インプレス、攻撃者の視点に立ってセキュリティ検証を実践するための手法を事例とともに詳説した『攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング』を発売
- 2022/06/15 10:00
- SecurityInsight
インプレスは6月14日、攻撃者の視点に立ってセキュリティ検証を実践するための手法を事例とともに詳説した『攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング』を発売することを発表した。
この本書は、経済産業省から2021年4月にリリースされた、IoTセキュリティを対象とした『機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き』の『別冊2 機器メーカに向けた脅威分析及びセキュリティ検証の解説書』をもとに、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説している。
第1章で(攻撃者の)実際のハッキングに向けた準備について、一般的な宅内にあるネットワークカメラを題材に、セキュリティ検証でよく使用されている手法を利用しながら解説。第2章以降では、例として宅内監視システムに使われているネットワークカメラやWi-Fiルーターを対象機器として、実際の製品へのハッキング手順を解説している。
第2章(ステップ1)と第3章(ステップ2)では、ネットワークカメラの内部ソフトウェアを抜き出して、リバースエンジニアリングによってバイナリー解析を行う。
第4章(ステップ3)では、既知の脆弱性を検査して過去の侵入手法への耐性を調べ、第5章(ステップ4)では、アタックサーフェース(AS)へのファジングテストを用いた検査を行なって、未知の脆弱性を発見していく。
第6章(ステップ5)では、脆弱性を検査するために有効な宅内監視システムのネットワーク調査を行ない、第7章(ステップ6)では、典型的なハッキング事案に基づいた、IoT機器の入出力インタフェースへの検査を行なう。