注意なプログラミングや認証手順の設計ミスが原因となっている

–バッファーオーバーフロー• ソフトウェアが想定していなデータを送信することにより誤動作を誘発

–中間者攻撃• 通信しようとしている2者に感づかれずに、なりすまして秘密情報を取得する

222019.9.24


スマートキーへのリレー攻撃例

2019.9.24 23

全ドイツ自動車連盟ADACサイトより


スマートキーの仕組み

• 車内のアンテナが信号を発信• スマートキーがその信号を受信して応答信号を発信• 応答信号を確認すると、車内に鍵を持ったドライバーがいると認識してドアロック解錠やエンジンONを許す

• 信号を遠隔でリレーすれば車を持ち去ることが可能

242019.9.24


2. 通信ポート・サービス

• インターネットを介して遠隔のコンピューターにアクセスするための取り決め

– Telnet/23• リモートログインするためのサービス

– FTP/21• ファイルをやりとりするためのサービス

– HTTP/80• ホームページを公開するサービス

• IoT機器に遠隔でアクセスする必要はあるか？

252019.9.24


3. パスワードの問題• パスワードが多すぎて覚えられない• 複雑なパスワードは忘れる• ２要素認証（2FA）

–通常のパスワードに加えて携帯電話等にPINを送信• ワンタイムパスワード（OTP）

–事前のきまりに従って毎回違うパスワードを使う• セキュリティトークン• CPATCHA認証• バイオメトリクス認証（顔画像や指紋など）

262019.9.24


例：携帯電話網の脆弱性• 共通線信号No.7 (SS7)：公衆交換電話網のシグナリング・プロトコル

60 Minutes Australia: Bugged, Tracked, Hacked (2015)272019.9.24


4. ソフトウェアアップデート

• 機器製造メーカーが用意した更新ソフトウェアをダウンロードして再起動することにより機能更新

• セキュリティの問題を解決するための手法• 製品・バージョンに対応した更新ソフトウェアを利用しなければならない

• 正当な更新ソフトウェアであることを確認できなければならない

• IoT機器のハッキングに悪用されることが多い

282019.9.24


例：Hyundai車のハッキング（2019）• カーナビのUSBポート経由

• “HyundaiUpdate.exe” という名前のファイルが中身に関係なく自動実行される脆弱性

2019.9.24 29


サプライチェーンのセキュリティ

• 製品を製造する過程で発生するセキュリティのリスク

• 下請けのソフトウェア開発メーカーでコンピューターウィルスが混入

• 更新ソフトウェアを配布を装った偽サイト• セキュリティホールを生み出す部品の装着

302019.9.24


例：ASUS Live Update（2019）

• ASUSの公式アップデートにマルウェアが混入（2019）

312019.9.24

https://www.pdq.com/blog/asus-supply-chain-attack-shadowhammer/


5. アンチウィルスソフトの限界

• 広く使われているアンチウィルスソフトは「既知の」ウィルスしか検知できない

• 頻繁にパターン定義ファイルを更新したとしても、十分ではない可能性

• ブラックリスト方式– リストされているものを禁止

• ホワイトリスト方式– リストされているものだけ許可

322019.9.24


6. プライバシーや機密情報の流出

• デジタル情報が流出すると回収は不可能• 流出の範囲を同定することも不可能• サイバー攻撃によるプライバシー漏洩は回復困難な問題

• 不正アクセスによる個人情報漏洩は後を立たない

• 法律で守ることは困難–個人情報保護法

332019.9.24


例：NASA機密情報流出（2019）

• 米航空宇宙局（NASA）のジェット推進研究所（JPL）の研究データが、サイバー攻撃により流出–火星探査の研究データなど

• 未許可で内部ネットワークに接続されていたIoT機器（RaspberryPI）を経由して侵入

342019.9.24


事例紹介：通信機器・ツールへの攻撃

352019.9.24


BlueBorne攻撃（2017）

• Bluetoothドライバーにおける深刻な脆弱性–米Armis社による報告

• Linux、Windows、Android、iOSそれぞれに異なる遠隔コード実行の脆弱性

–バッファーオーバーフロー、ヒープオーバーフロー• 多くの車載機器も影響を受ける

The dangers of Bluetooth implementations: Unveiling zero day vulnerabilities and security flaws in modern Bluetooth stacks.

Ben Seri & Gregory Vishnepolsky

2019.9.24 36


BlueBorneデモ（倍速）

372019.9.24

https://www.armis.com/blueborne/


DHCPクライアント経由の侵入• 昔からよく知られたコマンド注入の脆弱性– DHCPプロトコルの仕様として、クライアントがサーバーから得るDHCPオプション値を処理するが、その際に特殊文字をエスケープしない場合に深刻な不具合が起こり得る

–悪意あるDHCPサーバーを設置して容易に攻撃可能• さまざまなプラットフォーム・ツールで頻発–車載・IoT機器ではobsoleteなOSが利用されていることが多く、既知の脆弱性が放置されていることが多い

2019.9.24 38


ShellShock経由の攻撃例

392019.9.24


事例紹介：コネクテッドカーへの攻撃

402019.9.24


Jeep Cherokee （2015）

412019.9.24

The Sydney Morning Heraldhttps://www.smh.com.au/technology/security-experts-hack-into-moving-jeep-and-seize-control-of-car-20150722-gihmn3.html


Chevrolet Impala（2009-2015）

422019.9.24

Car Hacked on 60 Minutes, CBS News, Feb 6 2015


事例紹介：そのほか

432019.9.24


交通信号システムハッキング（2014）• ミシガン州の信号システム乗っ取り実験

– 信号間の無線通信がオープン規格で暗号化なし

– 制御部ファームウェア（VxWorks）に開放ポート

– 通信メッセージが暗号化されていない

442019.9.24

Green Lights Forever: Analyzing the Security of Traffic Infrastructure,Branden Ghena, William Beyer, Allen Hillaker, Jonathan Pevarnek, and J. Alex Halderman, University of Michigan,8th USENIX Workshop on Offensive Technologies, WOOT 2014


Faxへの攻撃（2018）

• ”What the Fax!?” @ DEF CON 26 (2018) by Yaniv Balmas and EyalItkin from Check Point Software Technologies

• カラーFax送受信プロトコルT.30の不備

• イメージファイル処理におけるバッファーオーバーフロー脆弱性

• IPアドレス不要、電話番号のみで攻撃可能

2019.9.24 45


スマート家電

• デジタルテレビ、レコーダー–外部から乗っ取られる危険性

• 意外なものが無線接続可能– トイレ、コーヒーメーカー

• ハッキング用の無線チップ内蔵アイロン• 高機能LED照明（ネット制御、録音、録画）• スマホで解錠する玄関ドア• すべて乗っ取られる危険性あり

2019.9.24 46


航空機（2016）

• 米国国土安全保障省（DHS）が行った実証実験

• ボーイング757／737について、無線通信を経由して外部から、航空システムに侵入可能であった

472019.9.24


制御システムへの攻撃Tritonマルウェア（2017-2019）

• 仏Schneider社の安全計装システム TriconexTricon” の脆弱性

• 中東の産油プラントでの発見2例

• ロシアの研究機関との関係が指摘される

482019.4.22

From FireEye Security blog（2019）


VxWorksゼロデイ脆弱性（2019）

2019.8.27


医療デバイス

• ペースメーカーを設定するデバイスの脆弱性（2017-2018）–米国食品医薬品局（FDA）による注意勧告

• 自動薬品注入器に認証に関する脆弱性（2018）

502019.9.24


AIのセキュリティ

• 学習済み深層学習モデルはソースコードのようなもの– 漏洩すれば大きな影響

• Adversarial Examples– 学習済みモデルにアクセスできれば、誤認識を誘発できる

512019.9.24

Explaining and Harnessing Adversarial Examples, Ian Goodfellow, Jonathon Shlens, Christian SzegedyInternational Conference on Learning Representations (2015)


自動運転車両への攻撃Tesla Model S（2019）

2019.4.22Tencent Keen Security Lab: Experimental Security Research of Tesla (2019)

52


CPSセキュリティ向上への取り組み

532019.9.24


業界ごとの取り組み

• 分野ごとにサイバー攻撃への対策ガイドラインを策定

• 各分野内の情報共有などを目的とした専門組織としてISAC(Information Sharing and Analysis Center)を設置– ICT-ISAC、金融ISAC、電力ISAC、ISAC–日本自動車工業会（JAMA）

542019.9.24


組織での取り組み

• SOC（Security Operation Center）の設置– セキュリティに関するシステムの維持・管理– 異常検知システムの運用なども担当

• CSIRT（Computer Security Incident Response Team）の設置– インシデント対応を行うセキュリティ専門家チーム– フォレンジック活動なども担当

• CISO（Chief Information Security Officer）の選任– 情報セキュリティを統括する担当役員

• BCP（事業継続計画、Business continuity Planning）の策定– サイバー攻撃による損害を最小限に抑え、事業の継続や復旧を図るための計画

552019.9.24


安全性とセキュリティ

• 様々な業界で、製品の安全性とセキュリティを保証するための規格がつくられつつある

• 両者を有機的に統合していくことが望ましい–セキュリティ対策に安全機能を用いるなど

562019.9.24

⏣◊䠜⏘ᴗᢏ⾡⥲◊✲ᡤ

� ከ䛟䛾⏘ᴗศ㔝䛻䛚䛔䛶䚸Ᏻᛶ䛸䝉䜻䝳䝸䝔䜱䛾ಖド䛜ᚲせ䛻䛺䛳䛶䛔䜛䚹

� 䛭䜜䜙䛾⏘ᴗศ㔝䛻䛚䛔䛶䠄ᶵ⬟䠅Ᏻ䛸䝉䜻䝳䝸䝔䜱䛾つ᱁䛜⟇ᐃ䛥䜜䛴䛴䛒䜛䚹

� ㌴㍕䜢㢟䛻Ᏻ䛸䝉䜻䝳䝸䝔䜱䛾⤫᪉ἲㄽ䛻䛴䛔䛶ㄝ䜢䛩䜛䚹

'2��&6DIHW\

'2��$6HFXULW\

,62��6DIHW\

"6HFXULW\

,(&��5$06

,(&��6HFXULW\

��ᵝ䚻䛺⏘ᴗ⏺䛻䛚䛡䜛Ᏻ䛸䝉䜻䝳䝸䝔䜱䛾つ᱁

ὀ䠖5$06��5HOLDELOLW\�$YDLODELOLW\�0DLQWDLQDELOLW\�6DIHW\�

ὀ

田口研治、セーフティとセキュリティの統合のための課題とその解決方法論、 IPA シンポジウム 2015


Offensive Research

• セキュリティ研究はOffensive Research–攻撃手法を研究することで技術が進歩する–守備要員ばかりで練習しても、攻撃力はおろか守備力も高まらない

• CTF（Capture The Flag）のようなハッキングコンテストを行うことも重要– CGC（Cyber Grand Challenge）

• 2016年にDARPA（国防高等研究計画局）が主催した自動ハッキング・プログラム修正のコンテスト

572019.9.24


まとめ

• AIの活用とあいまって、あらゆるものがサイバーフィジカルシステムとして構築されていく

• サイバーフィジカルシステムは実空間へのフィードバックがあるため、セキュリティは最優先課題

• システムが多岐に渡るため、脅威分析やその対策には幅広い知識と経験が必要

–人材育成の重要性

582019.9.24


今後の展望

• 物理的な被害を発生させるサイバー攻撃• データの真正性、データ汚染攻撃• 国家レベルのサイバー戦争• IoT機器のセキュリティを担保する仕組み–認証、自動検査ツール

592019.9.24

サイバーフィジカルシステム...

Documents