最新IoT機器のセキュリティのリスクと攻撃対策を学ぶ

IoTと車のハッキングハンズオンコース

2021年10月19日、20日、21日開講決定!受講生募集中!
次のセクションへ

急激に増加するIoTデバイス

 

従来のパソコンやスマートフォンはもとより、家電や自動車などあらゆるものにIoTデバイスが使用されており、その勢いは益々加速していきます。便利になる 反面、ネットに繋がったすべてのものに対しサイバー攻撃の脅威があることを認識しなければいけません。 すでに到来しているIoT時代において、サイバーセキュリティ対策は無視することのできない課題です。

◆世界のIoTデバイス数の推移及び予測

情報通信白書グラフ1

◆分野・産業別のIoTデバイス数及び成長率

情報通信白書グラフ2

(両グラフ図:平成29年版 情報通信白書より引用)

 

IoTと車のハッキングハンズオンコースとは?

IoTと車のハッキングハンズオンコースは、一般的に販売されているIoT機器を攻撃対象として、IoT機器のファームウェアの解析、IoT機器へのroot権限の取得など、一連の攻撃プロセスをハンズオン形式で学習いたします。
さらに、車の自動運転の技術の現状をmetasploitでお馴染みのrapid7のシュミレータを使用して疑似体験が可能です。
これにより、自動運転の概要やCAN(Control Area Network)の現状の把握、攻撃者のターゲットになりやすいIoTセキュリティを知り、IoTセキュリティの重要性やIoTハッキングの容易さを講座を通じて学べます。
IoT機器導入時のリスク及び、セキュリティチェック等の必要な対策について知識及び技術を習得し、深刻化するサイバー攻撃に対応できる人材育成につなげたいと考えております。

<到達目標>
全てのモノがインターネットに接続するIoT(Internet Of Tings)時代が到来しました。  同時にますますサイバー空間の脅威が多種多様になってきており、業種、企業規模に関わらず様々な組織に実被害をもたらしています。
この授業では、ハッキングを通じ攻撃者側の視点を学ぶことにより、IoTセキュリティの重要性とIoTハッキングが容易である事を理解し、IoT機器導入時やIoT機器設計時に考慮すべき課題、車の自動運転で使用されている技術の取得、セキュリティを効果的に向上させるための原則や留意点を理解し、各種ハンズオン形式でのトレーニング実習を通じて、具体的な対策を習得していきます。

IoTハッキングハンズオンコースとは?

習得できるスキル

IoTアイコン

IoTセキュリティ基礎と最新の脅威

知識向上アイコン

ハッキング体験を通じた攻撃者視点の考察

攻撃手法アイコン

IoTハッキング攻撃手法

攻撃者アイコン

IoT機器導入時に考慮すべき課題と
セキュリティを効果的に向上させるための対策

自動運転アイコン

車の自動運転技術やCAN(Control Area Network)の把握

自動運転アイコン

IoTマルウェア(Mirai)の観測状況とサイバー攻撃対策

次のセクションへ

コースカリキュラム

1日目   
科目 内容
IoTハッキング概論
(座学)
コンピュータとは
コンピュータの5大装置
ソフトウェア構成 ブートローダ・OS・デバイスドライバ・ミドルウェア
ソフトウェア開発 プロトコルアナライザ
ソフトウェアの脆弱性 8/16bit ・ 32bit mmuなし ・32bit mmuあり ・64bit以上
インターフェイス UART・I2C・SPI・USB・PCI・LIN・CAN・LAN・BT・Wifi
パソコンのハードウェア
スマートフォンのハードウェア SoC
IoT機器のハードウェア構成 UART / SPI FlashROM / eMMC
IoT機器のソフトウェア構成置
ブートローダ uboot・redboot等
ブートローダのセキュリティ TPM セキュアブート
OS linux・FreeRTOS他
Linuxのセキュリティア SELinux ・ ASLR ・ DEP ・ PIE
IoT機器で使用されるソフトウェア uclibc・busybox
IoT機器で使用されるミドルウェア lighthttpd・sqlite3
まとめ OnTheAir機能の説明など
(ハンズオン1)
デバイス分解しない調査
デバイスの紹介 スマートプラグ・Webカメラ・ルータ
インターネットでの調査 ハードウェア構成・脆弱性・ファームウェア
脆弱性調査 (作業環境:VirtualBox/Kali Linux)
パケットキャプチャ (使用ソフトウェア:Wireshark)
Androidアプリの逆コンパイル (使用ソフトウェア:KaliLinux/jadx)
ダウンロードしたファームウェアの解析 (使用ソフトウェア:KaliLinux/binwalk)
ファームウェアの解析のつづき
2日目   
(ハンズオン2)
デバイス分解する調査
UARTへのアクセス UARTポートの確認
起動時・動作時のメッセージ保存と解析
(使用ソフトウェア:teraterm・エディタ)
(対象機器 :スマートプラグ・Webカメラ・ルータ)
(使用機器:FT232HL・テスター・オシロスコープ)
FlashROM からのファームウェア吸い出しと解析 基板上のFlashROM吸い出し
チップオフしたFlashROMの吸い出し
(使用ソフトウェア:KaliLinux/ flashrom binwalk)
(使用機器:FT232HL)
(対象機器:Webカメラ・ルータ)
プロトコルアナライザでFlashROMの通信解析 基板上のFlashROM(SPI接続)にプロトコルアナライザを接続して、通信解析からファームウェア解析を行う。
(使用機器:プロトコルアナライザ)
(対象機器:Webカメラ)
eMMCからのファームウェア吸い出しと解析 吸い出しに時間がかかるため、吸い出しのデモを行いながら解析の説明
事前に吸い出したファームウェアをLinuxにマウントして解析
(対象機器:AndroidTV)
3日目   
車のハッキングハンズオン 車の自動運転技術の概要 CAN 通信スニッフィング [シュミレーター]
Metasploit Hardware Bridge [シュミレーター]
リバース エンジニアリング
車のハッキング疑似体験 攻撃スクリプト作成
攻撃スクリプト実行
Metasploit Hardware Bridge [デモ動画]
スマートキーに対するリプレイ攻撃 [座学]
自動運転補助デバイスによる自動運転サポート [座学]

メイン講師

荻本満輝

荻本満輝
計測機器メーカのソフトウェアエンジニアとして、大規模計測システムの設計・構築、Unix/Linuxでの計測/解析ソフトウェアの設計・作成、計測機器のファームウェア開発等に従事し、独立後、マイコン(C言語・アセンブリ言語)の開発や、Java言語、Linuxデバイスドライバ開発の講師もしています。
開発者視点で、IoT機器を中心にセキュリティの講義を行います。

rapid7ロゴ

Rapid7社は世界中のペンテスターが愛用してる「metasploit(メタスプロイト)」を開発・運営しています。
「脆弱性リスク管理(nexpose)」 「侵入テストソリューション(metasploit)」 「Webアプリケーションスキャナー(appspider)」 「ユーザ行動分析(insightIDR)」 といったセキュリティサービスを120以上の国、6500以上の組織に提供しています。
最も急成長しているセキュリティ企業としてフロスト&サリバン賞の受賞や、最高のぜい弱性ソリューションとしてガートナー社やSCマガジンから評価を受けています。
http://www.rapid7.com/

受講いただいた方からの声

IoTハッキングハンズオンコース講義内写真

IoTハッキングハンズオンと聞くと、難易度の高いものだと感じていたが、セミナーを通して理解することができた。

講師の方は長年開発に携わっているということもあり、スキル・知識・経験ともにレベルが高いと感じました。

開発者視点とセキュリティ視点のバランスが良く、飽きることなく興味深い話を聞くことができた。

カーハッキングの前提知識がなく不安でしたが、説明が分かりやすくCANとは何かという部分から話していただきすんなりと理解することができました。

メインだったハードウェアハッキングは多少前提知識が必要なものもあり、事前に理解しておくべき用語が分かると良いと感じました。内容のレベル感に満足しました。

次のセクションへ

IoTと車のハッキングハンズオンコース応募要項

受講日時 2021年10月19日、20日、21日
受講期間 3日間
受講料 231,000円(税込)/1名
学習到達目標
  • IoTの基礎知識・技術を理解し説明できるようになる
  • IoTセキュリティの重要性を説明できるようになる
  • IoTの脆弱性診断を実施できるようになる
  • 攻撃者のプロセスを理解し具体的な対策ができるようになる
  • ユーザーレベルでの対策をアドバイスできるようになる
  • セキュリティを踏まえた開発ができるようになる
  • 技術の奥深さを知りさらなる向上心につなげる
対象者
  • IoTの導入に携わる方
  • IoT機器、セキュリティに関連のある方
  • サイバーセキュリティに興味のある方全般
  • IT技術の向上を目標とされている方
231,000円(税込)/1名

受講お申込