ブログ

FFRI BLOG

Monthly Research 「Windows10 IoTのセキュリティについて

 今回のMonthly Researchでは、今夏にリリースが予定されているIoTデバイス向けOSであるWindows 10 IoT Coreのセキュリティについての調査結果をレポートします。

 Windows 10には一般家庭向けのHomeや、仮想化技術のHyper-V、暗号化機能のBitLockerなどの機能が追加された Pro など7種類のエディションが存在します。その内の1エディションであるWindows 10 IoTは、組み込み端末を対象としたWindows Embeddedをリニューアルするものになります。Windows 10 IoTエディションには、更に下記の3種類が存在します。

  ・Windows 10 IoT for Industry Devices
  ・Windows 10 IoT for Mobile Devices
  ・Windows 10 IoT for Small Devices / Windows 10 IoT Core

 レポートでは、マイコンボードなど小型コンピュータに最適化された Windows 10 IoT Coreについて、国内外で非常に人気の高いシングルボードコンピュータであるRaspberry Pi 2上で動作させて調査を行っています。
 ただし、調査対象はWindows 10 IoT Core Insider Previewという開発者向けプレビュー版であるため、レポートの内容は正式版として発売されるWindows 10 IoT Coreとは異なる可能性がある点についてご了承ください。

 はじめにチュートリアルとして、Raspberry Pi 2で動作するWindows 10 IoT CoreからGPIOをコントロールし、赤色LEDを点滅させるPythonプログラムを実行する方法について解説しています。Windows 10 IoTでは、アプリの開発にPython や C# などの人気のあるプログラミング言語が使用でき、Windows.Devices APIを用いて、非常に簡単にGPIOをコントロールすることができます。
 一方、デフォルトの設定ではVisual Studioを用いてリモートのデバイスに対してプログラムの転送と実行する際に認証が要求されない点などセキュリティ上の懸念点がいくつかありました。
 ポートスキャンおよびWebインタフェースや各種ネットワークサービスの調査をふまえてWindows 10 IoTに対する脅威分析を行いました。その結果、次のような脅威と対策が考えられました。

【想定される脅威】
1. 管理者へのなりすましや乗っ取り(不正アクセス)
   セットアップ時にアカウント設定ウィザードがないため、ビルトインアカウント
   Administrator がデフォルトパスワードのまま運用される可能性があり、
   不正アクセスされる恐れがある。
2. パスワードクラッキング
    ftp, http, ssh の認証に対してパスワードクラッキングが行われる恐れがある。
3.  盗聴によるアカウント情報の流出
    ftp, http 通信が盗聴され認証情報が流出する恐れがある。
4. プログラムやデータの流出
   デフォルトで稼働している FTP サービスを介してプログラムやデータが
   流出する恐れがある。
5. マイコンボードに接続されたハードウェアの不正操作
   マイコンボードに接続されたハードウェア(カメラ、スイッチ等)を
   不正操作される恐れがある。
6. プログラムやデータの改ざん、マルウェア感染
   Visual Studioから認証不要でコードが実行できるため、それを悪用したワーム等が
   流行する恐れがある。

【考えられる対策】
1.管理用ユーザーを新たに追加し、複雑なパスワードを設定する。
2.ファイアウォールで必要最低限の通信のみ許可する。
3.不必要なサービスを停止する。
4.安全な暗号通信を行う。
5.物理セキュリティを確保する。

詳しい技術情報についてはPDFのスライドをご覧ください。


Monthly Researchのダウンロードはこちら


関連記事

Monthly Research 「次世代の車載ネットワークと現状のセキュリティ研究動向」

Monthly Research 「WordPressの脆弱性を狙ったWeb改ざん攻撃」

Monthly Research 「Windows 10 Technical Preview セキュリティ機能概要」

pagetop