トップへ戻る

IoTセキュリティ診断 SQAT IoT

ネットワークと繋がったIoTデバイスを攻撃者視点で診断します

IoTデバイス実機を使用し、動的解析を実施。デバイス単体の検査はもちろん、機器の特性・利用シーンに合わせた項目を選定し、効果的・効率的な診断を実施します。

サイバー保険付帯 | 詳細を見る

IoTデバイスが抱えるリスク

国の提唱するSociety 5.0(サイバー空間(仮想空間)とフィジカル空間(現実空間)の高度な融合)の実現では、多様多数のIoTデバイスが組み合わさり情報が活用されるが、利便性の一方で、ネットワーク接続された環境は、常にサイバー攻撃のリスクに曝されることになるため、安全なスマートシティ実現に向けて、サイバーセキュリティ対策(ハッキング対策)は肝要となっています。

なかでも、
  • 何が繋がっているのか分からない(リスクのある機器と繋がっている可能性)
  • 家庭の機器への接続(繋がりの不安が家庭内にも)
  • 異なる分野の業界連携ができていない(他分野の機器の信頼性が分からない)
といった、これまでセグメント単位で守ることが可能であったPCやサーバ類とは異なるセキュリティアプローチが求められています。

BBSecで検証した脆弱性の事例

  • スマートタグ(忘れ物/迷子防止タグ)の位置(GPS)情報の改ざんによる無効化
  • スマートロックの制御用アプリから、プロトコルを解析することでドアを不正開錠
  • 防犯用IoTセンサーへ、BLE通信を用いてファームウェア書き換え機能を無効化
  • ホテルの部屋に設置されたスマートTVから、バックヤードシステムへアクセス
  • 無線LANアクセスポイントデバイスでの任意コマンド実行/root権限奪取

サービスの概要

IoT診断

IoTデバイスそのものに対する診断

  • 対象のデバイス固有の機能(各種プロトコル・インタフェース接続)を利用し、攻撃者にとって有益となる「不正操作」「情報の窃取」「踏み台化」が可能であるかを診断します。また、利用されているOS/ミドルウェアの既知の脆弱性の有無も確認します。

スマホアプリ診断

IoTデバイスを制御するスマホアプリの診断

  • 総務省が提言する「関係事業者向け スマートフォン利用者情報取扱指針」で示された6つの基本原則を考慮し、JSSEC セキュアコーディングガイド、OWASP Mobile Top10に基づきセキュリティ診断を実施します。

API診断

IoTデバイス ⇔ サーバ間の通信の診断

  • APIサーバに対するリクエスト/レスポンスを検証、攻撃者と同じ観点であるブラックボックステスト・疑似攻撃による検証を行います。OWASP Top10などの標準を網羅することはもちろんのこと、最新の脆弱性に対応したシグネチャによる検証も行います。

発見された脆弱性に対し、CVSS(Common Vulnerability Scoring System)、OWASP Top10、CWE等、国際的な脆弱性評価基準をもとに、弊社独自の基準を適用し脆弱性のランク付けを行います。診断によって洗い出された問題点は一つ一つ誤検知・過検知を取り除くとともに、対象システムの特性や攻撃の難易度等によりリスク評価を行います。また、お客様の業種やシステム環境、保持している情報の種類等、他の要因も考慮したリスク分析により、どの問題部位に修正を施すべきかどうかを正確に確認することができます。

IoT脆弱性診断サービス概要

診断項目

IoT診断

IoTデバイス実機を使った動的解析を実施します。デバイス単体の検査はもちろん、機器の特性・利用シーンに合わせた項目を選定し、効果的・効率的な診断を実施します。

大項目 中項目
インタフェース
  • Webインタフェース(XSS)
  • Webインタフェース(CMDi)
  • パラメータ推測
  • クラウドインタフェースの制御
  • Webインタフェース(SQLi)
  • Webインタフェース(CSRF)
  • 例外処理に関する問題
  • 物理インタフェースの制御
認証/認可
  • ログイン・認証処理に関する調査
  • セッションID・トークンに関する調査
  • パスワードの強度に関する調査
  • 不適正な権限管理
ネットワークサービス
  • オープンポートの状態
  • NWレイヤの既知の脆弱性
暗号化・難読化
  • 個人情報・決済情報などの管理
  • 暗号化のロジック
  • 耐タンパー性
システム情報・ポリシー
  • システム情報の開示・エラーメッセージの表示
  • プライバシーの取り扱い
  • ファーム/ソフトウェアの既知の脆弱性

※ 診断項目は一例です

スマホアプリ診断

実機を使った動的解析とAPK(Android)・IPA(iOS)ファイルの静的解析を実施します。
基本的には攻撃者と同じ観点であるブラックボックステストを実施します。

大項目 中項目※1
通信診断
  • 不正通信の有無(不要な情報の送信・意図しないサーバとの通信)
  • 重要情報の送信における不備(個人情報・ID/パスワード・決済情報)
  • SSL/TLS暗号化通信の検証(証明書・暗号化方式)
端末内データ診断
  • データ保持における不備(File,Database等での平文保持)
  • データ改竄による不正行為(チート・課金回避)
  • ログへの重要情報の出力(個人情報・ID/パスワード)
  • パーミッションの設定不備※2
  • SDカードへの機密情報の出力※2
バイナリ診断
(プラチナプランのみ)
  • アプリ間連携・共有機能のアクセス制御不備※2
  • WebView関連の問題点の有無
  • 難読化・耐タンパー性の確認
  • プロトコルの解析(HTTP以外)
  • リバースエンジニアリングによる解析(ソースコード・ロジック)

※1 診断項目は一例です
※2 iOSアプリは対象外です

API診断

APIサーバに対するリクエスト/レスポンスを検証・疑似攻撃による検査を実施します。
基本的には攻撃者と同じ観点であるブラックボックステストを実施します。

大項目 中項目
入出力処理
  • クロスサイトスクリプティング
  • コマンドインジェクション
  • パラメータ推測
  • オープンリダイレクト
  • SQLインジェクション
  • パスマニピュレーション
  • 例外処理に関する問題
  • CRLFインジェクション
認証
  • ログイン・認証処理に関する調査
  • パスワードの強度に関する調査
セッション管理
  • セッションID・トークンに関する調査
  • クロスサイトリクエストフォージェリ
  • セッションハイジャック・固定化
  • アカウントの権限に関する調査
重要情報の取り扱い
  • 個人情報・決済情報などの管理に関する調査
  • キャッシュ制御に関する調査
  • 強制ブラウジング
システム情報・ポリシー
  • システム情報の開示・エラーメッセージの表示
  • ディレクトリリスティング
  • ソフトウェアの既知の脆弱性

※ 診断項目は一例です

診断の流れ

STEP 01

診断前準備・調査※1

  • 予備調査
  • 機能/電文の確認
  • 対象APIの機能分析
STEP 02

診断実施※2

  • 脆弱性診断
  • 複数ツールによるスキャン
  • ホワイトハッカーによる擬似攻撃
  • バイナリ解析※3
  • エビデンス取得リスク評価
STEP 03

報告書作成~報告会

  • 報告書作成
  • BCPに対するリスク評価
  • トレンドにもとづく脅威評価
  • 報告会
STEP 04

診断保守

  • 結果報告後の対応
  • 再診断※4
  • ソースコード診断 CPE Core※4

※1 : API診断をご依頼の場合のみ実施いたします。
※2 : 重大な問題点を検出した場合は「速報」として随時ご報告いたします。
※3 : バイナリ解析は「スマホアプリ プラチナ診断」をご依頼の場合に実施いたします。
※4 : オプションメニュー(有償)となります。詳細は弊社営業担当までご連絡ください。

資料請求・お問い合わせ 資料請求・お問い合わせお問い合わせフォームへ

関連サービス

  • WEBアプリケーション脆弱性診断
    SQAT for Web

    WEBサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、不正アクセスの入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時の脆弱性初期診断だけでなく、定期的な実施など既存システムの脆弱性対策の確認にも活用することをおすすめしています。

  • スマホアプリ脆弱性診断
    SQAT for Smartphone

    通信を必要とするスマートフォンアプリに対し、端末にインストールされるアプリケーション・サーバ双方の脆弱性診断を行います。

  • ソースコード自動診断
    Cracker Probing-Eyes Core

    アプリケーションのソースコードをアップロードするだけで、ソースコードの脆弱性と 品質の診断を行えるSaaS型品質分析自動ツールです。