Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
DNP・BBSec共催 セキュリティセミナー
攻撃の手口を知れば守り方も見えてくる攻撃者視点で守るセキュリティ
2019年11月19日
13:30-13:35 事務局よりご案内
13:35-14:25 Webとは異なる自動車へのペネトレーションテスト一般社団法人日本ハッカー協会 代表理事 杉浦隆幸 様
14:35-15:15 海外におけるATMハッキング事例大日本印刷株式会社 情報イノベーション事業部 C&Iセンター セキュリティソリューション本部 佐藤俊介
15:15-15:55 IoT機器脆弱性をついたリスク予見とその対策大日本印刷株式会社 ABセンター サイバーセキュリティ事業推進ユニット 鈴木佑基 / 半田富貴男
16:05-16:45 Webサイトへの攻撃手口と対策株式会社ブロードバンドセキュリティ セキュリティサービス本部 セキュリティ情報サービス部 芦原聡介
16:45-17:25 スマホアプリへの攻撃手口と対策株式会社DNPハイパーテック 研究開発部 國澤佳代
大日本印刷株式会社 情報イノベーション事業部 C&Iセンター セキュリティソリューション本部 高藤寿人
17:25-17:30 事務局よりご挨拶
休憩(10分)
休憩(10分)
本日のプログラム
配布資料なし
配布資料なし
p.3-9
p.10-19
p.21-32
2
13:35-14:25
Webとは異なる自動車へのペネトレーションテスト一般社団法人日本ハッカー協会代表理事 杉浦 隆幸 様
本講演は、投影データの配布がございませんので
前方のスクリーンをご覧ください。
MEMO
MEMO MEMO
3
© 2019 Dai Nippon Printing Co.,Ltd. All Rights Reserved.
2019年11月19日
大日本印刷株式会社
情報イノベーション事業部C&Iセンター
セキュリティソリューション本部サービス企画開発部
海外におけるATMハッキング事例
DNP・BBSec
共催セキュリティセミナーATMハッキング ー 現代の銀行強盗
• ATMやATMネットワークを狙った攻撃は増加していて、世界的な脅威となっています。
• 「ATMキャッシュアウト」と呼ばれる、高度なサイバー攻撃で銀行や決済処理会社のセキュリティシステムを突破し、偽造カードを使用して、世界中のATMから短期間で大金を不正に引き出す攻撃も継続的に発生しています。
• ATMネットワーク(SWIFT)を狙った国家の支援を受けたとみられるハッカー集団による攻撃も数多く発生しています。
1/26
ATMキャッシュアウト/SWIFT不正送金(ATM Cashout / SWIFT money transfer fraud)
2/26
拡大するATMネットワークを狙った主なハッキング被害
ATM Cashout
日本のATM(セブン銀行・ENET・ゆうちょ銀行)
2016年5月, 18.6億円
ATM Cashout
南ア スタンダード銀行2016年5月
SWIFT不正送金【未遂】
ベトナム TPBank2015年5月, (100万ドル)
SWIFT不正送金
台湾 遠東国際商業銀行2017年10月, 約67億円
ATM Cashout【未遂】
メキシコ外国貿易銀行,2018年1月, (2000万ドル)
ATM Cashout
チリ Banco de Chile2018年5月, 1000万ドル
ATM Cashout
米国 Fidelity(FIS),2011年2月, 1300万ドル
SWIFT不正送金
エクアドル Banco del Austro2015年1月, 1200万ドル
SWIFT不正送金
インド シティユニオン銀行, 2018年2月, 100万ドル
SWIFT不正送金
インド モーリシャス国立銀行子会社, 2018年10月, 400万ドル
SWIFT不正送金【未遂】
マルタ バレッタ銀行, 2018年2月
ATM Cashout
米国 シティバンク,2008年7月, 200万ドル
SWIFT不正送金
米国 RBS WorldPay, 2008年11月, 900万ドル
Lazarus Groupの関与が疑われる攻撃
Lazarus Group以外の攻撃
日本が影響を受けた攻撃 ※図中データは各ニュース記事よりDNPが独自にまとめた
ATM Cashout
台湾 第一銀行,2016年7月, 18.3万ドル
ATM Cashout
インド ElectraCard Systems/EnStage, 2013年5月, 4500万ドル
SWIFT不正送金【未遂】
ロシア Globex銀行, 2017年12月
SWIFT不正送金
ネパール NIC Asia Bank, 2017年10月, 5億円
SWIFT不正送金
バングラディシュ中央銀行, 2016年2月, 8100万ドル
SWIFT不正送金
バングラディシュ3銀行, 2019年6月, 300万ドル+
SWIFT不正送金ATM Cashout
インド コスモス銀行, 2018年8月, 1350万ドル
ATM Cashout
米国 ElectraCard Systems/EnStage,2012年12月, 4500万ドル
ATM Cashout
米国 ブラックスバーグ国立銀行, 2016年5月/2017年1月, 約2.6億円
3/26
4
ATMハッキングに対するアラート
出典:米国土安全保障省のアラート(2018年10月)https://www.us-cert.gov/ncas/alerts/TA18-275A
出典:Krebs on Security https://krebsonsecurity.com/2018/08/fbi-warns-of-unlimited-atm-cashout-blitz/
2018年10月にFBI, US-CERT, 国土安全保障省, 財務省が共同でアラートを出しました
4/26
Lazarus Groupについて
出典:米財務省 外国資産管理局 https://home.treasury.gov/index.php/news/press-releases/sm774
米国財務省外国資産管理局は、2019/9/13に北朝鮮の支援が疑われる「Lazarus Group」、「Bluenoroff」、「Andariel」として知られるハッキング集団を対象とした制裁を発表しました。
「Lazarus Group」は10年以上活動し、全世界的な脅威となっています
5/26
Lazarus Groupについて
Lazarus Group 2009年以前~
DarkSeoul(2013)Sony Pictures(2014)Bangladesh Bank(2016)WannaCry(2017)
Lazarus Groupは北朝鮮政府の支援を受けていると見られるグループで、少なくても2009年頃から活動しており、2013年には韓国の放送局・銀行・金融機関などが影響を受けた「ダークソウル」、2014年のソニーピクチャーズへの攻撃、2015年のベトナムTP Bank、2016年のBangladesh Bank、2017年の遠東国際商業銀行、2018年のBancomext、Banco de Chileへの攻撃の他、世界150ヵ国、約30万台に影響を与えたランサムウェアの「WannaCry」にも関与していたと考えられています。
*Lazarus Groupは、 APT38、 Hidden Cobra、Cobalt、FASTCash、Guardians of Peace、ZINC、Nickel Academyと呼ばれる場合もあります。
6/26
APT38(Lazarus Group)の標的対象
出典:FireEye2018年レポート https://www.fireeye.jp/content/dam/fireeye-www/regional/ja_JP/current-threats/apt/rpt-apt38.pdf
2015年以降、APT38が金融機関から窃取を試みた金額は数億ドル規模になります
7/26
5
CASE1:バングラデッシュ中央銀行(SWIFT不正送金)
史上最大の銀行強盗事件(Lazarus Group関与)
被害額:8,100万ドル※10億ドルだった可能性も・・・
事件概要
ニューヨーク連邦準備銀行
バングラデシュ中央銀行口座
バングラデシュ中央銀行
不正送金指示(30回)
フィリピン(不正口座)
スリランカ(NGO口座)
Shalika Foundation
8100万ドル不正送金
中継ドイツ銀行
時期:2016年2月
Fandation?
問い合わせ(発覚)
2000万ドル送金
8/26
出典:FireEye2018年レポート https://www.fireeye.jp/content/dam/fireeye-www/regional/ja_JP/current-threats/apt/rpt-apt38.pdf
APT38(Lazarus Group)のSWIFT攻撃手法
①情報の収集SWIFT システムにアクセスできると思われる、標的組織のサードパーティ・ベンダーに関する調査を実施
②ネットワーク内部への侵入Apache Struts2の脆弱性が存在するなど、特定の条件を満たすLinuxサーバーを探して侵害
③内部の偵察SysmonやWindowsコマンドライン・ツールのnet.exeなどの内部ツールを使用したシステムの調査を実施
④SWIFTサーバへの移動標的組織で動作するSWIFTシステムにアクティブ型/パッシブ型のバックドアを仕掛ける
⑤送金不正なSWIFT取引を挿入したり、取引履歴を改ざんしたりするマルウェアをインストールし実行する※取り締まりがルーズで資金洗浄が容易な別の国の銀行に開設した口座へ送金
⑥証拠の隠滅独自のマルウェアを使用してログとファイルを完全に削除※インストールしたディスク消去マルウェアを実行して証拠を隠滅し、後のフォレンジック分析を妨害
※一般に入手可能なランサムウェアに感染させ、SWIFTの調査を妨害し、残る攻撃活動の証拠を隠滅
APT38による金融機関への攻撃工程 (FireEye社分析)
9/26
ATM管理が甘い日本のコンビニが狙われた
被害額:18.6億円
事件概要
時期:2016年5月
セブン銀行
スタンダード銀行
偽造デビットカード1600枚
18.6億円(内セブン銀行は14.4億円)
17都府県のコンビニATM約1400台
5月15日(日)AM5-8
AM8 不正取引停止
偽造カード情報(ジンバブエ、南ア顧客データ)
事件後、日本のATMからのカード発行カードの引き出し限度額が見直された
260人+が逮捕*2019年7月現在
出金承認の形跡が無い
事前に3000件の顧客データが流出
ハッキング
CASE2:スタンダード銀行のATMキャッシュアウト(セブン銀行)
5月15日(日)早朝
不正操作(残高不正)
10/26
遠東国際商業銀行
CASE3:台湾 第一銀行(ATMキャッシュアウト)
出典:Cashing in on ATM Malware/TrendMicro&Europolhttps://documents.trendmicro.com/assets/white_papers/wp-cashing-in-on-atm-malware.pdf
ロンドン支店
各地のATM
フィッシングメール
音声録音システム
専用線
本社ルータ
FW
感染サーバ
痕跡をリモート削除
拠点構築
侵入 侵入
監視情報収集(管理者情報の窃取)
配信管理システム
ATM更新サーバ
偽の更新パッケージをロード
Telnet経由でマルウェアをATMへ
3回のプログラムテスト(出し子が結果をメッセージアプリで報告)
不正支払いプログラムを実行し、出し子がお金を盗む
被害額:18.3万ドル時期:2016年7月Wincor-Nidorf製ATMへの攻撃
11/26
6
・侵害されたスイッチアプリケーションサーバーで実行されている悪意のあるアプリケーションは、トランスポートレイヤーでメッセージを検査し、特定のアカウント番号を探します。
・要求メッセージに特定の不正なPANが含まれる場合、不正な応答メッセージを生成して、決済スイッチアプリケーションがメッセージを処理する前に応答メッセージを返し、イシュアに気づかせない様にします。
・決済スイッチからATMへの拒否応答メッセージをインターセプトおよびブロックする機能も備えています。
出典:米国土安全保障省の警告(2018年10月)https://www.us-cert.gov/ncas/alerts/TA18-275A
イシュア(カード会社)
侵害されたサーバ
決済スイッチアプリケーション
承認又は拒否
出金要求メッセージ(正当なPAN情報)
出金要求の承認又は拒否
不正な出金要求メッセージ(攻撃者の不正なPAN情報)
不正な出金要求の承認
参考:決済スイッチへの侵害(ATMキャッシュアウト)
イシュアの決済スイッチアプリケーションサーバをリモートで侵害する手法
12/26
ATMへの物理攻撃(Physical Attack to ATM)
13/26
必要なものはDeep Web上で販売されています
出典:ATM malware en la deep web https://www.youtube.com/watch?v=JODX5NVEjrM 14/26
電動ドライバーが“銃“になる!?
ATM「ジャックポット」攻撃では電動ドライバーがよく使われます
ATM背面のUSBポートにマルウェアを仕掛ける為に電動ドライバーが使われます
ATM内部の現金をすべて排出する為に設計されたATMマルウェアによるジャックポット攻撃(正規ATMコマンドを使って現金を不正排出させます)
15/26
7
CUTLET Maker1.0(2017年10月頃~)
出典:@CRYPTOINSANE Twitter https://twitter.com/cryptoinsane/status/920164169202241536
「CUTLET Maker」は、ジャックポット攻撃を本格化させました
16/26
WinPot v3(2018年3月頃~)
ATMマルウェア「WinPot」はUSBポート経由でATMの現金を吐き出させます
出典:Kasperskyhttps://securelist.com/atm-robber-
winpot/89611/?utm_source=kdaily&utm_medium=blog&utm_campaign=jp_kd_Ex0124_organic&utm_content=link&utm_term=jp_kdaily_organic_Ex0124_link_blog_kd
Dark(Deep)Webで500~1000ドルで入手可能。
17/26
ATMハッキングへの対応(How to fight with ATM hacking)
18/26
ATMネットワークへの主な攻撃手法
フィッシングメール
二段階認証
中間者攻撃
ネットバンキング
ドリル
内部犯行
物理攻撃 スキミング
ATM特化型マルウェア
決済ネットワーク
PSP
標的型攻撃(残高改ざん、不正防止策の停止)
出し子
マネーミュール
フィッシングメール
マルウェア
不正送金指示(SWIFT)
不正送金
マルウェア
Cutler Maker WinPot全世界一斉引き出し
週末・休日の攻撃
管理者
19/26
8
ATMハッキングへの主な対策例
① Webベースの顧客インターフェイスアプリケーションへのリモートアクセスは必要なIPアドレスだけに制限する
② ルート権限を持つ全てのユーザの行動(ログ)を監視する
③ 不正なソフト・設定変更を検出するシステムを導入し、定期的にテストする
④ FWルールセットの定期的レビュー及び、定期的な脆弱性診断を実施する
ネットワーク攻撃への対策
物理攻撃への対策
⑥ OSやソフトの最新化を行う
⑦ ATMの物理的強度(耐タンパー性)を上げる
⑧ 信頼できる実行可能ファイルの実行のみを許可する(ホワイトリスト)
⑨ 不明なリムーバブルメディアの使用をブロックする
⑩ 物理的攻撃に反応する警報装置を設置する
⑤ 異常な金額の引き出し等の不正を検知するシステム、又はAIソフトを導入する
20/26
ATMハッキングは2020年以降増加する(ATM Hacking will be increased after 2020)
21/26
環境の変化① Windows7問題
出典:NCR-HP https://www.ncr.com/banking/atm-self-service/windows-10-migration
ATMハッキング攻撃は2020年以降に増加する懸念があります
22/26
環境の変化② 海外発行カード対応ATMの拡大
出典:観光庁 https://www.mlit.go.jp/kankocho/topics02_000170.html
2020年の東京五輪に向けて海外発行カード対応ATMが増加しています
23/26
9
参考リソース①
出典:Cashing in on ATM Malware/TrendMicro&Europolhttps://documents.trendmicro.com/assets/white_papers/wp-cashing-in-on-atm-malware.pdf
出典:FireEye2018年レポートhttps://www.fireeye.jp/content/dam/fireeye-www/regional/ja_JP/current-threats/apt/rpt-apt38.pdf
24/26
参考リソース②
出典:enisa ATM cash-out attackshttps://www.enisa.europa.eu/publications/info-notes/atm-cash-out-attacks
出典:金融機関を標的としたサイバー攻撃等の動向についてhttps://www.fsa.go.jp/frtc/seika/discussion/2019/DP2019-3.pdf
25/26
大日本印刷株式会社情報イノベーション事業部
C&Iセンターセキュリティソリューション本部
MEMO
10
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
目次
• Session 1
IoT機器のセキュリティ課題とその事例
• Session 2
IoT機器の効果的なセキュリティ対策とその例
• まとめ
1
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.
Confidential
Session1
IoT機器のセキュリティ課題とその事例
2© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
IoTとは?
火災報知器
電子鍵医療機器
ファクトリ
オートメーション ロボット照明 エアコン エレベータ
テレビ
ネットワークストレージ
ゲートウェイ
カメラ
メディア
フェムトセル
自動車
• IoT デバイス = インターネットに接続する機器、但しPCや携帯電話を除く
• これらの機器の多くはかつてはスタンドアロンだったが現在はネット接続されている
3
11
© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
IoTセキュリティの課題(1)
• スマートデバイス(IoT)は無限の選択肢を開拓する素晴らしい機会である
• デバイス製造業者は自らの製品の機能性を拡大できる。
• これにより、利益率を拡大し、ビジネスモデルを拡大できる。
• 一方、これは攻撃者にとっても素晴らしい機会である
• サイバーとフィジカルの融合:フィジカル世界が接続されたデバイスに制御され
ればされるほど、現実社会に重大なダメージが発生し易くなる
• デバイスが複雑になればなるほど、攻撃者が利用できるエラーの余地が増える
4© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
IoTセキュリティの課題(2)
火災報知器
電子鍵医療機器
ファクトリ
オートメーション ロボット照明 エアコン エレベータ
テレビ
ネットワークストレージ
ゲートウェイ
カメラ
メディア
フェムトセル
自動車
5
© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
IoTデバイスをセキュアにするための課題
接続されている機器の保護は困難
膨大な種類(デバイスの種類, OSの種類, CPU, コンポーネント)
多くのサードパーティコンポーネントは把握困難
規制要件の曖昧さ
現在のソリューションはIT指向で部分的で複雑
サイバー犯罪者のビジネス観点
収益性が高く効果的な環境
低い参入障壁
攻撃は複製可能
6© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
IoT サイバー犯罪の件数
予測7
12
© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
実世界で発生したサイバー攻撃事例
カメラカメラベンダー上位5社のセキュリティカメラの78%が、ネットワークまたはインターネット経由のリモートテイクオーバーに対して脆弱であることが判明している
Shodanを介して見つかった12,000以上の警報システム。このシステムのいくつかは非常に基本的なセキュリティ対策が欠落
スマートロックの大半は、アプリのコントローラやWebサービスにセキュリティ上の重要な欠陥が含まれているためハッキングが容易
2017年に出荷されたテレビの70%以上は、内蔵ソフトウェアやコネクテッドメディアストリーマを通じて公開
されているコネクテッドテレビである。
アラームシステム
ドア・鍵
テレビ/
ストリーマ
空調
エレベーター
照明
医療機器
自動車
ゲートウエイ/セットトップボックス
悪名高い2013年のターゲット社の事件は、店舗の空調機が攻撃の端緒だった。
スマートビルディングは660億円市場であり、今日ではほとんどすべての大規模施設がある程度の「スマート」機能を備えている。
スマート照明制御システム市場は2024年で 1兆1320億円に達するだろう
2017年だけで、ヘルスケア業界でサイバー攻撃が211%増加
2020年までに、世界的に出荷された車の75%がインターネットに接続するために必要なハードウェアで構築される
2018年には50万台の以上のホームオフィスルータが攻撃された
8© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
サイバー攻撃の進化、ITからIoTへ
• 過去には、攻撃者は主にPCを標的にしていた
• 多くの大規模なサイバー攻撃は、Windowsを実行しているPCで未知の脆弱性
(ゼロデイ)を悪用していた
• マイクロソフトはセキュリティのハードルを上げ、セキュリティ業界も良いソリューションを提供
し始めた
• PCを悪用することは、より難しくなり、より高くつくようになった
• 不可能ではないが、かなり難しい
• 攻撃者は目標を達成するために新しい道を見つける必要があった
• 攻撃者は以下の2つの方法に進んでいく
• ソーシャルエンジニアリング - 人々の弱点を悪用
• 接続デバイス -デバイスやネットワーク全体を攻撃するために、セキュリティの欠如した
デバイスを悪用
9
© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
IoTへのサイバー攻撃事例1 「MIRAI」
• DDoS攻撃他に使用されるIoTデバイスボットネット
• 多様なCPUアーキテクチャを持つさまざまなLinuxデバイスに感染
• ARM, MIPS, x86, PowerPC 他
• 100万台以上の機器に感染、さらに拡大中
• これまでに知られている最大のDDoS攻撃の1つに使用された:
• フランスのインターネットサービスとホスティングプロバイダである“OVH”, トラフィック
ピーク毎秒1テラbps
• KrebsOnSecurity blog(米国) -毎秒620ギガbps
• Dyn DNS サービス – 毎秒1.2 テラbps - GitHub, Amazon,
Twitter, Reddit, Netflix, Airbnb等のサービスに影響
• もともとMinecraftのサーバーをダウンさせるために3人のアメリカの大学生によって作成された
10© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
「MIRAI」 - どうやって起きたか
• 当初は62件の一般的な工場出荷時のデフォルトのユーザー名とパスワードを使用
• 感染したデバイスは、感染させる他のデバイスをさらに見つけようとする
• インターネットにさらされる一つのデバイスは、内部ネットワークを攻撃するためのゲー
トウェイになる可能性がある
• 攻撃はまだ進行中で進化中
• オープンソースで、GitHubからソースコードをダウンロード可能
• 2017年後半に脆弱性の利用を開始
• 改善されたDDoS攻撃方法
• 系譜
2018
Masuta
2018
Okiru
2017
Satori
2016
Mirai
11
13
© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
• ウクライナでは、50万以上のデバイスが危険にさらされた
• 主にルーターとNASデバイスに感染したが、産業用デバイスにも波及
• ロシアの諜報機関(Fancy Bear)に関連するスパイグループであると思われる
• よく知られたターゲット: ウクライナの塩素蒸留プラントへの攻撃–実社会での潜在的
に悲惨な影響
• 産業機器(modbusプロトコルを使ったSCADA システム)を扱うための特別なコー
ドを保有
• 一般的なユーザー名とパスワード、および悪用のための既知の脆弱性を利用
IoTへのサイバー攻撃事例2 「VPNFilter」 (2018年)
12© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
「VPNFilter」 主要な機能
• 持続性 –
• デバイスを再起動しても消去されない
• FBIが推薦する除去方法は、感染したデバイスを工場出荷状態へリセット
• 偵察を行い、ネットワーク情報を収集
• 感染したデバイスのインターネットアクセスを遮断する“キルスイッチ”を保有
• コマンド&コントロールサーバ(C&Cサーバ)からの接続を待つ
• 特定の用途向けの新しいモジュールでアップグレードすることが可能
• コマンド受信が可能
• 産業機器をターゲティング
• Torを使用し、攻撃者にとって安全なデータ漏洩
13
© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
IoTデバイスへのサイバー攻撃の軽減策:何に対して?
• 攻撃者の動機はお金
• マルウェアの亜種が多数実在、一部にはソースコードも存在
• パスワードへのブルートフォース攻撃はいまだに有効な攻撃手段
• 既知で、簡単に悪用できる脆弱性に対してパッチが適用されていない
• 攻撃者はゼロデイを見つけるためのリバースエンジニアリングを実施
• 短期的には、既知の脆弱性に焦点を当てた攻撃
• 長期的には、ゼロデイ攻撃の準備
14© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
• 課題
• 自分が作成したデバイスに対する最も一般的な攻撃を防ぐにはどうすればよいか
• 自分が作成したデバイス対する将来の攻撃を防ぐにはどうすればよいか。
• 未知の攻撃を防ぐための私の安全弁は何か?
• すべてが失敗した場合、どのようにネットワークを保護するか?
• 主な防御ソリューション
• ベストプラクティス、標準及び規制
• デバイスハードニング
• ランタイム防御
• ネットワークベース ソリューション
IoTデバイスへのサイバー攻撃の軽減策:どのように?
15
14
© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
• デバイスのライフサイクル全体をカバーする包括的なソリューション
• 多層防御 - 単一障害点なし
• 全自動–費用と時間のかかるプロセスを避けるため
• 開発者にとって実用的 - 追加の高価なセキュリティ担当者の雇用を避けるため
要件定義 設計 開発システムテスト
導入&保守 導入後
IoTデバイスへのサイバー攻撃の軽減策:何が必要か?
デバイスのライフサイクルを通した軽減
16 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
Session2
IoT機器の効果的なセキュリティ対策とその例
17
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
IoT機器のセキュリティ対策
多層防御
認証
ネットワークソフトウェア
デプロイ後の対策
脅威モデリング
18 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
認証
• 許可されていないユーザーの排除
• 端末認証
• 認証ベースのメカニズムまたは2要素認証を使用する
• パスワードを使用する場合、デフォルトパスワードを変更する
• デバイスごとに使用するパスワードを変える
• 暗号化やハッシュにより平文でのストアを避ける
19
15
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
• リソースへのアクセス制限
• ユーザー認証だけでは不十分
• 悪意あるユーザーがアクセスするのを防ぐため、デバイス上のリソースは
厳格に管理
• OSベースのアクセス管理メカニズムを使用
• 目的ごとに異なるユーザーを生成
• 権限の元、プロセスやサービスを走らせる
• リモートメンテナンスの一般的アカウントを使用しない
• ユーザー入力を扱うプロセスは特に注意が必要
認証
20 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
ネットワーク
• ネットワークセキュリティのメカニズムを使用
• 厳格なルーティングルールを定めたファイアウォール等
• ネットワークインターフェースを最小限に抑える
• デフォルトポートは変更 (web、SSH等)
• 使用しないネットワークサービスをブロック
• 重複したプロセスがないようにする
• すべてのネットワークトラフィックは暗号化されるべき
• 平文通信は避ける
21
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
外部ソフトウェアコンポーネントの対策
• サードパーティコードを自社のコードベースに組み込む前に、
それらが安全なものであるか確かめることが重要
• メンテナンスされているソフトウェアプロジェクトのみ使用
• 最新バージョンの使用
• 脆弱性(CVE)が最も少ないコンポーネントを使用
• サードパーティ製コードに手を加えることを避ける
• もし手を加える必要がある場合、自社コード同様にテストを行う
22 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
• CVE - Common Vulnerability and Exposures
• 既知のセキュリティ脆弱性の参照
• すべてのCVE情報はオンラインで公開され、だれもが利用可能。
• CVSS – Common Vulnerability Scoring System
• 脆弱性をアセスメントするためのオープンな産業基準
• セキュリティスコアは0-10で表され、4つのレベルに分類
• Low (0.1-3.9)、Medium (4.0-6.9)、High (7.0-8.9)、Critical (9.0-10.0)
外部ソフトウェアコンポーネントの対策
23
16
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
• 最新にアップデートされた安全なソフトウェアであっても、
適切に設定されていない場合、セキュリティリスクになり得る。
• 多くのコンポーネントは、必ずしもセキュアと言えないデフォルト
設定が使用されていたり、全く設定がされていないものも
含まれる。
外部ソフトウェアコンポーネントの対策
24 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
デプロイ後のセキュリティ対策
• デバイスのアップデートを継続的に行う
• 設計・開発段階で慎重に対策をしたとしても、デプロイ後に新たな脅威がでてくる
可能性がある
• セキュリティ意識の低いユーザーにもアップデートがきちんと行われるようにする
• セキュアアップデートのメカニズムを使用する
• ファームウェアを安全に保つ
• 暗号化されたバイナリのみ公開する
• ファームウェアは完全性を保つ
• ファームウェアのダウンロードは登録された顧客にのみ可能にしておく
25
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
脅威モデリング
• 多種多様な脅威がセキュリティリスクの予測を難題にしている
• 脅威をモデリング(把握)しておくことで、潜在的脅威の特定と対策
の優先順位付けを行う
26© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
IoT機器のライフサイクルを通したセキュリティ対策(1)
• 要件定義段階
• まず、製品の主要なセキュリティリスクの定義が必要。
(例)製品が処理する情報の種類、その機能
• 次に、製品が満たすべきセキュリティ標準または認証(Certification)を決める。
市場or業界によって異なる。
• 設計段階
• 潜在的脅威を識別し、指摘するために、アーキテクチャと設計をレビュー
• 脅威のモデリング
• アプリケーションを分解 - デバイスは、どんな機能を搭載しているか?
• 脅威の分類 - 何が起こりうるか?
• 脅威のランク付 - 何に焦点を合わせるべきか?
• 脅威の軽減 - どうやってそれを解決するか?
27
17
© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
• 設計段階 (続)
• ほとんどの攻撃は、サードパーティ製ソフトウェアの設定ミスや悪用に起因
• そのような攻撃方法の例-
• デフォルトまたはハッキングしやすい資格情報(credentials)の利用
• 既存のコードの既知の脆弱性(CVE)の悪用
• 不完全な通信プロトコルの活用
• 総当たり攻撃の実行
IoT機器のライフサイクルを通したセキュリティ対策(2)
28© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
• 開発段階
• 設計段階でのリスク分析後、リスク軽減策を実装
• デバイス開発中に、ニーズに応じてコンポーネントが追加・修正される。
• 設計段階で行われるリスク評価は古くなる可能性がある
• このプロセスは開発段階で反復される必要がある
• 自動リスク評価を実行し、それをCI(継続的インテグレーション)プロセスに
統合することで、デバイスのセキュリティを非常に簡単に保つことが可能
IoT機器のライフサイクルを通したセキュリティ対策(3)
29
© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
• 開発段階 (続)
• 自動リスク評価ソリューションを繰り返し、デバイスのセキュリティ状態の品質を
評価することが可能
• 現在のセキュリティギャップを表示
• 関連を説明
• 開発者に、既存の問題を簡単に修正する方法について詳細な指示を提示
• セキュリティをCIプロセスに早期に統合することで、将来のオーバーヘッドと遅延を
劇的に削減
• 事後修正ははるかに高価
• 開発プロセス中に依存関係が生じるため、必要な修正が実際的ではない
場合がある
IoT機器のライフサイクルを通したセキュリティ対策(4)
30© 2019 Dai Nippon Printing Co,.Ltd. All Rights Reserved.
• 導入後
• IoTランタイムの防御エージェントにより以下が可能になる:
• 追加の防御線を追加する
• 既知、未知の脅威からの防御
• 他のネットワークコンポーネントへの可視性 例)NACとの統合
• エンドデバイス自体のランタイムセキュリティは、様々な脅威やゼロデイ攻撃に
対処するために不可欠
• 課題:デバイス独自の属性と潜在的な脅威に基づいてデバイス固有の
保護を実現すること
• デバイスの技術的範囲や乏しいリソースに合わせたスケーラブルなソリューション
IoT機器のライフサイクルを通したセキュリティ対策(5)
31
18
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
Embedding Security by Design設計フェーズからの組み込みセキュリティ
32 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
VDOOソリューション概要
33
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
アップロードされたファームウェアのセキュリティ状態
各種セキュリティ規格への対応、脆弱性やその対応方法を可視化
ファームウェアのバイナリファイルを分析エンジンにアップロードするだけの簡単操作
ソースコード不要!
アップロードされたファームウェア専用のセキュリティエージェントを
自動生成により出荷後のセキュリティ対策も可能
VDOOソリューションの特徴
34 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.
VDOO Vision 分析レポート(例)
35
19
© 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
まとめ
• サイバー攻撃のターゲットはITからIoTへ
• IoT機器に対するサイバー攻撃は急激な増加傾向にある
• デバイスのライフサイクル全体をカバーする包括的な
セキュリティ対策が必要
• 運用時には、単一障害点(SPOF)をつくらないような
多層防御が重要
36 © 2019 Dai Nippon Printing Co., Ltd. All Rights Reserved.Confidential
MEMO MEMO
20
16:05-16:45
Webサイトへの攻撃手口と対策
株式会社ブロードバンドセキュリティセキュリティサービス本部 セキュリティ情報サービス部芦原 聡介
本講演は、投影データの配布がございませんので前方のスクリーンをご覧ください。
MEMO
MEMO MEMO
21
スマホアプリへの攻撃手口と対策
株式会社DNPハイパーテック
國澤 佳代
大日本印刷株式会社高藤 寿人
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
はじめに
モバイルアプリにおける
⚫ クラッキングの手口
⚫ セキュリティ対策の考え方
をお伝えします。
本セクションのゴール
2
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
はじめに
スピーカー紹介
大日本印刷株式会社セキュリティソリューション本部サービス企画開発部 第1G
Kayo Kunisawa
國澤佳代Hisato Takato
高藤 寿人
株式会社DNPハイパーテック研究開発部 エンジニア
2016年 DNPハイパーテックに入社。Android/Linux環境での解析技術研究や製品開発。
講演:CEDEC2019リバースエンジニアリングとチート事例から学ぶセキュリティ対策
2015年に大日本印刷入社。DNPハイパーテックに2年間の出向後、本社にてセキュリティ商材の販促・技術支援を担当する。
講演:CEDEC2018セキュリティ会社のエンジニアが伝えたい2018年のチート事情
3 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
はじめに
アプリ開発者が開発に打ち込めるような環境を作りたい
⚫ ゲームやパソコンが何故動くかに興味
⚫ パズルのように弱点を探す行為が楽しい
攻撃 防御
4
22
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
はじめに
1. クラッキングによる被害事例
2. アプリを守るセキュリティ対策とは
3. モバイルアプリのクラッキングと対策デモ
セクション内容
5 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
クラッキングによるアプリの被害事例
クラッキングによる被害事例
ゲームアプリ
チート行為、課金回避
⚫ ゲームバランスの崩壊
⚫ 収益の低下
⚫ ゲームのイメージ低下
乗っ取りによる不正制御
⚫ 遠隔から不正に制御され
る
⚫ プライバシーの侵害
⚫ 実世界にまで被害が及ぶ
(命の危険性も)
スマートリモコンアプリ
⚫ 不正利用が多発
⚫ 個人情報の漏えい
⚫ 被害者に対する全額補償
なりすまし、不正決済
スマホ決済アプリ
6
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
クラッキングによる被害事例
コネクテッドカー用アプリ 9種類のうち、マルウェアから保護されているアプリはゼロ
https://securelist.com/mobile-apps-and-stealing-a-connected-car/77576/
7 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
なぜクラッカーに狙われるのか?
セキュリティ対策をしていない‼
クラッキングによる被害事例
8
23
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
モバイルアプリは情報の宝庫
⚫ アプリを何度も実行することで、仕組みを検証できる
⚫ アプリからソースコードを復元し、ロジックなどを調査できる
クラッキングによる被害事例
9 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
クラッカーには、アプリがこう見えている!
Pass
ID
Login
利用しているOSSは?
ログイン何回失敗できる?
パスワードは何文字?
ソースコード解読できる?
リクエストとレスポンス情報は?
クラッキングによる被害事例
10
ハッキング・クラッキングを阻止するためのセキュリティ対策が重要
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
重要技術管理体制強化事業-経済産業省https://www.meti.go.jp/main/yosan/yosan_fy2019/pr/ip/keikyo_10.pdf
経済産業省
コード決済に関する統一技術仕様ガイドライン-経済産業省
https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/03/CPM_Guideline_1.1.pdf
クラッキングによる被害事例
セキュリティ対策への取り組み
11 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
金融庁、キャッシュレス決済事業者へ集中検査-セキュリティ通信https://securitynews.so-net.ne.jp/news/sec_30057.html
金融庁
CCDS 製品分野別セキュリティガイドライン_スマートホーム編1.0版
https://www.ccds.or.jp/public_document/index.html#guidelines-smarthome_1.0
セキュリティ対策への取り組み
クラッキングによる被害事例
CCDS
データ暗号化
鍵管理
12
24
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
クラッキングによる被害事例
何をどうやって対策すればいいの?
13 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
1. クラッキングによる被害事例
2. アプリを守るセキュリティ対策とは
3. モバイルアプリのクラッキングと対策デモ
セクション内容
14
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
セキュリティ対策の種類
アプリを守るセキュリティ対策とは
企業の製品・サービスを守る
ウイルス対策ソフト
① 実行環境を守る ② 問題を修正する ③アプリケーションを守る
一般脆弱性への対策
APP
アプリ堅牢化
15 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
②一般脆弱性へのセキュリティ対策
アプリ診断
プログラムチェック
アプリの権限確認
⚫ 余分なOSS、コードの排除
⚫ セキュアコーディング
⚫ プログラムの脆弱性診断
ファイルアクセス、適切なパーミッション設定
16
アプリを守るセキュリティ対策とは
25
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
③アプリ堅牢化によるセキュリティ対策
静的解析
動的解析
ファイルの暗号化
コード改ざん対策
コード難読化
デバッガ対策
実行端末の制限
暗号強度がつよいものを使用する
ハッシュ値の保存/パラメータチェック
難読化ツールを導入する(ワンパターン/既知のものだと解読されやすい)
デバッガからのアタッチを確認する
特徴的なパラメータから判断する
静的解析:見た目やソースコードから解析Tips 動的解析:アプリを実行しながら動きを見て解析
17
アプリを守るセキュリティ対策とは
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
【実施例】アプリ堅牢化によるセキュリティ対策
実装のしやすさ・解読の困難さから、排他的論理和(XOR)が有名
os.BuildやgetRadioVersion()を確認
USBデバッグオプションのON/OFFを確認する、setting.Global.ADB.ENABLEを実装する。https://developer.android.com/reference/android/provider/Settings.Global
SafetyNet Attention APIを利用する。※GoogleがAndroid向けに提供しているAPIで、アプリを実行する端末のセキュリティチェックを実施するhttps://developer.android.com/training/safetynet/attestation
データの暗号化
不正端末(Root)の検知
USBデバッグの検知
エミュレータの検知
参考資料
18
アプリを守るセキュリティ対策とは
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
アプリを守るセキュリティ対策とは
ただし、堅牢化対策は難しい・・・
⚫ コード難読化や、動的解析対策はアプリ開発とは異なる専門的な技術知識が必要
⚫中途半端な対策ではクラッキング被害と場当たり的な対策を繰り返す”いたちごっこ”になりかねない
アプリリリース前に商用セキュリティツールで対策することも考慮
19 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
アプリ堅牢化ソフト CrackProof
⚫ 国産の解析・改ざん対策ソリューショ
ン
⚫ 簡単な作業でアプリを堅牢化
⚫ マルチプラットフォーム対応
(Android, iOS, Windows, Linux)機能一例静的解析対策
ファイル暗号化
コード難読化
コード改ざん対策
動的解析対策
デバッガ対策
改造端末対策
メモリアクセス対策
アプリを守るセキュリティ対策とは
✓
✓
✓
✓
✓
✓
20
26
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
アプリリリース前に実施すべき項目
遵守するガイドラインのセキュリティ要件を確認✓
設計・開発におけるセキュアコーディングガイドを活用✓
ソースコード診断の実施(脆弱性チェック)✓
過不足のないパーミッション設定か検証✓
アプリ脆弱性診断の実施✓
堅牢化対策を実施して耐タンパ性を向上✓
21
アプリを守るセキュリティ対策とは
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
参考となるサイト・書籍
国内のソフトウェアなどの脆弱性情報および対策情報を提供しているサイトJPCERTコーディネーションセンター、IPA - https://jvn.jp/
安全なソフトウェア開発のためのコード規約/パーミッション設定JPCERTコーディネーションセンター、IPA - https://www.jpcert.or.jp/securecoding/
JVN(Japan Vulnerability Notes)の確認
セキュアコーディングの閲覧
堅牢化対策に関する知識
ソフトウェアのリバースエンジニアリングとその対策方法を紹介リバースエンジニアリングバイブル、インプレス - https://www.amazon.co.jp/dp/4844334794
アセンブラの読み方から、実際にソフトウェアのハッキング方法を分かりやすく解説楽しいバイナリの歩き方、技術評論社 - https://www.amazon.co.jp/dp/4774159182
参考資料
22
アプリを守るセキュリティ対策とは
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
セクション内容
1. クラッキングによる被害事例
2. アプリを守るセキュリティ対策とは
3. モバイルアプリのクラッキングと対策デモ
23 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
プレイヤーの体力
プレイヤーの攻撃力
攻撃ボタン
課金アイテム
敵の体力
モバイルアプリのクラッキングと対策デモ
今回クラッカーに狙われたゲームアプリ
端末 Android
開発環境
Unity
強い敵に対し、課金アイテムを利用して何度も挑戦させる想定
24
27
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
Demoまずは普通に挑戦モバイルアプリのクラッキングと対策デモ
25 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
クラッキング開始!モバイルアプリのクラッキングと対策デモ
Demo
26
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
なぜクラッキングされてしまったのか……モバイルアプリのクラッキングと対策デモ
原因の一例……
⚫ソースコードが簡単に復元可能
⚫改ざん箇所が直ぐに特定できる
ゲームに限らずあらゆるアプリに
危険が存在
27 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
クラッカーが狙うポイント
APP
端末内部領域
外部領域
アプリ内部
署名
モバイルアプリのクラッキングと対策デモ
28
28
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
今回クラッカーが狙ったポイントモバイルアプリのクラッキングと対策デモ
⚫ 攻撃はひとつの方法を達成すれば成功
⚫ 防御は多くの攻撃方法から守れなけれ
ば成功とはいえない
APP
端末内部領域
外部領域
アプリ内部
署名
29 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
jarsigner
apktool adb
目的に沿った解析/改ざん
改ざんオリジナルアプリ 解凍 再パッケージ化/署名
改造アプリ
Android
改造アプリの作成モバイルアプリのクラッキングと対策デモ
apktool
30
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
apktool
Cydia Impactor
jarsigner
apktool adb
目的に沿った解析/改ざん
Clutch
改ざんオリジナルアプリ 解凍 再パッケージ化/署名
改造アプリ
iOS
Android
改造アプリの作成モバイルアプリのクラッキングと対策デモ
アプリはモバイル端末から容易に出し入れ可能
31 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
Android
改ざんオリジナルアプリ 解凍 再パッケージ化/署名
改造アプリ
改造アプリの作成モバイルアプリのクラッキングと対策デモ
改造に使用するツールもwebから簡単に入手可能
jarsigner
apktool adb
目的に沿った解析/改ざん
apktool
32
29
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
Android
改ざんオリジナルアプリ 解凍 再パッケージ化/署名
改造アプリ
改造アプリの作成モバイルアプリのクラッキングと対策デモ
jarsigner
apktool adb
目的に沿った解析/改ざん
apktool
アプリを堅牢化して解析/改ざんから強固に守る
33 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
モバイルアプリのクラッキングと対策デモ
静的解析
動的解析
ファイルの暗号化
コード改ざん対策
コード難読化
デバッガ対策
実行端末の制限
暗号強度がつよいものを使用する
ハッシュ値の保存/パラメータチェック
難読化ツールを導入する(ワンパターン/既知のものだと解読されやすい)
デバッガからのアタッチを確認する
特徴的なパラメータから判断する
ふり返り!
堅牢化(耐タンパ)によるセキュリティ対策
34
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
セキュリティ対策実施!モバイルアプリのクラッキングと対策デモ
APP APP
セキュリティ対策を盛り込んだCrackProofで、アプリを堅牢化処理していきます!
35 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
CrackProofによる堅牢化処理(ブラウザ経由)モバイルアプリのクラッキングと対策デモ
Demo
36
30
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
CrackProofの特長
誰でも、手間なく、アプリを堅牢化
CrackProofはアプリを直接処理しソースコードへの組込作業がほぼ不要開発者に負担を与えない
※一部組み込みが必要な場合有
多角的な攻撃を防ぎ、大事なアプリケーションを守ります
セキュアコーディングや難読化では完全に防ぐことができないCrackProofは様々な攻撃を阻止
アプリのパフォーマンスを損ねません
アプリの実行速度にほぼ影響を与えないユーザビリティを損ねずに堅牢性を高める
セキュリティを柔軟にチューニング可能
セキュリティオプションを選択しアプリの動作環境に最適なセキュリティを
モバイルアプリのクラッキングと対策デモ
37 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
もう一度!クラッキングに挑戦!モバイルアプリのクラッキングと対策デモ
あああああ
Demo
38
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
もう一度!クラッキングに挑戦!モバイルアプリのクラッキングと対策デモ
Demo
39 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
無事、アプリを守ることができました。モバイルアプリのクラッキングと対策デモ
対象を決めて効率よく
保護しましょう!
40
31
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
セキュリティ対策は継続が大切
APP
流行りの技術
⚫ 開発プラットフォーム⚫ プロトコル
クラッカーの成長 新しい攻撃方法/脆弱性
さいごに
41 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
APP
流行りの技術
⚫ 開発プラットフォーム⚫ プロトコル
クラッカーの成長 新しい攻撃方法/脆弱性
CrackProofも日々進化し続けます
OSアップデート対応
機能のブラッシュアップ
さいごに
42
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
付録A リバースエンジニアリングツール
静的解析
• objdump:Linux用逆アセンブルツール[3]• ILSpy、dnSpy:.NETで作られたプログラムの逆コンパイルツール[4,5]• IDApro、Ghidra:汎用逆アセンブルツール[6,7]
表層解析
• file:フォーマット情報取得ツール(Linux)[1]• dumpbin:フォーマット情報取得&逆アセンブルツール(Linux)[2]
動的解析
• (ndk-)gdb:Linux,android用デバッガ[8]• radare2:gdbを参考に作られた拡張ツール[9]• WinDbg:Windows用デバッガ[10]
[1]~[3],[8]は基本的にLinux標準搭載 [4] https://github.com/icsharpcode/ILSpy/releases [5] https://github.com/0xd4d/dnSpy
[6] https://www.hex-rays.com/products/ida/ [7] https://ghidra-sre.org/ [9] https://github.com/radareorg/radare2 [10]は基本的にwindows標準搭載
参考資料
43 Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
AndroidOS,iOSのFramework自体を動的に書き換えるツール
• apktool:apkの分解・再構築ツール[4]• dex2jar+JD-GUI:dexファイルの逆デコンパイルツール[5,6]• jarsigner:apkの再署名ツール[7]
付録B リバースエンジニアリングツール
apkの改変
• Xposed:Android用Framework改ざんツール[1]• FRIDA:Android用Framework改ざんツール[2]• Cydia impactor:iOS用Framework改ざんツール[3]
[1] https://repo.xposed.info/module/de.robv.android.xposed.installer [2] https://www.frida.re/docs/android/ [3] http://www.cydiaimpactor.com/
[4] https://ibotpeaches.github.io/Apktool/install/ [5] https://github.com/pxb1988/dex2jar [6] https://github.com/java-decompiler
[7]はJDK(java developer kit)インストール時に同梱される
参考資料
44
32
Copyright © 2018,19 DNP HyperTech Co., Ltd. All rights reserved.
ご清聴ありがとうございました!