組み込み機器・IoTセキュリティ診断

概要

IoTデバイスの急速な普及によって、サイバー攻撃の対象と考えられる組み込み機器に対するセキュリティは近年重要視されています。
サイバーディフェンス研究所では様々な組込み機器を対象に、機器単体の解析や機器の有する通信機能・ネットワークサービスへの擬似攻撃を行います。異常パケット送信によるロバストネスの評価に限定したものではなく、基板、シリアルコンソール、IC単体、機器間通信、無線通信、Webインターフェース、ファームウェア解析など、物理層からアプリケーション層までの全てを対象としたペネトレーションテストを実施、機器に内在するセキュリティ上の問題点を様々な角度から検証し、機器のセキュリティ向上及びお客様の品質管理の向上を支援します。

IoTデバイス・組み込み機器に関するペネトレーションテストのイメージ。物理層からアプリケーション層までの全てを対象とした様々な攻撃手法を検討します。

サービス詳細

特徴

多彩な攻撃アプローチ

機器の分解を伴う基板上攻撃やファームウェアの解析、機器の有する通信インタフェースやWebUIへの攻撃、あるいは機器と連携するシステム・アプリケーションを介する攻撃など、様々な攻撃口からの診断を行います。

参考:組み込み機器の診断手法( CDIエンジニアブログ

最適な攻撃ツールや治具の検討・開発

機器の構成要素や仕様を把握し、攻撃手法の検討を行った上で、対象機器への攻撃に有効な攻撃ツールや治具の準備、必要に応じて開発までを行い、最適な手法により診断を実施します。

豊富な経験と高い技術力

組込み機器開発経験者、組込み機器関連プロトコルの実装経験者、バイナリ解析技術者など組込み機器診断に必要な経験と技術力を備えたメンバで対応します。

サイバーディフェンスが誇る専門チーム

サイバーディフェンス研究所には、国際的なCTF入賞経験のあるエンジニアに代表される優れたペネトレーションテスターに加えて、法執行機関での勤務経験者、脅威リサーチャー、重要インフラ制御システムの開発者など様々な専門性を持ったエキスパートが在籍しています。


サイバーディフェンス研究所なら、顧客の事業リスクを正確に捉え、守るべき対象を深く理解し、攻撃者と同様の思考に基づき卓越した攻撃を実行することによって、真の脅威を顕在化させるだけでなく、実効性のある対策の助言が可能です。

診断項目

診断項目はサービス実施内容をお打ち合わせさせて頂き決定します。一般的なネットワーク/Webアプリケーションの診断項目に加え、下記のようなハッキングが可能です。

No.タイトル概要
1. バスの盗聴 基板上に流れる電気信号を取得し、暗号鍵やID/パスワードなどの認証情報を取得できないか試行します。
2. デバッグ用インタフェースの調査 基板上の電気信号を調査し、デバッグ用のログやコンソールの有無を調査します。
3. 動作モードの変更 プロセッサやマイコンのブートモード、基板上のジャンパなどを利用することで組み込み機器の動作モードを変更し、保護を迂回できないか調査します。
4. 記憶媒体の調査 フラッシュメモリなどの媒体を基板から取り外し、保存されているファームウェアや設定情報の入手を試みます。
5. ファームウェアの解析 ファームウェアから、処理のロジックや暗号化方式など組み込み機器の挙動を調査します。
6. ファームウェア改ざん 暗号化や署名検証の有無を確認し、ファームウェアを改ざんできないか試行します。
7. 通信の盗聴と解析 有線/無線に関わらず組み込み機器が行う通信を盗聴し、通信内容を解析します。
・IEEE802.11a/b/g、Wi-Fi(5GHz帯、2.4GHz帯)
・Bluetooth(2.4GHz帯)
・IEEE802.15.4、ZigBee、Wi-SUN(920MHz帯)

サービスフロー

組み込み機器に関する脆弱性診断(ペネトレーションテスト)の一連の流れ。診断対象機器の選定やNDAの締結といった事前調査、お見積もりのご提示、対象機器に関する情報の把握と攻撃ツールの準備・開発を経て実際に診断を実施いたします。診断後は結果を分析して報告書を納品し、ご希望であれば修正箇所に関する再診断を行います。

費用

対象となる機器の仕様、構成などを伺った上で最適なお見積りをご提案致します。予算に応じた診断範囲をご提案することも可能です。下記お問い合わせよりお気軽にご相談ください。


その他のセキュリティ診断(脆弱性診断)サービスについて

サイバーディフェンス研究所ではアプリケーションのみならず、ネットワークや組み込みデバイス、制御システムなどを対象に、一流のセキュリティエンジニアによる高品質な診断サービスを提供しています。セキュリティ課題の解決ならサイバーディフェンスにご相談ください。

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com