NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
IoT Penetration Testing
※本コースは中止となりました。次回開催をお待ちください。
Penetration Testing and Ethical Hacking
English2025年3月3日(月)~2025年3月5日(水)
1日目: 9:00-17:30
2日目~3日目: 9:30-17:30
◆LiveOnline形式
オンライン
早期早割価格:790,000円(税込み 869,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:860,000円(税込み 946,000円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要! 手順にそってセットアップされたシステムをご用意ください!
このコースに完全に参加するためには、正しく設定されたシステムが必要です。これらの要件は最低限必要なものです。これらの説明をよく読み、それに従わない場合は、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。このコースで指定されているすべての要件を満たすシステムで参加されることを強くお勧めします。
授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。
コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業の前夜にダウンロードを開始すると間に合わない可能性があります。
教材には「セットアップ手順」という文書が含まれており、ライブ・クラスやオンライン・クラスに参加する前に行うべき重要な手順が記載されています。これらの手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様についてご質問がある場合は、サポートまでお問い合わせください。
近年、スモール・フォーム・ファクターのコンピューティング・デバイスがネットワークにアクセスし、従来は接続されていなかったデバイスに接続性を提供する傾向が強まっています。家電製品にインターネット接続が本当に必要かどうかは議論が分かれるところですが、モノのインターネット(IoT)が今後も継続することは間違いありません。確かに便利な多くのデバイスをより深く接続することができ、家庭にも企業にも大きなメリットがあります。
しかし残念ながら、このように接続された技術が普及するにつれ、これらの機器の多くは、設計プロセスにおいてセキュリティを考慮しないか、最低限しか考慮していないのが現状です。このような動作は他の種類のテストでも見られますが、IoT は、カスタム OS 構築、Web および API インターフェース、さまざまなネットワーク・プロトコル(Zigbee、LoRA、Bluetooth/BLE、WiFi など)、および独自の無線などの多くの異なる技術スタックを利用および混合している点で異なっています。このように、多様でセキュリティが不十分な技術が幅広く存在するため、ネットワークへの軸足を置くことが望ましく、ユーザデータの改ざんやネットワークトラフィックの操作などの機会にもなります。
SEC556では、IoTデバイスの一般的なインターフェイスを理解し、OSI(Open Systems Interconnection)モデルの多くのレイヤー内でこれらのデバイスを評価するためのIoTA(Internet of Things Attack)テストのフレームワークとともにプロセスを推奨しています。ファームウェアやネットワークプロトコルの解析から、ハードウェア実装の問題やアプリケーションの欠陥まで、拡大し続けるIoTデバイスを評価するためのツールや実践的なテクニックを提供します。このコースでは、自動車技術からヘルスケア、製造、産業用制御システムに至るまで、さまざまな垂直方向におけるIoTエコシステムの検証を容易にするアプローチを採用しています。どのような場合でも、方法論は同じですが、リスクモデルは異なります。
個々の課題を理解する力がつけば、IoTデバイスを使ったより安全な開発と実装の実践の必要性を理解できるようになります。
コース開発者より
私たちが現在「モノのインターネット」として知っているものが、気づいているかどうかにかかわらず、家庭と企業の両方で進行し、広く採用されているのを見るのは驚くべきことです。しかし、IoT対応技術は、利便性を向上させ、環境に関するより正確なデータを取得できるようになったことで、間違いなく私たちの生活をより良くしてきましたが、その使用を通じて、私たちは知らず知らずのうちに攻撃対象領域を拡大しています。"
言い換えれば、多くの場合、多くのIoTメーカーが自社のデバイス・エコシステムの攻撃対象領域全体を考慮しない、精彩を欠いた開発手法のために、そのメリットは犠牲を伴うことが多いのです。この失敗は、主に金銭的なものです。最初からセキュリティを組み込むことは、IoTデバイスのただでさえ低い利益率を下げる出費となります。強化されたセキュリティ対策の採用が遅れると、タイムリーな市場投入ができず、デバイスあたりの利益の問題をさらに悪化させることになります。
IoTの導入が進むにつれ、攻撃者もIoTプラットフォームに力を入れるようになってきました。技術やツールの機能は飛躍的に高度化し、追加機能や性能を解除するために善用されることも少なくありません。しかし、倫理に欠ける攻撃者もツールセットで同じように洗練され、私たちが重要なタスクに依存している技術を悪用する上で優位に立つようになってきています。IoTの普及率と攻撃者の高度化が相まって、IoTエコシステムのあらゆる面のセキュリティを今すぐ改善しない限り、IoTとIoTデバイスが接続されるネットワークの未来に深刻な事態を招くことになります」。
IoTアナリストや開発者が組織に持ち帰り、その日のうちに適用できる実践的なスキル、方法論、思考プロセスを身につけるために、対話型のハンズオンラボと一連のハードウェアおよびソフトウェアツールを提供できることを非常にうれしく思っています。このクラスで身につけるスキルは、今日のIoT技術にとって貴重なものであり、業種、アプリケーション、データに関係なく、明日の進歩のための基礎となるものです。
- Larry Pesce, James Leyte-Vidal, and Steven Walbroehl
概要
このコースでは、IoTセキュリティの全体的な問題を紹介し、IoTの実装が多数あることを考慮して、テストがどのようにこの問題に対処できるかを、主に一般的な用語で検討します。最初の技術的概念は、ネットワークの偵察と攻撃、および認証バイパス、RFI、コマンドインジェクションなど、IoTデバイスでよく見られる主要なWebアプリケーションの問題です。さらに、モバイルアプリからバックエンドのサービスやデバイス自体へのAPIリクエストを検証し、テスターがネットワークやWebベースのIoTを検査し、悪用するために必要なツールを使用する方法を学びます。
演習
ラボ 1.1: WiresharkフィルタとPCAPインスペクション
ラボ1.2:IoTデバイスのNmapスキャンとMetasploitによるエクスプロイト
ラボ1.3、パート1:IoTウェブポータルでBurp Suiteの傍受を行い、公開された秘密を確認する
ラボ1.3, パート2: Postmanを使用してIoT APIにパスワードデータを送信する
ラボ1.4, パート1: コンシューマーグレードデバイスのIoTポータルをエクスプロイトする
ラボ1.4、パート2: 脆弱なIoTウェブサービスにコマンドを注入する
概要
このセクションでは、ハードウェアに対する破壊的および半破壊的なテストや、様々なハードウェアツールを使用したハードウェアの識別、通信、搾取のために、様々なハードウェアデバイスに対してリコンを実行するためのキーコンセプトについて紹介します。また、デバイスのオペレーティングシステム(ファームウェア)を復元する方法を検討し、それらを解析して、保存されている秘密や様々な実装上の欠陥を復元します。
演習内容
実習2.1: 仕様書の入手と解析
ラボ2.2: シリアルとSPIのスニッフィング
Lab 2.3: PCAPからファームウェアをリカバリする
実験2.4: binwalkでファイルシステムを復旧する
実験2.5: ファイルシステムを盗聴する
トピックス
概要
このコースのセクションでは、IoT技術でよく見られる、より一般的で開発中の、文書化され標準化された無線技術に焦点を当てます。トラフィックのキャプチャ、ネットワークや暗号化されたデータへのアクセス、IoTデバイスやその機能との相互作用や侵害などの概念を紹介します。IoTデバイスに多く見られる非標準および独自のRF通信を分析し、悪用するための概念を紹介します。
演習課題
ラボ 3.1: WiFi PSKクラッキング
実習3.2: BLEデバイスの相互作用
ラボ3.3: Zigbeeトラフィックのキャプチャ
研究室3.4: IoTのリプレイ送信攻撃の実施