IoTデバイスペネトレーションテストのハンズオンを実施しました

講  師:株式会社ラック 吉越氏
開催日時:2022年9月8日(木)~9日(金) 10:00~16:30
開催場所:PBL-A室
参加人数:学生16名、教員2名

概  要:IoTデバイスのセキュリティ上の問題を検証する手法の一つ、ペネトレーションテストを学生が体験しました。
最初に当該デバイスの情報を収集し、機能確認と既知の脆弱性確認を行いました。次に、確認結果をもとに脅威分析を行い、調査する脅威を決定しました。最後に、決定した脅威が当該デバイスに存在するか実際に調査/検証しました。
調査/検証フェーズでは、デバイスを分解し基板調査、取り外したROMからのデータ抽出とファームウェア解析、デバッグインタフェースの確認とシリアルコンソールへの接続、パケットキャプチャツールを用いた通信解析を行いました。そして、デバイスに潜む脆弱性をついた攻撃が成功するかどうか確認しました。

fig01
講師の吉越氏
fig02
講師による説明
fig03
ROMの取り外し
fig04
ハンズオンの様子