PacSec2017

1. サプライチェーンセキュリティについて
未知な物は危険

2. 私たちについて
Ian Robertson
Sr. Vice President, NCC Group
Josh Ryder
Senior Director of Network and Cybersecurity
Engineering and OperaCons, AppNexus

3. 初めに：このトークの内容
• テクノロジーの統合に関する問題の概要
• 問題の洗い出しと対策へのアプローチ
• 自動運転からＩｏＴからソフトウェア／サービスサプライまで
のサプライチェーン攻撃の最新事例など

4. ここで言うサプライチェーンとは？
• 体験、プロダクト、サービスを提供するためのベンダーとコン
ポーネントから成る複雑な関係性とネットワーク
• ハードウェア、ソフトウェア、何処でどうやって統合されてい
るか（及び誰が統合するか）
• プロダクトとサービスデリバリーの交わり

5. デバイスの脅威モデリング
重要な脅威
○ 物理的アクセス（損失／盗まれたデバイス）
○ 組み込みデバイスに基づくＰｅｒｓｉｓｔｅｎｃｅ（ＲＡＴ，マルウェア）
○ ジェイルブレーク（統合性, DRM）
○ ＥｖｉｌＭａｉｄ （内通者、監視されていない時にできる悪事）
○ サプライチェーン（販売前後又はリペア時）
■ 悪意のある工場：偽造防止、残し物の再利用、
■ 悪意のある労働者
■ 悪意のある郵便配達人
■ 悪意のあるリペアショップ
○ 復元されたデバイス／フォレンジック
○ バイオメトリクス認証のバイパス
○ 知的財産の奪取とリバースエンジニアリング対策（耐タンパー性、タンパーの痕跡）
5

6. サプライチェーン攻撃の歴史
• 生産ラインにおける携帯端末 − 悪意のある労働者
• ＸｃｏｄｅＧｈｏｓｔによってＩＯＳマルウェアの最大の
• ツールチェーンコンポーネントの制御の喪失
• ＲＳＡ ＳｅｃｕｒＩＤ − 悪意のある労働者
• Ｂｉｌｌ−Ｃ５１（２０１５，カナダ）−悪意のある配達人
• トルコのＦ-３５エンジン−修復攻撃

7. 攻撃者
• 攻撃をするチャンスがある／不満を抱えている、社員／パートナー
• ハッカー
• 国／政府
• 組織犯罪

8. インパクト？
• 顧客データの喪失
• ＧＤＰＲによる罰金
• 売上の損失
• サービスの悪用
• 顧客／投資家の信頼の損失
• 知的財産の損失
• 競争力の低下
• 二次災害の発生
• 犯罪の容易化
• 上記を参照

9. GDPR (General Data ProtecCon RegulaCon)
• 総売り上げの４％もしくは２０００万Ｅｕｒｏの罰金（高額
な方）
• 国境を越えてＥＵ市民の個人情報の安全とセキュリティを保
護するためにデザインされた
• サプライチェーンへの影響？サプライチェーンの停止による
結果。例えば、暗号と匿名化に利用されているライブラリー
が攻撃されたら、データ流出と罰則の両方が発生する。又
は、クラウドプロバイダーがハックされたら。。。

10. 動機（ヒント：お金）
● キャリアロック
● ＤＲＭ
● ジェイルブレーク
● 偽造
● コンポーネントの再売却
● 盗まれたデバイスのローンダリング
10

11. 本当にハードウェアの信頼性に注意したければ？
ミサイル開発のレベルでエンジニアリングと機密性について考え
ましょう：制御システム、誘導システム、品質テスト／制御、社
員のスクリーニング、知識の分散、カスタムハードウェア開発

12. ハードウェアハッキングについて
● ハードウェアの変更と悪用によるソフトウェアの
権限昇格
● データと秘密の抽出
● ツールのコストによって、攻撃者にとって比較的
に高い参入障壁
● 成熟性：ハードウェア／組み込みセキュリティは
ソフトウェアセキュリティより１５年間遅れてい
る、（例外は少ない）
12
TPMs,
Smart Cards
Smart Phones
HSMs
Internet of Things, Automotive, everything
else
Increasing
Hardware
Security
# of OEMs
.
.
.

13. デバイスボードの写真
• 全てのコンポーネントを信用できるか
• エンジニアリング用の部分がよく残されている
• なぜＪｔａｇインターフェースがよく残されているのか？
とてつもないコスト削減のプレッシャーと、ハードウェアの生産
までのリードタイム。これはアジャイル開発ではないはずです！

14. 検出手法
● デバイスの数：注文数！＝生産数！＝出荷数！＝アクティベート数
○ 必要されているデータはシングルシステムに依存しない
○ 各段階での余剰分の追跡が問題
○ 過剰生産
● 工業ネットワークのハーデニング
○ ３ｒｄパーティー工場
○ ステーションからステーションの間の通信
○ ＴＴＬが高すぎる
● 誤って違う工場のパスワードの使用
● オフシーズンの時の稼働：祝日、時間帯
● 旧型デバイスの生産、又は違う工場で生産された
14

15. 問題が発生したかどうやって検知できますか？
• 検知ならできます. 重要なのは問題の大きさの認識と対応の構築

16. できる（もしくはすでに行っている）対策
• 基本的なセキュリティ習慣作るためにコンプライアンスが
時々に役にたつ
• 小さくはじめる：フォーカスしたいサプライチェーンのコン
トロールとその要素を決める
• 教育する。一人ではできない、脅威に対する認識向上と効果

17. 攻撃から防御へ 1
● “Chip-off”
○ -> データ/コード 署名
● ファームウェアエクスプロイト
○ ジェイルブレークコミュニティは大きなコントリビューターとなりうる
■ -> ルートアクセスを許可する
○ -> １００％な解決方法は無い。各エクスプロイトに対する対策だけ
● シリコンエクスプロイト
○ -> １００％な解決方法は無い。隠ぺいで攻撃者に掛かるコストを高くするだけ
17

18. 攻撃から防御へ 2
● 流出したツール／ソフトウェア／Ｓｃｈｅｍａｔｉｃｓ／ＭＦＧノウハウ
○ -> 生産用インタフェースに強い認証
○ -> end-to-end 暗号化(treat factory as a “dumb pipe”)
● ３ｒｄＰａｒｔｙ修復ツール
○ 部品のモノカルチャーで悪化
○ ＲＭＡなど、セキュアではない環境へのデプロイ
○ -> ハードウェアとフューズの各ベンダーインターフェースの無効化
● ネットワークアクセス奪取
○ -> プロビジョニングされたコンポーネントと沢山のプロセスの監視
18

19. これを全て実行したらもう安心？
ROCA (CVE-2017-15631; Oct 15 2017)
• Infineon TPM RSAライブラリーの暗号 の生産の脆弱性
• FIPS 140-2 と EAL5+ 認証!
• HSMs, Yubikey など、セキュリティが高いはずのコンポーネントが
脆弱.

21. 求められる行動
• 調べ始める前に先に対応プロセスの構築。脆弱性が検出され
たとして、その対応方法が分からないケースを避けたい
• チェーンのコンポーネントは攻撃される事を前提にして設計
を考える。信頼関係を検証する方法はちゃんと実装。
• エスクロー

22. 今日紹介した
脅威
実装されてい
る内部統制
この部分を考
慮していない
サプライヤー
未知な物は危険
コネクテッドなコンポーネントの
統合又は物理的なコンポーネント
の開発には常に改善できる余地が
ある
これは最早理論だけの攻撃ではな
くて、常に実際に起こる攻撃です

23. ありがとうございました! 質問?

24. 話題になったニュース
• hfps://techcrunch.com/2014/05/12/nsa-allegedly-intercepts-
shipments-of-servers-to-install-spying-backdoors/
• hfps://www.wired.com/story/broadpwn-wi-fi-vulnerability-ios-
android/