seminar docs 20191119 - DNP 大日本印刷株式会社...2019/11/26 · 一般社団法人日本ハッカー協会代表理事杉浦隆幸様 14:35-15:15 海外におけるATMハッキング事例

1

DNP・BBSec共催セキュリティセミナー

攻撃の手口を知れば守り方も見えてくる攻撃者視点で守るセキュリティ

2019年11月19日

13:30-13:35 事務局よりご案内

13:35-14:25 Webとは異なる自動車へのペネトレーションテスト一般社団法人日本ハッカー協会代表理事杉浦隆幸様

14:35-15:15 海外におけるATMハッキング事例大日本印刷株式会社情報イノベーション事業部 C&Iセンターセキュリティソリューション本部佐藤俊介

15:15-15:55 IoT機器脆弱性をついたリスク予見とその対策大日本印刷株式会社 ABセンターサイバーセキュリティ事業推進ユニット鈴木佑基 / 半田富貴男

16:05-16:45 Webサイトへの攻撃手口と対策株式会社ブロードバンドセキュリティセキュリティサービス本部セキュリティ情報サービス部芦原聡介

16:45-17:25 スマホアプリへの攻撃手口と対策株式会社DNPハイパーテック研究開発部國澤佳代

大日本印刷株式会社情報イノベーション事業部 C&Iセンターセキュリティソリューション本部高藤寿人

17:25-17:30 事務局よりご挨拶

休憩（10分）

休憩（10分）

本日のプログラム

配布資料なし

配布資料なし

p.3-9

p.10-19

p.21-32

2

13:35-14:25

Webとは異なる自動車へのペネトレーションテスト一般社団法人日本ハッカー協会代表理事杉浦隆幸様

本講演は、投影データの配布がございませんので

前方のスクリーンをご覧ください。

MEMO

MEMO MEMO

3

© 2019 Dai Nippon Printing Co.,Ltd. All Rights Reserved.

2019年11月19日

大日本印刷株式会社

情報イノベーション事業部C&Iセンター

セキュリティソリューション本部サービス企画開発部

海外におけるATMハッキング事例

DNP・BBSec

共催セキュリティセミナーATMハッキングー現代の銀行強盗

• ATMやATMネットワークを狙った攻撃は増加していて、世界的な脅威となっています。

• 「ATMキャッシュアウト」と呼ばれる、高度なサイバー攻撃で銀行や決済処理会社のセキュリティシステムを突破し、偽造カードを使用して、世界中のATMから短期間で大金を不正に引き出す攻撃も継続的に発生しています。

• ATMネットワーク（SWIFT）を狙った国家の支援を受けたとみられるハッカー集団による攻撃も数多く発生しています。

1/26

ATMキャッシュアウト／SWIFT不正送金（ATM Cashout / SWIFT money transfer fraud)

2/26

拡大するATMネットワークを狙った主なハッキング被害

ATM Cashout

日本のATM（セブン銀行・ENET・ゆうちょ銀行）

2016年5月, 18.6億円

ATM Cashout

南アスタンダード銀行2016年5月

SWIFT不正送金【未遂】

ベトナム TPBank2015年5月, (100万ドル)

SWIFT不正送金

台湾遠東国際商業銀行2017年10月, 約67億円

ATM Cashout【未遂】

メキシコ外国貿易銀行,2018年1月, (2000万ドル)

ATM Cashout

チリ Banco de Chile2018年5月, 1000万ドル

ATM Cashout

米国 Fidelity（FIS）,2011年2月, 1300万ドル

SWIFT不正送金

エクアドル Banco del Austro2015年1月, 1200万ドル

SWIFT不正送金

インドシティユニオン銀行, 2018年2月, 100万ドル

SWIFT不正送金

インドモーリシャス国立銀行子会社, 2018年10月, 400万ドル


マルタバレッタ銀行, 2018年2月

ATM Cashout

米国シティバンク,2008年7月, 200万ドル

SWIFT不正送金

米国 RBS WorldPay, 2008年11月, 900万ドル

Lazarus Groupの関与が疑われる攻撃

Lazarus Group以外の攻撃

日本が影響を受けた攻撃 ※図中データは各ニュース記事よりDNPが独自にまとめた

ATM Cashout

台湾第一銀行,2016年7月, 18.3万ドル

ATM Cashout

インド ElectraCard Systems/EnStage, 2013年5月, 4500万ドル


ロシア Globex銀行, 2017年12月

SWIFT不正送金

ネパール NIC Asia Bank, 2017年10月, 5億円

SWIFT不正送金

バングラディシュ中央銀行, 2016年2月, 8100万ドル

SWIFT不正送金

バングラディシュ3銀行, 2019年6月, 300万ドル＋

SWIFT不正送金ATM Cashout

インドコスモス銀行, 2018年8月, 1350万ドル

ATM Cashout

米国 ElectraCard Systems/EnStage,2012年12月, 4500万ドル

ATM Cashout

米国ブラックスバーグ国立銀行, 2016年5月／2017年1月, 約2.6億円

3/26

4

ATMハッキングに対するアラート

出典：米国土安全保障省のアラート（2018年10月）https://www.us-cert.gov/ncas/alerts/TA18-275A

出典：Krebs on Security https://krebsonsecurity.com/2018/08/fbi-warns-of-unlimited-atm-cashout-blitz/

2018年10月にFBI, US-CERT, 国土安全保障省, 財務省が共同でアラートを出しました

4/26

Lazarus Groupについて

出典：米財務省外国資産管理局 https://home.treasury.gov/index.php/news/press-releases/sm774

米国財務省外国資産管理局は、2019/9/13に北朝鮮の支援が疑われる「Lazarus Group」、「Bluenoroff」、「Andariel」として知られるハッキング集団を対象とした制裁を発表しました。

「Lazarus Group」は10年以上活動し、全世界的な脅威となっています

5/26

Lazarus Groupについて

Lazarus Group 2009年以前~

DarkSeoul（2013）Sony Pictures（2014）Bangladesh Bank(2016)WannaCry（2017）

Lazarus Groupは北朝鮮政府の支援を受けていると見られるグループで、少なくても2009年頃から活動しており、2013年には韓国の放送局・銀行・金融機関などが影響を受けた「ダークソウル」、2014年のソニーピクチャーズへの攻撃、2015年のベトナムTP Bank、2016年のBangladesh Bank、2017年の遠東国際商業銀行、2018年のBancomext、Banco de Chileへの攻撃の他、世界150ヵ国、約30万台に影響を与えたランサムウェアの「WannaCry」にも関与していたと考えられています。

*Lazarus Groupは、 APT38、 Hidden Cobra、Cobalt、FASTCash、Guardians of Peace、ZINC、Nickel Academyと呼ばれる場合もあります。

6/26

APT38（Lazarus Group）の標的対象

出典：FireEye2018年レポート https://www.fireeye.jp/content/dam/fireeye-www/regional/ja_JP/current-threats/apt/rpt-apt38.pdf

2015年以降、APT38が金融機関から窃取を試みた金額は数億ドル規模になります

7/26

https://www.us-cert.gov/ncas/alerts/TA18-275A

https://krebsonsecurity.com/2018/08/fbi-warns-of-unlimited-atm-cashout-blitz/

https://home.treasury.gov/index.php/news/press-releases/sm774

https://www.fireeye.jp/content/dam/fireeye-www/regional/ja_JP/current-threats/apt/rpt-apt38.pdf

5

CASE1：バングラデッシュ中央銀行（SWIFT不正送金）

史上最大の銀行強盗事件（Lazarus Group関与）

被害額：8,100万ドル※10億ドルだった可能性も・・・

事件概要

ニューヨーク連邦準備銀行

バングラデシュ中央銀行口座

バングラデシュ中央銀行

不正送金指示（30回）

フィリピン（不正口座）

スリランカ（NGO口座）

Shalika Foundation

8100万ドル不正送金

中継ドイツ銀行

時期：2016年2月

Fandation？

問い合わせ（発覚）

2000万ドル送金

8/26

出典：FireEye2018年レポート https://www.fireeye.jp/content/dam/fireeye-www/regional/ja_JP/current-threats/apt/rpt-apt38.pdf

APT38（Lazarus Group）のSWIFT攻撃手法

①情報の収集SWIFT システムにアクセスできると思われる、標的組織のサードパーティ・ベンダーに関する調査を実施

②ネットワーク内部への侵入Apache Struts2の脆弱性が存在するなど、特定の条件を満たすLinuxサーバーを探して侵害

③内部の偵察SysmonやWindowsコマンドライン・ツールのnet.exeなどの内部ツールを使用したシステムの調査を実施

④SWIFTサーバへの移動標的組織で動作するSWIFTシステムにアクティブ型/パッシブ型のバックドアを仕掛ける

⑤送金不正なSWIFT取引を挿入したり、取引履歴を改ざんしたりするマルウェアをインストールし実行する※取り締まりがルーズで資金洗浄が容易な別の国の銀行に開設した口座へ送金

⑥証拠の隠滅独自のマルウェアを使用してログとファイルを完全に削除※インストールしたディスク消去マルウェアを実行して証拠を隠滅し、後のフォレンジック分析を妨害

※一般に入手可能なランサムウェアに感染させ、SWIFTの調査を妨害し、残る攻撃活動の証拠を隠滅

APT38による金融機関への攻撃工程 (FireEye社分析）

9/26

ATM管理が甘い日本のコンビニが狙われた

被害額：18.6億円

事件概要

時期：2016年5月

セブン銀行

スタンダード銀行

偽造デビットカード1600枚

18.6億円（内セブン銀行は14.4億円）

17都府県のコンビニATM約1400台

5月15日（日）AM5-8

AM8 不正取引停止

偽造カード情報（ジンバブエ、南ア顧客データ）

事件後、日本のATMからのカード発行カードの引き出し限度額が見直された

260人＋が逮捕*2019年7月現在

出金承認の形跡が無い

事前に3000件の顧客データが流出

ハッキング

CASE2：スタンダード銀行のATMキャッシュアウト（セブン銀行）

5月15日（日）早朝

不正操作（残高不正）

10/26

遠東国際商業銀行

CASE3：台湾第一銀行（ATMキャッシュアウト）

出典：Cashing in on ATM Malware/TrendMicro＆Europolhttps://documents.trendmicro.com/assets/white_papers/wp-cashing-in-on-atm-malware.pdf

ロンドン支店

各地のATM

フィッシングメール

音声録音システム

専用線

本社ルータ

FW

感染サーバ

痕跡をリモート削除

拠点構築

侵入侵入

監視情報収集（管理者情報の窃取）

配信管理システム

ATM更新サーバ

偽の更新パッケージをロード

Telnet経由でマルウェアをATMへ

3回のプログラムテスト（出し子が結果をメッセージアプリで報告）

不正支払いプログラムを実行し、出し子がお金を盗む

被害額：18.3万ドル時期：2016年7月Wincor-Nidorf製ATMへの攻撃

11/26


https://documents.trendmicro.com/assets/white_papers/wp-cashing-in-on-atm-malware.pdf

6

・侵害されたスイッチアプリケーションサーバーで実行されている悪意のあるアプリケーションは、トランスポートレイヤーでメッセージを検査し、特定のアカウント番号を探します。

・要求メッセージに特定の不正なPANが含まれる場合、不正な応答メッセージを生成して、決済スイッチアプリケーションがメッセージを処理する前に応答メッセージを返し、イシュアに気づかせない様にします。

・決済スイッチからATMへの拒否応答メッセージをインターセプトおよびブロックする機能も備えています。

出典：米国土安全保障省の警告（2018年10月）https://www.us-cert.gov/ncas/alerts/TA18-275A

イシュア（カード会社）

侵害されたサーバ

決済スイッチアプリケーション

承認又は拒否

出金要求メッセージ（正当なPAN情報）

出金要求の承認又は拒否

不正な出金要求メッセージ（攻撃者の不正なPAN情報）

不正な出金要求の承認

参考：決済スイッチへの侵害（ATMキャッシュアウト）

イシュアの決済スイッチアプリケーションサーバをリモートで侵害する手法

12/26

ATMへの物理攻撃（Physical Attack to ATM)

13/26

必要なものはDeep Web上で販売されています

出典：ATM malware en la deep web https://www.youtube.com/watch?v=JODX5NVEjrM 14/26

電動ドライバーが“銃“になる!?

ATM「ジャックポット」攻撃では電動ドライバーがよく使われます

ATM背面のUSBポートにマルウェアを仕掛ける為に電動ドライバーが使われます

ATM内部の現金をすべて排出する為に設計されたATMマルウェアによるジャックポット攻撃（正規ATMコマンドを使って現金を不正排出させます）

15/26

https://www.us-cert.gov/ncas/alerts/TA18-275A

https://www.youtube.com/watch?v=JODX5NVEjrM

7

CUTLET Maker1.0（2017年10月頃～）

出典：＠CRYPTOINSANE Twitter https://twitter.com/cryptoinsane/status/920164169202241536

「CUTLET Maker」は、ジャックポット攻撃を本格化させました

16/26

WinPot v3（2018年3月頃～）

ATMマルウェア「WinPot」はUSBポート経由でATMの現金を吐き出させます

出典：Kasperskyhttps://securelist.com/atm-robber-

winpot/89611/?utm_source=kdaily&utm_medium=blog&utm_campaign=jp_kd_Ex0124_organic&utm_content=link&utm_term=jp_kdaily_organic_Ex0124_link_blog_kd

Dark(Deep)Webで500～1000ドルで入手可能。

17/26

ATMハッキングへの対応（How to fight with ATM hacking)

18/26

ATMネットワークへの主な攻撃手法


二段階認証

中間者攻撃

ネットバンキング

ドリル

内部犯行

物理攻撃スキミング

ATM特化型マルウェア

決済ネットワーク

PSP

標的型攻撃（残高改ざん、不正防止策の停止）

出し子

マネーミュール


マルウェア

不正送金指示（SWIFT)

不正送金

マルウェア

Cutler Maker WinPot全世界一斉引き出し

週末・休日の攻撃

管理者

19/26

https://twitter.com/cryptoinsane/status/920164169202241536

https://securelist.com/atm-robber-winpot/89611/?utm_source=kdaily&utm_medium=blog&utm_campaign=jp_kd_Ex0124_organic&utm_content=link&utm_term=jp_kdaily_organic_Ex0124_link_blog_kd

8

ATMハッキングへの主な対策例

① Webベースの顧客インターフェイスアプリケーションへのリモートアクセスは必要なIPアドレスだけに制限する

② ルート権限を持つ全てのユーザの行動（ログ）を監視する

③ 不正なソフト・設定変更を検出するシステムを導入し、定期的にテストする

④ FWルールセットの定期的レビュー及び、定期的な脆弱性診断を実施する

ネットワーク攻撃への対策

物理攻撃への対策

⑥ OSやソフトの最新化を行う

⑦ ATMの物理的強度（耐タンパー性）を上げる

⑧ 信頼できる実行可能ファイルの実行のみを許可する（ホワイトリスト）

⑨ 不明なリムーバブルメディアの使用をブロックする

⑩ 物理的攻撃に反応する警報装置を設置する

⑤ 異常な金額の引き出し等の不正を検知するシステム、又はAIソフトを導入する

20/26

ATMハッキングは2020年以降増加する（ATM Hacking will be increased after 2020)

21/26

環境の変化① Windows7問題

出典：NCR-HP https://www.ncr.com/banking/atm-self-service/windows-10-migration

ATMハッキング攻撃は2020年以降に増加する懸念があります

22/26

環境の変化② 海外発行カード対応ATMの拡大

出典：観光庁 https://www.mlit.go.jp/kankocho/topics02_000170.html

2020年の東京五輪に向けて海外発行カード対応ATMが増加しています

23/26

https://www.ncr.com/banking/atm-self-service/windows-10-migration

https://www.mlit.go.jp/kankocho/topics02_000170.html

9

参考リソース①

出典：Cashing in on ATM Malware/TrendMicro＆Europolhttps://documents.trendmicro.com/assets/white_papers/wp-cashing-in-on-atm-malware.pdf

出典：FireEye2018年レポートhttps://www.fireeye.jp/content/dam/fireeye-www/regional/ja_JP/current-threats/apt/rpt-apt38.pdf

24/26

参考リソース②

出典：enisa ATM cash-out attackshttps://www.enisa.europa.eu/publications/info-notes/atm-cash-out-attacks

出典：金融機関を標的としたサイバー攻撃等の動向についてhttps://www.fsa.go.jp/frtc/seika/discussion/2019/DP2019-3.pdf

25/26

大日本印刷株式会社情報イノベーション事業部

C&Iセンターセキュリティソリューション本部

MEMO

https://documents.trendmicro.com/assets/white_papers/wp-cashing-in-on-atm-malware.pdf


https://www.enisa.europa.eu/publications/info-notes/atm-cash-out-attacks

https://www.fsa.go.jp/frtc/seika/discussion/2019/DP2019-3.pdf

10

© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.

© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential

目次

• Session 1

IoT機器のセキュリティ課題とその事例

• Session 2

IoT機器の効果的なセキュリティ対策とその例

• まとめ

1

© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.

Confidential

Session１

IoT機器のセキュリティ課題とその事例

2© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.

IoTとは？

火災報知器

電子鍵医療機器

ファクトリ

オートメーションロボット照明エアコンエレベータ

テレビ

ネットワークストレージ

ゲートウェイ

カメラ

メディア

フェムトセル

自動車

• IoT デバイス = インターネットに接続する機器、但しPCや携帯電話を除く

• これらの機器の多くはかつてはスタンドアロンだったが現在はネット接続されている

3

11

© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.

IoTセキュリティの課題(1)

• スマートデバイス(IoT)は無限の選択肢を開拓する素晴らしい機会である

• デバイス製造業者は自らの製品の機能性を拡大できる。

• これにより、利益率を拡大し、ビジネスモデルを拡大できる。

• 一方、これは攻撃者にとっても素晴らしい機会である

• サイバーとフィジカルの融合：フィジカル世界が接続されたデバイスに制御され

ればされるほど、現実社会に重大なダメージが発生し易くなる

• デバイスが複雑になればなるほど、攻撃者が利用できるエラーの余地が増える


IoTセキュリティの課題(2)

火災報知器

電子鍵医療機器

ファクトリ

オートメーションロボット照明エアコンエレベータ

テレビ

ネットワークストレージ

ゲートウェイ

カメラ

メディア

フェムトセル

自動車

5


IoTデバイスをセキュアにするための課題

接続されている機器の保護は困難

膨大な種類(デバイスの種類, OSの種類, CPU, コンポーネント)

多くのサードパーティコンポーネントは把握困難

規制要件の曖昧さ

現在のソリューションはIT指向で部分的で複雑

サイバー犯罪者のビジネス観点

収益性が高く効果的な環境

低い参入障壁

攻撃は複製可能


IoT サイバー犯罪の件数

予測7

12


実世界で発生したサイバー攻撃事例

カメラカメラベンダー上位5社のセキュリティカメラの78％が、ネットワークまたはインターネット経由のリモートテイクオーバーに対して脆弱であることが判明している

Shodanを介して見つかった12,000以上の警報システム。このシステムのいくつかは非常に基本的なセキュリティ対策が欠落

スマートロックの大半は、アプリのコントローラやWebサービスにセキュリティ上の重要な欠陥が含まれているためハッキングが容易

2017年に出荷されたテレビの70％以上は、内蔵ソフトウェアやコネクテッドメディアストリーマを通じて公開

されているコネクテッドテレビである。

アラームシステム

ドア・鍵

テレビ/

ストリーマ

空調

エレベーター

照明

医療機器

自動車

ｹﾞｰﾄｳｴｲ/ｾｯﾄﾄｯﾌﾟﾎﾞｯｸｽ

悪名高い2013年のターゲット社の事件は、店舗の空調機が攻撃の端緒だった。

スマートビルディングは660億円市場であり、今日ではほとんどすべての大規模施設がある程度の「スマート」機能を備えている。

スマート照明制御システム市場は2024年で 1兆1320億円に達するだろう

2017年だけで、ヘルスケア業界でサイバー攻撃が211％増加

2020年までに、世界的に出荷された車の75％がインターネットに接続するために必要なハードウェアで構築される

2018年には50万台の以上のホームオフィスルータが攻撃された


サイバー攻撃の進化、ITからIoTへ

• 過去には、攻撃者は主にPCを標的にしていた

• 多くの大規模なサイバー攻撃は、Windowsを実行しているPCで未知の脆弱性

（ゼロデイ）を悪用していた

• マイクロソフトはセキュリティのハードルを上げ、セキュリティ業界も良いソリューションを提供

し始めた

• PCを悪用することは、より難しくなり、より高くつくようになった

• 不可能ではないが、かなり難しい

• 攻撃者は目標を達成するために新しい道を見つける必要があった

• 攻撃者は以下の2つの方法に進んでいく

• ソーシャルエンジニアリング - 人々の弱点を悪用

• 接続デバイス -デバイスやネットワーク全体を攻撃するために、セキュリティの欠如した

デバイスを悪用

9


IoTへのサイバー攻撃事例1 「MIRAI」

• DDoS攻撃他に使用されるIoTデバイスボットネット

• 多様なCPUアーキテクチャを持つさまざまなLinuxデバイスに感染

• ARM, MIPS, x86, PowerPC 他

• 100万台以上の機器に感染、さらに拡大中

• これまでに知られている最大のDDoS攻撃の1つに使用された:

• フランスのインターネットサービスとホスティングプロバイダである“OVH”, トラフィック

ピーク毎秒１テラbps

• KrebsOnSecurity blog(米国） -毎秒620ギガbps

• Dyn DNS サービス – 毎秒1.2 テラbps - GitHub, Amazon,

Twitter, Reddit, Netflix, Airbnb等のサービスに影響

• もともとMinecraftのサーバーをダウンさせるために3人のアメリカの大学生によって作成された


「MIRAI」－どうやって起きたか

• 当初は62件の一般的な工場出荷時のデフォルトのユーザー名とパスワードを使用

• 感染したデバイスは、感染させる他のデバイスをさらに見つけようとする

• インターネットにさらされる一つのデバイスは、内部ネットワークを攻撃するためのゲー

トウェイになる可能性がある

• 攻撃はまだ進行中で進化中

• オープンソースで、GitHubからソースコードをダウンロード可能

• 2017年後半に脆弱性の利用を開始

• 改善されたDDoS攻撃方法

• 系譜

2018

Masuta

2018

Okiru

2017

Satori

2016

Mirai

11

https://www.flyertalk.com/articles/austrian-resorts-smart-locks-hacked.html

https://www.bbc.com/news/technology-44457166

https://www.nbcnews.com/tech/security/your-smart-tv-watching-you-watching-tv-consumer-reports-finds-n845456

https://www.bleepingcomputer.com/news/security/about-90-percent-of-smart-tvs-vulnerable-to-remote-hacking-via-rogue-tv-signals/

https://mashable.com/2018/04/15/casino-smart-thermometer-hacked/

https://thehackernews.com/2016/11/heating-system-hacked.html

https://www.wired.com/2013/05/googles-control-system-hacked/

https://www.wired.com/2013/02/tridium-niagara-zero-day/

https://www.theverge.com/2016/11/3/13507126/iot-drone-hack

https://motherboard.vice.com/en_us/article/d7yxxw/hackers-could-take-control-of-your-smart-light-bulbs-and-cause-a-blackout

https://www.zdnet.com/article/iot-security-warning-cyber-attacks-on-medical-devices-could-put-patients-at-risk/

https://portswigger.net/daily-swig/vulnerable-smart-medical-devices-are-risking-patients-lives

https://www.yahoo.com/tech/bmw-begins-patching-14-security-181634649.html

https://www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/

https://abc7ny.com/technology/fbi-urges-reboot-of-routers-to-stop-russian-malware/3534596/

https://hackaday.com/2015/08/09/millions-of-satellite-receivers-are-low-hanging-fruit-for-botnets/

13


• ウクライナでは、50万以上のデバイスが危険にさらされた

• 主にルーターとNASデバイスに感染したが、産業用デバイスにも波及

• ロシアの諜報機関（Fancy Bear)に関連するスパイグループであると思われる

• よく知られたターゲット: ウクライナの塩素蒸留プラントへの攻撃–実社会での潜在的

に悲惨な影響

• 産業機器(modbusプロトコルを使ったSCADA システム）を扱うための特別なコー

ドを保有

• 一般的なユーザー名とパスワード、および悪用のための既知の脆弱性を利用

IoTへのサイバー攻撃事例2 「VPNFilter」 (2018年)


「VPNFilter」主要な機能

• 持続性 –

• デバイスを再起動しても消去されない

• FBIが推薦する除去方法は、感染したデバイスを工場出荷状態へリセット

• 偵察を行い、ネットワーク情報を収集

• 感染したデバイスのインターネットアクセスを遮断する“キルスイッチ”を保有

• コマンド&コントロールサーバ（C&Cサーバ）からの接続を待つ

• 特定の用途向けの新しいモジュールでアップグレードすることが可能

• コマンド受信が可能

• 産業機器をターゲティング

• Torを使用し、攻撃者にとって安全なデータ漏洩

13


IoTデバイスへのサイバー攻撃の軽減策：何に対して?

• 攻撃者の動機はお金

• マルウェアの亜種が多数実在、一部にはソースコードも存在

• パスワードへのブルートフォース攻撃はいまだに有効な攻撃手段

• 既知で、簡単に悪用できる脆弱性に対してパッチが適用されていない

• 攻撃者はゼロデイを見つけるためのリバースエンジニアリングを実施

• 短期的には、既知の脆弱性に焦点を当てた攻撃

• 長期的には、ゼロデイ攻撃の準備


• 課題

• 自分が作成したデバイスに対する最も一般的な攻撃を防ぐにはどうすればよいか

• 自分が作成したデバイス対する将来の攻撃を防ぐにはどうすればよいか。

• 未知の攻撃を防ぐための私の安全弁は何か？

• すべてが失敗した場合、どのようにネットワークを保護するか？

• 主な防御ソリューション

• ベストプラクティス、標準及び規制

• デバイスハードニング

• ランタイム防御

• ネットワークベースソリューション

IoTデバイスへのサイバー攻撃の軽減策：どのように?

15

14


• デバイスのライフサイクル全体をカバーする包括的なソリューション

• 多層防御 - 単一障害点なし

• 全自動–費用と時間のかかるプロセスを避けるため

• 開発者にとって実用的 - 追加の高価なセキュリティ担当者の雇用を避けるため

要件定義設計開発システムテスト

導入＆保守導入後

IoTデバイスへのサイバー攻撃の軽減策：何が必要か?

デバイスのライフサイクルを通した軽減

16 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential

Session2

IoT機器の効果的なセキュリティ対策とその例

17


IoT機器のセキュリティ対策

多層防御

認証

ネットワークソフトウェア

デプロイ後の対策

脅威モデリング


認証

• 許可されていないユーザーの排除

• 端末認証

• 認証ベースのメカニズムまたは2要素認証を使用する

• パスワードを使用する場合、デフォルトパスワードを変更する

• デバイスごとに使用するパスワードを変える

• 暗号化やハッシュにより平文でのストアを避ける

19

15


• リソースへのアクセス制限

• ユーザー認証だけでは不十分

• 悪意あるユーザーがアクセスするのを防ぐため、デバイス上のリソースは

厳格に管理

• OSベースのアクセス管理メカニズムを使用

• 目的ごとに異なるユーザーを生成

• 権限の元、プロセスやサービスを走らせる

• リモートメンテナンスの一般的アカウントを使用しない

• ユーザー入力を扱うプロセスは特に注意が必要

認証


ネットワーク

• ネットワークセキュリティのメカニズムを使用

• 厳格なルーティングルールを定めたファイアウォール等

• ネットワークインターフェースを最小限に抑える

• デフォルトポートは変更 (web、SSH等)

• 使用しないネットワークサービスをブロック

• 重複したプロセスがないようにする

• すべてのネットワークトラフィックは暗号化されるべき

• 平文通信は避ける

21


外部ソフトウェアコンポーネントの対策

• サードパーティコードを自社のコードベースに組み込む前に、

それらが安全なものであるか確かめることが重要

• メンテナンスされているソフトウェアプロジェクトのみ使用

• 最新バージョンの使用

• 脆弱性（CVE）が最も少ないコンポーネントを使用

• サードパーティ製コードに手を加えることを避ける

• もし手を加える必要がある場合、自社コード同様にテストを行う


• CVE - Common Vulnerability and Exposures

• 既知のセキュリティ脆弱性の参照

• すべてのCVE情報はオンラインで公開され、だれもが利用可能。

• CVSS – Common Vulnerability Scoring System

• 脆弱性をアセスメントするためのオープンな産業基準

• セキュリティスコアは0-10で表され、4つのレベルに分類

• Low (0.1-3.9)、Medium (4.0-6.9)、High (7.0-8.9)、Critical (9.0-10.0)


23

16


• 最新にアップデートされた安全なソフトウェアであっても、

適切に設定されていない場合、セキュリティリスクになり得る。

• 多くのコンポーネントは、必ずしもセキュアと言えないデフォルト

設定が使用されていたり、全く設定がされていないものも

含まれる。



デプロイ後のセキュリティ対策

• デバイスのアップデートを継続的に行う

• 設計・開発段階で慎重に対策をしたとしても、デプロイ後に新たな脅威がでてくる

可能性がある

• セキュリティ意識の低いユーザーにもアップデートがきちんと行われるようにする

• セキュアアップデートのメカニズムを使用する

• ファームウェアを安全に保つ

• 暗号化されたバイナリのみ公開する

• ファームウェアは完全性を保つ

• ファームウェアのダウンロードは登録された顧客にのみ可能にしておく

25


脅威モデリング

• 多種多様な脅威がセキュリティリスクの予測を難題にしている

• 脅威をモデリング（把握）しておくことで、潜在的脅威の特定と対策

の優先順位付けを行う


IoT機器のライフサイクルを通したセキュリティ対策(1)

• 要件定義段階

• まず、製品の主要なセキュリティリスクの定義が必要。

(例)製品が処理する情報の種類、その機能

• 次に、製品が満たすべきセキュリティ標準または認証(Certification)を決める。

市場or業界によって異なる。

• 設計段階

• 潜在的脅威を識別し、指摘するために、アーキテクチャと設計をレビュー

• 脅威のモデリング

• アプリケーションを分解 - デバイスは、どんな機能を搭載しているか？

• 脅威の分類 - 何が起こりうるか？

• 脅威のランク付 - 何に焦点を合わせるべきか？

• 脅威の軽減 - どうやってそれを解決するか？

27

17


• 設計段階 (続)

• ほとんどの攻撃は、サードパーティ製ソフトウェアの設定ミスや悪用に起因

• そのような攻撃方法の例-

• デフォルトまたはハッキングしやすい資格情報(credentials)の利用

• 既存のコードの既知の脆弱性（CVE）の悪用

• 不完全な通信プロトコルの活用

• 総当たり攻撃の実行



• 開発段階

• 設計段階でのリスク分析後、リスク軽減策を実装

• デバイス開発中に、ニーズに応じてコンポーネントが追加・修正される。

• 設計段階で行われるリスク評価は古くなる可能性がある

• このプロセスは開発段階で反復される必要がある

• 自動リスク評価を実行し、それをCI（継続的インテグレーション）プロセスに

統合することで、デバイスのセキュリティを非常に簡単に保つことが可能


29


• 開発段階 (続)

• 自動リスク評価ソリューションを繰り返し、デバイスのセキュリティ状態の品質を

評価することが可能

• 現在のセキュリティギャップを表示

• 関連を説明

• 開発者に、既存の問題を簡単に修正する方法について詳細な指示を提示

• セキュリティをCIプロセスに早期に統合することで、将来のオーバーヘッドと遅延を

劇的に削減

• 事後修正ははるかに高価

• 開発プロセス中に依存関係が生じるため、必要な修正が実際的ではない

場合がある



• 導入後

• IoTランタイムの防御エージェントにより以下が可能になる：

• 追加の防御線を追加する

• 既知、未知の脅威からの防御

• 他のネットワークコンポーネントへの可視性例）NACとの統合

• エンドデバイス自体のランタイムセキュリティは、様々な脅威やゼロデイ攻撃に

対処するために不可欠

• 課題：デバイス独自の属性と潜在的な脅威に基づいてデバイス固有の

保護を実現すること

• デバイスの技術的範囲や乏しいリソースに合わせたスケーラブルなソリューション


31

18


Embedding Security by Design設計フェーズからの組み込みセキュリティ


VDOOソリューション概要

33


アップロードされたファームウェアのセキュリティ状態

各種セキュリティ規格への対応、脆弱性やその対応方法を可視化

ファームウェアのバイナリファイルを分析エンジンにアップロードするだけの簡単操作

ソースコード不要！

アップロードされたファームウェア専用のセキュリティエージェントを

自動生成により出荷後のセキュリティ対策も可能

VDOOソリューションの特徴

34 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.

VDOO Vision 分析レポート(例)

35

19


まとめ

• サイバー攻撃のターゲットはITからIoTへ

• IoT機器に対するサイバー攻撃は急激な増加傾向にある

• デバイスのライフサイクル全体をカバーする包括的な

セキュリティ対策が必要

• 運用時には、単一障害点(SPOF)をつくらないような

多層防御が重要


MEMO MEMO

20

16:05-16:45

Webサイトへの攻撃手口と対策

株式会社ブロードバンドセキュリティセキュリティサービス本部セキュリティ情報サービス部芦原聡介

本講演は、投影データの配布がございませんので前方のスクリーンをご覧ください。

MEMO

MEMO MEMO

21

スマホアプリへの攻撃手口と対策

株式会社DNPハイパーテック

國澤佳代

大日本印刷株式会社高藤寿人

Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.

はじめに

モバイルアプリにおける

⚫ クラッキングの手口

⚫ セキュリティ対策の考え方

をお伝えします。

本セクションのゴール

2


はじめに

スピーカー紹介

大日本印刷株式会社セキュリティソリューション本部サービス企画開発部第1G

Kayo Kunisawa

國澤佳代Hisato Takato

高藤寿人

株式会社DNPハイパーテック研究開発部エンジニア

2016年 DNPハイパーテックに入社。Android／Linux環境での解析技術研究や製品開発。

講演：CEDEC2019リバースエンジニアリングとチート事例から学ぶセキュリティ対策

2015年に大日本印刷入社。DNPハイパーテックに２年間の出向後、本社にてセキュリティ商材の販促・技術支援を担当する。

講演：CEDEC2018セキュリティ会社のエンジニアが伝えたい2018年のチート事情

3 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.

はじめに

アプリ開発者が開発に打ち込めるような環境を作りたい

⚫ ゲームやパソコンが何故動くかに興味

⚫ パズルのように弱点を探す行為が楽しい

攻撃防御

4

22


はじめに

1. クラッキングによる被害事例

2. アプリを守るセキュリティ対策とは

3. モバイルアプリのクラッキングと対策デモ

セクション内容


クラッキングによるアプリの被害事例

クラッキングによる被害事例

ゲームアプリ

チート行為、課金回避

⚫ ゲームバランスの崩壊

⚫ 収益の低下

⚫ ゲームのイメージ低下

乗っ取りによる不正制御

⚫ 遠隔から不正に制御され

る

⚫ プライバシーの侵害

⚫ 実世界にまで被害が及ぶ

(命の危険性も)

スマートリモコンアプリ

⚫ 不正利用が多発

⚫ 個人情報の漏えい

⚫ 被害者に対する全額補償

なりすまし、不正決済

スマホ決済アプリ

6



コネクテッドカー用アプリ 9種類のうち、マルウェアから保護されているアプリはゼロ

https://securelist.com/mobile-apps-and-stealing-a-connected-car/77576/


なぜクラッカーに狙われるのか？

セキュリティ対策をしていない‼


8

https://securelist.com/mobile-apps-and-stealing-a-connected-car/77576/

23


モバイルアプリは情報の宝庫

⚫ アプリを何度も実行することで、仕組みを検証できる

⚫ アプリからソースコードを復元し、ロジックなどを調査できる



クラッカーには、アプリがこう見えている！

Pass

ID

Login

利用しているOSSは？

ログイン何回失敗できる？

パスワードは何文字？

ソースコード解読できる？

リクエストとレスポンス情報は？


10

ハッキング・クラッキングを阻止するためのセキュリティ対策が重要


重要技術管理体制強化事業-経済産業省https://www.meti.go.jp/main/yosan/yosan_fy2019/pr/ip/keikyo_10.pdf

経済産業省

コード決済に関する統一技術仕様ガイドライン-経済産業省

https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/03/CPM_Guideline_1.1.pdf


セキュリティ対策への取り組み


金融庁、キャッシュレス決済事業者へ集中検査-セキュリティ通信https://securitynews.so-net.ne.jp/news/sec_30057.html

金融庁

CCDS 製品分野別セキュリティガイドライン_スマートホーム編1.0版

https://www.ccds.or.jp/public_document/index.html#guidelines-smarthome_1.0

セキュリティ対策への取り組み


CCDS

データ暗号化

鍵管理

12

https://www.meti.go.jp/main/yosan/yosan_fy2019/pr/ip/keikyo_10.pdf

https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/03/CPM_Guideline_1.1.pdf

https://securitynews.so-net.ne.jp/news/sec_30057.html

https://www.ccds.or.jp/public_document/index.html#guidelines-smarthome_1.0

24



何をどうやって対策すればいいの？






14


セキュリティ対策の種類

アプリを守るセキュリティ対策とは

企業の製品・サービスを守る

ウイルス対策ソフト

① 実行環境を守る ② 問題を修正する ③アプリケーションを守る

一般脆弱性への対策

APP

アプリ堅牢化


②一般脆弱性へのセキュリティ対策

アプリ診断

プログラムチェック

アプリの権限確認

⚫ 余分なOSS、コードの排除

⚫ セキュアコーディング

⚫ プログラムの脆弱性診断

ファイルアクセス、適切なパーミッション設定

16


25


③アプリ堅牢化によるセキュリティ対策

静的解析

動的解析

ファイルの暗号化

コード改ざん対策

コード難読化

デバッガ対策

実行端末の制限

暗号強度がつよいものを使用する

ハッシュ値の保存／パラメータチェック

難読化ツールを導入する（ワンパターン／既知のものだと解読されやすい）

デバッガからのアタッチを確認する

特徴的なパラメータから判断する

静的解析：見た目やソースコードから解析Tips 動的解析：アプリを実行しながら動きを見て解析

17



【実施例】アプリ堅牢化によるセキュリティ対策

実装のしやすさ・解読の困難さから、排他的論理和(XOR)が有名

os.BuildやgetRadioVersion()を確認

USBデバッグオプションのON/OFFを確認する、setting.Global.ADB.ENABLEを実装する。https://developer.android.com/reference/android/provider/Settings.Global

SafetyNet Attention APIを利用する。※GoogleがAndroid向けに提供しているAPIで、アプリを実行する端末のセキュリティチェックを実施するhttps://developer.android.com/training/safetynet/attestation

データの暗号化

不正端末(Root)の検知

USBデバッグの検知

エミュレータの検知

参考資料

18




ただし、堅牢化対策は難しい・・・

⚫ コード難読化や、動的解析対策はアプリ開発とは異なる専門的な技術知識が必要

⚫中途半端な対策ではクラッキング被害と場当たり的な対策を繰り返す”いたちごっこ”になりかねない

アプリリリース前に商用セキュリティツールで対策することも考慮


アプリ堅牢化ソフト CrackProof

⚫ 国産の解析・改ざん対策ソリューショ

ン

⚫ 簡単な作業でアプリを堅牢化

⚫ マルチプラットフォーム対応

(Android, iOS, Windows, Linux)機能一例静的解析対策

ファイル暗号化

コード難読化


動的解析対策

デバッガ対策

改造端末対策

メモリアクセス対策


✓

✓

✓

✓

✓

✓

20

https://developer.android.com/reference/android/provider/Settings.Global

https://developer.android.com/training/safetynet/attestation

26


アプリリリース前に実施すべき項目

遵守するガイドラインのセキュリティ要件を確認✓

設計・開発におけるセキュアコーディングガイドを活用✓

ソースコード診断の実施（脆弱性チェック）✓

過不足のないパーミッション設定か検証✓

アプリ脆弱性診断の実施✓

堅牢化対策を実施して耐タンパ性を向上✓

21



参考となるサイト・書籍

国内のソフトウェアなどの脆弱性情報および対策情報を提供しているサイトJPCERTコーディネーションセンター、IPA - https://jvn.jp/

安全なソフトウェア開発のためのコード規約／パーミッション設定JPCERTコーディネーションセンター、IPA - https://www.jpcert.or.jp/securecoding/

JVN（Japan Vulnerability Notes）の確認

セキュアコーディングの閲覧

堅牢化対策に関する知識

ソフトウェアのリバースエンジニアリングとその対策方法を紹介リバースエンジニアリングバイブル、インプレス - https://www.amazon.co.jp/dp/4844334794

アセンブラの読み方から、実際にソフトウェアのハッキング方法を分かりやすく解説楽しいバイナリの歩き方、技術評論社 - https://www.amazon.co.jp/dp/4774159182

参考資料

22








プレイヤーの体力

プレイヤーの攻撃力

攻撃ボタン

課金アイテム

敵の体力

モバイルアプリのクラッキングと対策デモ

今回クラッカーに狙われたゲームアプリ

端末 Android

開発環境

Unity

強い敵に対し、課金アイテムを利用して何度も挑戦させる想定

24

https://jvn.jp/

https://www.jpcert.or.jp/securecoding/

https://www.amazon.co.jp/dp/4844334794

https://www.amazon.co.jp/dp/4774159182

27


Demoまずは普通に挑戦モバイルアプリのクラッキングと対策デモ


クラッキング開始！モバイルアプリのクラッキングと対策デモ

Demo

26


なぜクラッキングされてしまったのか……モバイルアプリのクラッキングと対策デモ

原因の一例……

⚫ソースコードが簡単に復元可能

⚫改ざん箇所が直ぐに特定できる

ゲームに限らずあらゆるアプリに

危険が存在


クラッカーが狙うポイント

APP

端末内部領域

外部領域

アプリ内部

署名


28

28


今回クラッカーが狙ったポイントモバイルアプリのクラッキングと対策デモ

⚫ 攻撃はひとつの方法を達成すれば成功

⚫ 防御は多くの攻撃方法から守れなけれ

ば成功とはいえない

APP

端末内部領域

外部領域

アプリ内部

署名


jarsigner

apktool adb

目的に沿った解析／改ざん

改ざんオリジナルアプリ解凍再パッケージ化／署名

改造アプリ

Android

改造アプリの作成モバイルアプリのクラッキングと対策デモ

apktool

30


apktool

Cydia Impactor

jarsigner

apktool adb


Clutch


改造アプリ

iOS

Android


アプリはモバイル端末から容易に出し入れ可能


Android


改造アプリ


改造に使用するツールもwebから簡単に入手可能

jarsigner

apktool adb


apktool

32

29


Android


改造アプリ


jarsigner

apktool adb


apktool

アプリを堅牢化して解析／改ざんから強固に守る



静的解析

動的解析

ファイルの暗号化


コード難読化

デバッガ対策

実行端末の制限

暗号強度がつよいものを使用する

ハッシュ値の保存／パラメータチェック

難読化ツールを導入する（ワンパターン／既知のものだと解読されやすい）

デバッガからのアタッチを確認する

特徴的なパラメータから判断する

ふり返り！

堅牢化（耐タンパ）によるセキュリティ対策

34


セキュリティ対策実施！モバイルアプリのクラッキングと対策デモ

APP APP

セキュリティ対策を盛り込んだCrackProofで、アプリを堅牢化処理していきます！


CrackProofによる堅牢化処理(ブラウザ経由)モバイルアプリのクラッキングと対策デモ

Demo

36

30


CrackProofの特長

誰でも、手間なく、アプリを堅牢化

CrackProofはアプリを直接処理しソースコードへの組込作業がほぼ不要開発者に負担を与えない

※一部組み込みが必要な場合有

多角的な攻撃を防ぎ、大事なアプリケーションを守ります

セキュアコーディングや難読化では完全に防ぐことができないCrackProofは様々な攻撃を阻止

アプリのパフォーマンスを損ねません

アプリの実行速度にほぼ影響を与えないユーザビリティを損ねずに堅牢性を高める

セキュリティを柔軟にチューニング可能

セキュリティオプションを選択しアプリの動作環境に最適なセキュリティを



もう一度！クラッキングに挑戦！モバイルアプリのクラッキングと対策デモ

あああああ

Demo

38


もう一度！クラッキングに挑戦！モバイルアプリのクラッキングと対策デモ

Demo


無事、アプリを守ることができました。モバイルアプリのクラッキングと対策デモ

対象を決めて効率よく

保護しましょう！

40

31


セキュリティ対策は継続が大切

APP

流行りの技術

⚫ 開発プラットフォーム⚫ プロトコル

クラッカーの成長新しい攻撃方法／脆弱性

さいごに


APP

流行りの技術

⚫ 開発プラットフォーム⚫ プロトコル

クラッカーの成長新しい攻撃方法／脆弱性

CrackProofも日々進化し続けます

OSアップデート対応

機能のブラッシュアップ

さいごに

42


付録A リバースエンジニアリングツール

静的解析

• objdump：Linux用逆アセンブルツール[3]• ILSpy、dnSpy：.NETで作られたプログラムの逆コンパイルツール[4,5]• IDApro、Ghidra：汎用逆アセンブルツール[6,7]

表層解析

• file：フォーマット情報取得ツール(Linux)[1]• dumpbin：フォーマット情報取得＆逆アセンブルツール(Linux)[2]

動的解析

• (ndk-)gdb：Linux,android用デバッガ[8]• radare2：gdbを参考に作られた拡張ツール[9]• WinDbg：Windows用デバッガ[10]

[1]~[3],[8]は基本的にLinux標準搭載 [4] https://github.com/icsharpcode/ILSpy/releases [5] https://github.com/0xd4d/dnSpy

[6] https://www.hex-rays.com/products/ida/ [7] https://ghidra-sre.org/ [9] https://github.com/radareorg/radare2 [10]は基本的にwindows標準搭載

参考資料


AndroidOS,iOSのFramework自体を動的に書き換えるツール

• apktool：apkの分解・再構築ツール[4]• dex2jar+JD-GUI：dexファイルの逆デコンパイルツール[5,6]• jarsigner：apkの再署名ツール[7]

付録B リバースエンジニアリングツール

apkの改変

• Xposed：Android用Framework改ざんツール[1]• FRIDA：Android用Framework改ざんツール[2]• Cydia impactor：iOS用Framework改ざんツール[3]

[1] https://repo.xposed.info/module/de.robv.android.xposed.installer [2] https://www.frida.re/docs/android/ [3] http://www.cydiaimpactor.com/

[4] https://ibotpeaches.github.io/Apktool/install/ [5] https://github.com/pxb1988/dex2jar [6] https://github.com/java-decompiler

[7]はJDK(java developer kit)インストール時に同梱される

参考資料

44

https://github.com/icsharpcode/ILSpy/releases

https://github.com/0xd4d/dnSpy

https://www.hex-rays.com/products/ida/

https://ghidra-sre.org/

https://github.com/radareorg/radare2

https://repo.xposed.info/module/de.robv.android.xposed.installer

https://www.frida.re/docs/android/

http://www.cydiaimpactor.com/

https://ibotpeaches.github.io/Apktool/install/

https://github.com/pxb1988/dex2jar

https://github.com/java-decompiler

32


ご清聴ありがとうございました！

Documents

seminar docs 20191119 - DNP 大日本印刷株式会社...2019/11/26 · 一般社団法人日本ハッカー協会 代表理事 杉浦隆幸様 14:35-15:15 海外におけるATMハッキング事例

seminar docs 20191119 - DNP 大日本印刷株式会社...2019/11/26 · 一般社団法人日本ハッカー協会代表理事杉浦隆幸様 14:35-15:15 海外におけるATMハッキング事例