BlackHat USA 2019 での制御セキュリティ関連講演のまとめ

      

概要


ここでは、2019/8/3-8 にかけてラスベガスで開催された BlackHat USA 2019 の講演(Briefing)においての制御システムセキュリティ関連の内容をまとめている。
BlackHat で講演される内容は、重大な脆弱性を発見したという内容も多くあり、講演後には大きなニュースになったりしている。

本記事を参考にしていただき、最新の制御セキュリティトピックスについて理解を深めていただければ幸いである。
(※別途、DEF CON 27 の講演内容のまとめについても作成していく。)

      

1.制御システムへの攻撃に関する講演


まずは、BlackHat USA 2019 の Briefing で講演された制御システムへの攻撃に関する講演についてまとめる。BlackHat の講演は、防御と同じかそれ以上に攻撃に関する内容が多いことが特徴である。

制御システム関連に対する新しい攻撃手法の傾向として、無線への攻撃やファームウェア・ハードウェアレベルでの攻撃が多くあり、リバースエンジニアリングにより脆弱性を発見し、攻撃を実証するという流れである。

特に、Tencent と BMW の講演は、車両に対してかなり詳細にリバースエンジニアリングしており、BlackHat らしさを感じる。

     

■ Legal GNSS Spoofing and its Effects on Autonomous Vehicles | SwRI

(法的GNSSスプーフィングと自律車両への影響)
自動車の GPS Spoofing の脆弱性テストを合法的に実施するシステムについて、 Southwest Research Institute の研究者が発表。
全地球航法システム衛星(GNSS: Global Navigation Satelite System)や GPS(Global Positioning System: 米国が開発したGNSS)は、正当な信号かを検証する整合性メカニズムがなく、Spoofing(なりすまし) 攻撃に対して脆弱である。
GPS は、1575.42 MHz の搬送波で送信しており、信号の強さも非常に弱いため、この周波数で強い無線を流すと、容易に妨害できたり、なりすましが可能である。
また、米国連邦法で GNSS またはその他の信号の無線への Spoofing 等を許可していないため、閉鎖された実験室環境以外では脆弱性の評価が困難になっている。
そこで、米国連邦法でに適合し、法律GNSS 脆弱性の合法的な実世界評価を可能にするモバイルGNSSスプーフィングシステムを開発した。
このシステムは、車両の GPS アンテナとその GPS 信号を送信するコンポーネントから構成され、最終的にはモバイル端末で操作できるようにしたという。
このモバイルスプーフィングシステムは、無人地上車両(UGV)の脆弱性を評価するために使用され、実際のテストでは、提案システムにより、無人の車に対して、運転の操作、強制的な車線切り替え、車両の停止などを実証できたという。
https://www.blackhat.com/us-19/briefings/schedule/index.html#legal-gnss-spoofing-and-its-effects-on-autonomous-vehicles-15497
<関連・参考文献>
https://www.pcmag.com/news/370057/bogus-satellite-nav-signals-send-autonomous-cars-off-the-roa
http://www.eiseisokui.or.jp/media/pdf/seminar_01/06.pdf
https://www.u-blox.com/ja/beyond/blog/security/looming-threat-gps-jamming-and-spoofing

■ Attacking Electric Motors for Fun and Profit | George Mason University

(楽しみと利益のために電気モーターを攻撃する)
電気モータは、ほとんどの制御システム等に使用されており、電気モータへの攻撃は大きな実被害が生じる。
研究者らは、様々な電気モータを調査し、電気モータのセキュリティリスクを評価し、実際に電気モータを破壊する攻撃を実証している。
攻撃方法としては、HackRF による電波妨害による電気モーターへの攻撃、GPIO 等の Pin を操作することによる攻撃、センサーのデータ改ざを行い、この攻撃により、加速度計、PWM(Pulse Width Modulation)、Pinの入出力、電力、モータ自体のオーバーヒートと失速等を制御し、モータを破壊している。
攻撃のツリーマップも作成しており、電気モータのリスクアセスメントに利用できそうである。
https://www.blackhat.com/us-19/briefings/schedule/index.html#attacking-electric-motors-for-fun-and-profit-16141

■ All the 4G Modules Could be Hacked | Baidu Security

(すべての4Gモジュールがハッキングされる可能性がある)
15 種類の 4G モジュールに対して、セキュリティ評価を実施したという内容である。
IoTデバイスに 4G モジュールが導入されていることが多くなっており、4G モジュールに対するセキュリティ評価は実施されていないことより、本内容を実施している。
実証した攻撃としては、2G へのダウングレード、4G モジュール自体へのアクセス(4G モジュールには linux 等の OS が導入されていることを利用)、APN名の取得、ファームウェアのアップデートによる shell の操作、ネットワーク通信のキャプチャ(shell奪取より)、ADB ポートがオープンを利用したリモート攻撃、telnet のオープン、これらを組み合わせた SMS からのリモート操作等を報告している。
また、4G モジュールの内部の仕組みについても詳しく解説している。
https://www.blackhat.com/us-19/briefings/schedule/index.html#all-the-g-modules-could-be-hacked-16187

■ New Vulnerabilities in 5G Networks | ベルリン工科大学、SINTEF Digital

(5Gネットワークの新しい脆弱性)
5G のセキュリティについて評価している内容である。
5G のセキュリティの問題として、偽の基地局からアクセスできること、LTE の登録信号が平文で流れていること、実装にバグがあることを述べている。
被害用のスマホ端末を自作の 偽の LTE と自作の基地局で MITM することで、MNmap(Mobile Nmap)を実施し、端末固有情報を取得できたことを確認している。また、MITM により、LTE との接続妨害、LTE からのダウングレードを実証や NB-IoT の PSM(Power Save Mode: 何も通信しないモード)を妨害し、バッテリーを消費させる攻撃を実証している。
https://www.blackhat.com/us-19/briefings/schedule/index.html#new-vulnerabilities-in-g-networks-15279

■ Rogue7: Rogue Engineering-Station Attacks on S7 Simatic PLCs | Tel Aviv University

(Rogue7:S7 Simatic PLCに対する不正エンジニアリングステーション攻撃)
シーメンスS7 の 同じモデルの PLC はすべて同じ暗号鍵ペアを利用していることについて発表。
S7 プロトコル(Version P3)において、暗号通信のハンドシェイク時に、PLC の公開鍵が同じモデルの PLC なら、すべて公開鍵が同じという脆弱性を発見している。
偽の EWS に偽装し、PLC と通信することで、別ファイルを PLC にアップロードして、別のラダーを書き込んだりといった攻撃を実証している。
https://www.blackhat.com/us-19/briefings/schedule/index.html#rogue-rogue-engineering-station-attacks-on-s-simatic-plcs-16049

■ 0-days & Mitigations: Roadways to Exploit and Secure Connected BMW Cars | Tencent、BMW Group

(0日間と軽減策:接続されたBMW車を悪用して安全にするための道路)
新しく発見された BMW 車両への攻撃について説明している。
主に、下記の内容の攻撃を実証している。

  1. USB 経由で Ethernet を使用し、ヘッドユニットの UDS サービスの脆弱性を利用し、任意のbashスクリプトを実行
  2. ヘッドユニットのナビアップデートシステムのスタックバッファオーバフローの脆弱性を利用し、任意コードの実行
  3. ヘッドユニットの交通情報サービスの定期的な情報収集のための Provisioning profile を GSM Station で偽の情報を送り、車両専用ブラウザの Use-After-Free 脆弱性を悪用し、ブラウザのシェルを実行
  4. hu-jacinto というネットワークへのルートでのアクセス
  5. テレマティクスシステムの SMS のリクエストを受け付けるという特性を利用し、GSM を利用して偽の SMS をテレマティクスシステムに送信し、ドアの開錠と気温の制御を実行
  6. テレマティクスシステムに、スタックバッファオーバフローの脆弱性があり、偽の SMS を送付してこの脆弱性を悪用し、任意コードを実行
  7. UDS メッセージの挿入
  8. UDS メッセージにより ECU へ攻撃し、ECU のリセット、シートポジションの変更等を実行

上記に攻撃に対する対策については、リクエストごとに設定が変更されていないかを検査することで対応できると述べている。
脆弱性については、事前のセキュリティ診断とテストが重要とのこと。
https://www.blackhat.com/us-19/briefings/schedule/index.html#-days--mitigations-roadways-to-exploit-and-secure-connected-bmw-cars-15313

■ Backdooring Hardware Devices by Injecting Malicious Payloads on Microcontrollers | Sheila Ayelen Berta

(マイクロコントローラーに悪意のあるペイロードを挿入することによるハードウェアデバイスのバックドア)
マイクロプロセッサではなく、マイクロコントローラに、悪意あるコードを埋め込む手法について解説している。
ファームウェアのエントリポイントに埋め込む手法、ハードウェア周辺機器の割り込み処理のコードに埋め込む手法、スタック操作で ROP-Chain を生成することによる手法について解説している。
https://www.blackhat.com/us-19/briefings/schedule/index.html#backdooring-hardware-devices-by-injecting-malicious-payloads-on-microcontrollers-15015

■ Critical Zero Days Remotely Compromise the Most Popular Real-Time OS | Armis Security

(クリティカルゼロデイは、最も人気のあるリアルタイムOSをリモートで侵害します)
リアルタイム OS の VxWorks の脆弱性(URGENT/11)について紹介している。
MITRE には、13 個の脆弱性しか登録されておらず、約32年間で 2億個もの VxWorks が導入されているデバイスが動いている。
本研究により、VxWorks の TCP/IP Stack に 11個の脆弱性が発見し、IP オプションパーサ処理のスタックオーバフロー、RARP 可能問題、TCP の緊急ポインタ(URGENT POINTER)のアンダーフローと実装不備等を説明している。
https://www.blackhat.com/us-19/briefings/schedule/index.html#critical-zero-days-remotely-compromise-the-most-popular-real-time-os-15559

      
      

2.制御システム関連の防御手法


続いて、制御システム関連の防御手法の講演内容についてまとめる。

防御手法の講演の中で、センサのノイズから攻撃を検知する手法があり、着眼点が面白い。また、攻撃の講演内容から分かり通り、ファームウェアレベルでデバイスを解析し、脆弱性や設定の不備を数多く発見していることより、攻撃者も同じような方法でファームウェアレベルで解析をしていると予測される。

IoT の普及に伴い、ファームウェアやハードウェアのセキュリティ対策が今後は充実してくるのではないかと推測している。

      

■ Sensor and Process Fingerprinting in Industrial Control Systems | Cyxtera Technologies、シンガポール工科大

(産業用制御システムのセンサーおよびプロセスフィンガープリンティング)
シンガポール工科大の SWaT(Secure Water Treatment Testbed) と呼ばれる水処理システムのテストベッドで、攻撃の実証とセンサーノイズの特徴を利用した防御手法について報告している。
攻撃手法としては、MITM を実行した上で、センサーからの値を改ざんし、PLC に送信することで、誤った制御を実施できる。
この攻撃を防ぐために、センサーのノイズの特徴をフィンガープリンティングし、MITM した場合のノイズを検知して攻撃から防御する手法を提案している。
https://www.blackhat.com/us-19/briefings/schedule/index.html#sensor-and-process-fingerprinting-in-industrial-control-systems-16102

■ Come Join the CAFSA - Continuous Automated Firmware Security Analysis | Cruise Automation

(CAFSA-継続的な自動ファームウェアセキュリティ分析に参加してください)
制御システム等に導入されるファームウェアのセキュリティを分析する FwAnalyzer (OSSである) というツールについて発表している。
セキュアなファームウェアを作成することは困難な作業であり、不備等が含まれていると、製品回収や対応が非常に大きな問題となる。
FwAnalyzer は、ファームウェアのファイルシステムを分析し、suid の存在、ファイルへの書き込み許可、UID/GID の値、不要なファイルの存在等をチェックし、JSON 形式でレポートを出力してくれる。
なお、脆弱性を発見するツールではない。
https://www.blackhat.com/us-19/briefings/schedule/index.html#come-join-the-cafsa---continuous-automated-firmware-security-analysis-14918
https://github.com/cruise-automation/fwanalyzer

■ Cybersecurity Risk Assessment for Safety-Critical Systems | Honeywell

---------------------------      
(安全重視システムのサイバーセキュリティリスク評価)
Honeywell のリスクアセスメント手法を用いて、セキュリティ評価を実施した内容について説明している。
セキュリティアーキテクチャを作成し、それぞれにスコアを分配する。そして、攻撃シナリオのモデルを作成し、最終的な脅威指標を算出する、といったリスクアセスメントの流れである。
https://www.blackhat.com/us-19/briefings/schedule/index.html#cybersecurity-risk-assessment-for-safety-critical-systems-15631

■ Transparency in the Software Supply Chain: Making SBOM a Reality | NTIA(US Dept of Commerce)

(ソフトウェアサプライチェーンの透明性:SBOMの実現)
SBOM(Software Bill of Material)というソフトウェアの透過性を評価するための部品構成表を米国商務省の NTIA(電気通信情報局)が作成しており、その SBOM について解説している。
ソフトウェアは、複数のコンポーネント(オープンソース、商用ソフト)から作成されることが多く、それらのコンポーネントを見えるかしたものが SBOM である。
SWID と SPDX という SBOM のデータを相互にやり取りするフォーマットも説明している。
https://www.blackhat.com/us-19/briefings/schedule/index.html#transparency-in-the-software-supply-chain-making-sbom-a-reality-16265

■ The Future of Securing Intelligent Electronic Devices Using the IEC 62351-7 Standard for Monitoring | Nozomi Networks

(監視のためのIEC 62351-7標準を使用したインテリジェント電子デバイスのセキュリティ保護の将来)
IEC 62351 を使用し、OT システムの脅威を検知する仕組みについて紹介している。
IEC 62351 は、電力業界におけるデータ通信のセキュリティ要件を定義したものであり、Part 7 に IED やその他の電力制御システムのアクティブモニタリングについて記載されており、SNMPv3 ベースの監視方法について述べている。
本講演では、IEC 62351 をベースにした検知システムを提案しており、センサーやスイッチの切断を即時検知、電源障害の検知、RTU への不正ラダー書き込みの検知、HMI への攻撃を検知できたことを実証している。
https://www.blackhat.com/us-19/briefings/schedule/index.html#the-future-of-securing-intelligent-electronic-devices-using-the-iec---standard-for-monitoring-16401

■ Infighting Among Russian Security Services in the Cyber Sphere | DCSO Deutsche Cyber-Sicherheitsorganisation

(サイバー圏におけるロシアのセキュリティサービス間の内紛)
ロシアのセキュリティ事情について解説している。
https://www.blackhat.com/us-19/briefings/schedule/index.html#infighting-among-russian-security-services-in-the-cyber-sphere-14693

     
      

登録日時2019-08-20 19:52:52 +0900
更新日時2019-08-20 19:54:09 +0900