Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Io t security-suzki-20170224

799 Aufrufe

Veröffentlicht am

IoT Security Current Status
IoTデバイスのセキュリティ課題と最新脅威動向

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

Io t security-suzki-20170224

  1. 1. 基調講演 IoTデバイスの セキュリティ課題と最新脅威動向 須崎有康 (Kuniyasu Suzaki) 国立研究開発法人 産業技術総合研究所 情報技術研究部門 Osaka, 24/Feb/2017
  2. 2. Who am I? 2 • コンピュータセキュリティ研究者 – 国立研究開発法人 産業技術総合研究所 – 情報技術研究部門 • 最近の仕事 https://staff.aist.go.jp/k.suzaki/ – 仮想化を使ったセキュリティの強化や脆弱性の研究 • BackHat US 2010 • BlackHat SaoPaulo 2014 • Code Blue 2014 – 制御システム用セキュリティ技術 • S4x14 (SCADA Security Scientific Symposium) • ICSJWS (Industrial Control Systems Joint Working Group ) 2014/fall – KNOPPIX日本語版のメンテナンス 2002-15 Here is my office
  3. 3. アウトライン • IoTの問題点 – 多種多様、OSのサポート、パスワード、アップデート • 代表的な攻撃 – 車への攻撃 – 制御システムへの攻撃(Stuxnet) – Telnetを使った攻撃 – DoSのためにBotとなったIoT(Mirai) – WiFi内部からの攻撃(DarkHotel) – 高性能センサーデバイスを使ったサイバーエスピオナージ (電子的諜報活動) • まとめ 3
  4. 4. IoTとは • 総務省平成27年度情報通信白書より – 2020年までに530億個 4 質的変化 PCで出来ることの多くは受動的であったが、 IoTで外界に働きかけられるようになった 量的変化 PCより圧倒的に多くなる。センサも多様 個人で管理が及ばない
  5. 5. IoTデバイスの問題点(1) • 多種多様 – セキュリティを考慮してあるPCと比べて数も種類も多い • セキュリティの対策の手が回らない – Security Surfaceが大きい • センサ類も多種多様で高性能化している(詳細は後述) • インターネットに繋がるデバイスは何であるか検索が 可能 • インターネット接続を想定していないプロトコルがアク セス可能になる – 車で使われているCAN: Controller Area Network – 制御システムで使われているSCADA: Supervisory Control And Data Acquisition 5
  6. 6. デバイス検索サイト • SHODAN – HoneyPotが検出でき、攻撃 者は回避できる • Censys – ミシガン大学より2016.10か ら提供 6
  7. 7. プリンタへの攻撃 • プリンタなんって通信の盗聴以外攻撃のしようがない? • プリンタの発火。2011年にコロンビア大から発表 – ファームウェアの脆弱性を狙ってネットワーク越しにプリンタを 発火させた • ドットマトリックスプリンタは音から印字が分かる – Acoustic Side-Channel Attacks on Printers [USENIX Sec 10] – ドットマトリックスのプリントの音で印字内容を盗める – 隠れた通信にも使える – ドットマトリックスはカーボンコピーを必要としているところで使 われているので侮れない 7
  8. 8. スマホを使った情報窃取 • ベネッセ個人情報流出事件(2014)ではスマホにより情 報が漏えいした • ベネッセではUSBからの情報漏えいに対してActive DirectoryによるUSBマスストレージの使用の接続禁止 が設定されていたと言われている • 攻撃者はMTP: Media Transport ProtocolあるいはPTP: Picture transport Protocolを使ったと言われている – Active DirectoryでMTP/PTPの設定禁止はある • 更なる脅威:USB デバッグモード – 開発者のデバッグに使われるが、ファイル転送も可能。 8
  9. 9. CAN • Controller Area Network (CAN) はドイツのボッシュ社 が1983年に開発を始めたノイズ耐性を持ち、機器間 通信に使われる規格。 • 自動車においては、速度、エンジンの回転数、ブレー キの状態、故障診断の情報などの転送に使用。 • 1990年代にメルセデスベンツ SクラスにCANが搭載 された。 • セキュリティや認証については他から侵入がないもの として、あまり考慮されていない。 9
  10. 10. つながる車 Connected Car • クライスラーのチェロキーへのハッキング(BlackHat 15) Charlie Miller & Chris Valasek – クライスラー車のWi-Fiパスワードは日付けベースで生成さ えているため、推測可能 – CANバスに直接接続されていないが、CANバスに接続して いるV850コントローラとは通信可能 – V850コントローラのファームウェアを改ざんして、CANコマン ドでハンドル、エンジン、ブレーキをコントロール – 100万台以上がクライスラーからリコール – “Remote Exploitation of an Unaltered Passenger Vehicle”, Dr. Charlie Miller & Chris Valasek » http://illmatics.com/Remote%20Car%20Hacking.pdf 10
  11. 11. SCADA • SCADA(Supervisory Control And Data Acquisition ) は、コンピュータによるシステム監視とプロセス制御 を行う産業制御システム • 人間のオペレータがプロセスを監視し制御できるイン ターフェースがある。 • セキュリティや認証については、物理的に隔離し、他 から侵入がないものとして、あまり考慮されていない – SCADA専用にセキュリティ会議 S4: SCADA Security Scientific Symposium 11
  12. 12. Stuxnet(1) • イランの核施設を破壊するために作られたマルウェア – Siemens社のPLCに対する攻撃 (2010) • SCADAシステムを検出と言われてる手法が巧妙 12この画像からSCADAを推定
  13. 13. Stuxnet(2) • 監視システムがアラートを表示しないように調整 – 遠心分離器の周波数を1410Hzから2Hzへと落とし、引き上 げる。このアップダウンを巧妙に繰り返して破壊 • USBを使ってインターネットに繋がっていないシステム に侵入(Air Gap越え) 13 Office Network Plant Network Control Network Internet SCACA PLC Firewall Malicious USB Stuxnet Air Gap
  14. 14. Stuxnetが打ち砕いた神話 • 制御システムはサイバー攻撃とは無縁 • インターネットと切り離せば安全 • 特殊な構成のため外部の攻撃者からは分からない – 暗号のケルクホフスの原理「敵はシステムを知っている」 • マルウェアは異常動作から検出できる 14 JPCert「Stuxnet 制御システムを狙った初のマルウェア」を参考
  15. 15. IoTデバイスの問題点(2) • 想定しているライフサイクル&サポート期限が多種多様 – 産業機器では30年以上。自動車では10年以上。 – PC関連OS(Windows, Linuxディストリビューション)ではサポー ト期限があるが、それ以上の使われる例が多い。 15 OSサポートが実は曲者
  16. 16. OSのサポート状況 (1) • ELSはExtended Life cycle Supportの略 • 他のPC用Linuxディストリビューションでもほぼ同じ 16 Windows リリース サポート終了 Windows XP 2001/10/25 2014/04/09 Windows Vista 2007/01/30 2017/04/11 Windows 7 2009/10/22 2020/01/14 Windows 8 2012/10/26 2023/01/10 Windows 10 2015/07/29 2025/10/14 Red Hat Enterprise Linux (RHEL) リリース サポート終了 サポート終了日 (ELS) 3 2003/10/22 2010/10/31 2014/1/30 4 2005/2/15 2012/2/29 2017/3/31 5 2007/3/15 2017/3/31 2020/11/30 6 2010/11/9 2020/11/30 - 7 2014/6/9 2024/6/30 -
  17. 17. OSのサポート状況(1) • ELSはExtended Life cycle Supportの略 • 他のPC用Linuxディストリビューションでもほぼ同じ 17 Windows リリース サポート終了 Windows 10 2015/07/29 2025/10/14 Windows 8 2012/10/26 2023/01/10 Windows 7 2009/10/22 2020/01/14 Windows Vista 2007/01/30 2017/04/11 Windows XP 2001/10/25 2014/04/09 Red Hat Enterprise Linux (RHEL) リリース サポート終了 サポート終了日 (ELS) 3 2003/10/22 2010/10/31 2014/1/30 4 2005/2/15 2012/2/29 2017/3/31 5 2007/3/15 2017/3/31 2020/11/30 6 2010/11/9 2020/11/30 - 7 2014/6/9 2024/6/30 - 但し、例外あり
  18. 18. OSのサポート状況(2) • つまり、全てのOSが サポート期限を明確 にしているわけでは ない • Androidには更なる 問題が… 18 MacOS リリース日 サポート終了日 10.9 Mavericks 2013/10/22 10.1 Yosemite 2014/10/16 10.11 El Capitan 2015/9/30 10.12 Sierra 2016/9/20 Android リリース日 サポート終了日 5 Lollipop 2014/11/3 5.1 Lollipop 2015/3/9 6 Marshmallow 2015/10/5 7 Nougat 2016/8/22 8 Nougat 2016/10/20 iOS リリース日 サポート終了日 8 2014/9/17 9 2015/9/16 10 2016/9/13 サポート終了日は 非公開。次のバー ジョンがリリースさ れた後数か月サポ ートが続く サポート終了日は 非公開。 サポート終了スケ ジュールは検討中 サポート終了日は 非公開。
  19. 19. Androidはなぜ危険なのか • 携帯電話のOSにはアップデートやバグフィックスが十 分でない無い場合が多い。 – The Impact of Vendor Customizations on Android Security, ACM CCS13 – Phone Makers’ Android Tweaks Cause Security Problems, MIT Technology Review • ベンダー:電話会社、端末製造会社は個々の機器向 けにAndroidをカスタマイズしないといけない。 • このカスタマイズの過程によって生じる脆弱性が、 Android全体のエコシステムの脅威のうち60%を占め る。 19
  20. 20. Android 意図しない感染源と漏洩元 • USB充電器からの感染 – USB充電器にバックドアを仕掛け、銀行取引情報、認証用 のパスワードを窃取。端末利用者の動きを追跡することが できる。 • Android NFCへの攻撃 – サンフランシスコとニュージャージーでは、NFCによる改札 をハッキングして、一生地下鉄をただで乗れるようにした。 • 悪意のあるアプリ – 機能は懐中電灯アプリであるが、本当の目的は携帯電話 のロケーション、キー入力記録、連絡帳などを盗む。 20
  21. 21. Linux kernelのサポート • LTSI: Long Term Support Initiative – 2011 年 10月26日 チェコ共和国プラハ(LinuxCon Europe)発 – コンシューマー エレクトロニクス向け長期安定カーネル – 年に 1回安定版Linuxカーネルを選択し、それを2 年間、長期的かつ定期 的にメンテナンス 21 Version Maintainer Released Projected EOL 4.9 Greg Kroah-Hartman 2016-12-11 Jan, 2019 4.4 Greg Kroah-Hartman 2016-01-10 Feb, 2018 4.1 Sasha Levin 2015-06-21 Sep, 2017 3.16 Ben Hutchings 2014-08-03 Apr, 2020 3.12 Jiri Slaby 2013-11-03 May, 2017 3.10 Willy Tarreau 2013-06-30 Oct, 2017 3.4 Li Zefan 2012-05-20 Apr, 2017 3.2 Ben Hutchings 2012-01-04 May, 2018 https://www.kernel.org/category/releases.html デバイスの寿命より短い!危殆化の管理が必要。 延長される 場合有り。 3.18はサ ポート切れ
  22. 22. 危殆化の管理 • 暗号・ハッシュの危殆化 – 計算能力の向上で暗号解読が可能になる • 事前に予測可能でライフサイクルが管理できる – 対策1: ビット長を長くする。 – 対策2: 暗号・ハッシュの廃止:DES,MD5 – 突然解読法が出る場合もある • ソフトウェアの危殆化 – 基本的に突然攻撃法が判明する • 多くは実装バグに起因するが、設計に起因する場合は問題。 – 例:プロトコルの脆弱性 • ライフサイクルが管理できない – ソフトウェア若化(Software Rejuvenation)と言う研究があるが 十分ではない 22
  23. 23. サポート切れ対処 • DHCP Fingerprintを使い、IPアドレスを割り当てない 23 DHCPDISCOVER Open Sequence 1,15,3,6,44,46,47,31,33,249,43 DHCPOFFER DHCPDISCOVER Open Sequence 1,33,3,6,15,28,51,58,59 DHCPOFFER • DHCP Fingerprint一覧 https://fingerbank.inverse.ca/ 0 Pad 1 Subnet Mask 2 Time Offset 3 Router 4 Time Server 5 Name Server 6 Domain Server 7 Log Server 8 Quotes Server 9 LPR Server 10 Impress Server 11 RLP Server 12 Hostname 13 Boot File Size 14 Merit Dump File 15 Domain Name
  24. 24. IoTデバイスの問題点(3) • セキュリティが考慮されていない – デフォルトパスワードがある • telnetが多く使われている – セキュリティアップデートが考慮されていない – バックアップも考慮する必要がある 24
  25. 25. パスワードへの攻撃 • デバイスごとのデフォルトパスワードは公開されている • クラックツールで安易なパスワードは破られる – THC-Hydra • 小学生の解説HPもあった – Medusa – Brutus 25
  26. 26. パスワードの扱いの違い • パスワードとパスコードの違いを理解していますか? – 根本的に攻撃の難易度の違い • パスコードは物理的な画面からの入力で認証が入力に律速される – 何回も入力を要求するBrute Force Attackが使えない • パスワードはインターネットから利用でき、認証は早い – Brute Force Attackが有効 • 対策技術 – わざと処理を遅くするKey stretching (Robert Morris, 1978) 26
  27. 27. TelnetによるIoT攻撃 • 横浜国大の吉岡先生がIoTのHoneyPotを作成し、詳 細を解析している。 – QEMUをベースとするHoneyPot • 8つのCPU アーキテクチャMIPS, MIPSEL, PPC, SPARC, ARM, MIPS64, sh4 and X86. » Yin Minn Pa Pa, Etal(Yokohama National University), IoTPOT: Analysing the Rise of IoT Compromises, USENIX Workshop on 27
  28. 28. 横浜国大の例 • 2016/1-6に横浜国大に攻撃してきたマルウェア感染IoT – 約60万台( IPアドレス区別) – 500種類以上(Web,telnetの応答による判断) – 攻撃元デバイス • 監視カメラ関係:IPカメラ, デジタルレコーダ • ネットワーク機器:ルータ、無線ルータ、モデム、ネットワークストレージ • 電話関係:IP電話、VoIPゲートウェイ • インフラ:駐車管理システム、LEDディスプレイ制御システム • 制御システム:ビル監視システム、センサ監視装置 • 家庭:Webカメラ、太陽光発電管理システム、電力需要監視システム • 放送関連:セットトップボックス、映像配信システム • その他:ヒートポンプ、火災報知システム、医療機器(MRI), 指紋スキャナ 28 吉岡克成(横浜国立大)、ネットワーク観測からわかる IoTのサイバーセキュリティ実情 – JNSA IoTセキュリティセミナー2016 より
  29. 29. Bot化するIoT (1) • 2010 WORM IRCBOT.ABJ (別名 Chuck Norris) – ルータの初期パスワードに対して侵入を試す。侵入後、Windowsのファ イル共有機能に対して辞書攻撃。 • 2012 Carna Bot – 42万台以上の家庭用ルータに感染。4億3,000万の機器がセキュリティを 考慮していないこと明らかにした。 • 2013 Linux.Darlloz – X86, ARM, MIPS, PowerPCへのワーム。PHPのphp-cgiに存在する既知 の脆弱性を突く。 – 暗号通貨のマイニング。Bitcoinではなく、MinicoinとDogecoin • 2014 BASHLITE – TelnetとShell Shockを利用。100万台以上に感染。DoSに利用。 中里(NICT)他,ダークネット観測による IoT 機器の脅威, 暗号と情報セキュリティシンポジ ウム2014 29
  30. 30. Bot化するIoT (2) • 2015 Linux.Moose – Telnetを使ってルータに感染。SNS盗聴機能。 – 資源を有効利用するため他のマルウェアを見つけると削除 • 2015 Linux.Wifatch – P2Pネットワークを構成。他のマルウェアを削除。 – Telnetデーモンを停止し、さらなるアクセスを防ぐ。パスワードを変更して デバイスのファームウェアをアップデートするようにというメッセージを残 す。 • 2016 Mirai – 50万台以上に感染。史上最大のDoS攻撃に使われた。 中里(NICT)他,ダークネット観測による IoT 機器の脅威, 暗号と情報セキュリティシンポジ ウム2014 30
  31. 31. NICTERによる観測 • NICTのNICTERでは ダークネットへの通信 状態が観測可能 – ダークネットはインター ネット上で到達可能か つ未使用のIPアドレス 空間であり、本来はアク セスが無いものだが、 不正活動でランダムに アクセスする場合に兆 候が表れる。 31
  32. 32. セキュリティアップデート • 脆弱性に対処するために、セキュリティアップデート が必須だが、家庭用ルータなどで考慮されていない ものがまだまだ多い。 • ただし、アップデートはマルウェアをインストールする のにも使われる。 – 「Microsoft Application Compatibility Frameworkの積極的 な利用によるエクスプロイット」 CodeBlue14 • OSとアプリケーションとの互換性問題を解決したりするための枠組 みを活用して、攻撃を仕込む。 32
  33. 33. 不適切なバックアップ • バックアップをリストアすることで脆弱なアプリを戻し てしまう。 – 認証が必要だが、考慮していないものも多い。 • 不要なデータもバックアップして、漏えいのリスクがあ る。 33
  34. 34. 高性能センサを活用した サイバーエスピオナージ 34
  35. 35. 質問 • この会場に何台のデジカメがあるでしょうか。 • デジカメを持っていない人はいますか? 35 レガシーなデジカメ スマートフォン タブレット ノートPC
  36. 36. モバイルガジェットに幾つのセンサが 入っているか知ってますか? • デジタルカメラ • マイクとスピーカ • GPS • ジャイロスコープ • その他、多様なセンサー • これらのデバイスがモバイルガジェットに入ったのはそれほど昔 ではない。 – 2000年前後のPDA(携帯情報端末。例 Palm Pilot, Apple Newton)と呼ば れるものにはこのようなデバイスがないものが多かった。初期のiPadにも カメラが無かった。 • 現在のモバイルガジェットは従来のコンピュータと言うより、セン サーデバイスの塊になっている。 36
  37. 37. センサの性能を知ってますか? • デジタルカメラ – 1M pixel以上 • マイク、スピーカ – CD クオリティ (44.1kHz)以上 • GPS – 10m以内の位置検出 • ジャイロスコープ – 20 Hz以上のサンプリング 37 高性能センサは サイバーエスピ オナージ(諜報活 動)の格好のター ゲット。
  38. 38. Facial Reflection Keylogger [T.Fiebig, WOOT’14] 38 キーボードをマップ このカメラが顔(目)の写真 を撮ります。 T.fiebig, j.krissler and r.hanesch, “Security Impact of High Resolution Smartphone Cameras" woot 2014. https://www.usenix.org/conference/woot14/workshop-program/presentation/fiebig 親指検出ズーム
  39. 39. Facial Reflection Keylogger [T.Fiebig, WOOT’14] 39 キーボードをマップ このカメラが顔(目)の写真 を撮ります。 T.fiebig, j.krissler and r.hanesch, “Security Impact of High Resolution Smartphone Cameras" woot 2014. https://www.usenix.org/conference/woot14/workshop-program/presentation/fiebig 親指検出ズーム
  40. 40. 写真から指紋窃取 • 国立情報学研究所の越前教授の研究 • お札がコピーできないように、プライバシーに関わ る写真がとれないカメラが出るかもしれない。 40
  41. 41. ジャイロスコープによる盗聴 • Gyrophone [USENIX Security 14, BlackHat Europe 14] はジャ イロスコープで音声の解析ができることを示した。 – 利点: マイクの使用には許可を取る必要があるが、ジャイロ スコープは必要なし。 – 問題点:ジャイロスコープのサンプリングは 20-200Hzで音声 (男性 85 - 180 Hz, 女性 165 - 255 Hz)が取れない。 – エイリアシングによって音声が解析できることを示した。 41 Y.Michalevsky, D.Boneh, and Gabi Nakibly, “Gyrophone: Recognizing Speech from Gyroscope Signals”, https://www.usenix.org/conference/usenixsecurity14/technical-sessions/presentation/michalevsky
  42. 42. マイクを使った盗聴 • “Bundestrojaner” (連邦トロジャン) は社会に大きなインパクトを与 えた。 – 連邦トロジャンはコードの中にあった「C3PO-r2d2-POE」というストリングか ら「R2D2」も呼ばれる。 • 報道によるとR2D2はドイツの空港で管理官からインストールされ た。 – R2D2はSkypeの通話を盗聴し、リモートのサイトにデータを転送していた。 – R2D2はChaos Computer Club (CCC) によって2011年に発見。 • WikiLeaksによるとマルウェアはドイツの州政府からの発注。 42
  43. 43. GPSによる悪意あるトラッキング • “Cerberus” や“mSpy” は盗難防止アプリとして売られて いるが、従業員のトラックにも使われる。 • 日本のカレログはGPS制御マネージャとして売られてい た。ただし、こちらは許可を得ずにGPSのデータを盗んで いた。 – 社会問題となりサービス停止に追い込まれた。 43
  44. 44. モバイルガジェットの活用シナリオ • モバイルガジェットは重要情報を扱う工場、会議、病院で 広く使われるようになった。 • 管理者は仕事で使うモバイルガジェットで不要なセンサを 利用禁止にしたい。 – モバイルガジェットのデバイスは組み込みで取り外しができない 44工場 リモートミーティング
  45. 45. その他の脅威 • モバイルガジェットのセンサは攻撃者ばかりでなく、ユー ザ(社員)も使いたい! • ユーザ(社員)が対応策を回避するかもしれない。 • 管理者は攻撃者ばかりでなく、ユーザも対象として対策 技術を考えなくてはならない。 45
  46. 46. 現在の対応策 46 プロテクションキャップ セキュリティシール(カメラ用) これらはユーザの良心に依存。 • セキュリティグッズ • BIOS/EFI によってデバイスを使用不可にする – 有効だが、全てのモバイルガジェットで有 効なわけではない。
  47. 47. 対策 • Active Directoryのグループポリシー – USBのアクセス制御。MSC/MTP/PTPの設定禁止はある。 • DeviceDisEnabler [Blackhat SaoPaulo 14, CodeBlue14] – ハイパーバイザーにより、正しいPCIデバイスを認証した場 合のみOSに提供する。 47
  48. 48. 内部からの攻撃 (1) • 無料のインターネットサービスへの攻撃 – ホテルなどのルータは外部から設定変更できないが、内部 からは可能。 • 西田慎(横浜国立大学)、ネットワーク機器の脆弱性を悪用した水飲 み場攻撃は起こりうるか?、暗号と情報セキュリティシンポジウム 2017 • ホテル内のWiFiに攻撃を仕込むDarkHotel – ホテルに滞在中のVIPへの標的型攻撃 – Kasperskyの調査によると日本、台湾、中国、ロシア、韓国 が多い。日本が2/3 48
  49. 49. 内部からの攻撃 (2) • 偽のWiFiサービス • コンバースニッチ – 一見普通の電球だが、マイクが搭載されていて、近くの会話をすべて拾う • 拾ったUSBからの攻撃 – USBメモリをばらまき実験(CompTIAレポート)で実証 • 17%の人がUSBを自分でデバイスに刺し、ファイルを開き、URLをクリックしている • 若い人ほど気にしていない – イリノイ大学での実験(BlackHat 2016) • 約半数がUSB内のファイルを開く。 • Bad USBのような攻撃(USBキーボードに偽装して入力)も可能。 49
  50. 50. 攻撃の変化 • 現状のPCへの攻撃では情報窃取がメインだが、IoT では物理的な物への攻撃になる。 – PC、スマホはユーザが使っているので気づかれないように 注意 – IoTへはセンサ特性を生かした攻撃 • センサの使い方は多種多様で色々な攻撃が考案されている 50 PC, スマホ IoT 情報窃取 ◎ × ランサムウェア ◎ × ボット化(踏み台) 〇 ◎ サイバーエスピオナージ 〇 ◎ サボタージュ × ◎
  51. 51. 攻撃のレベル • IoTの攻撃はまだPCより低い – PCでは多くの防御技術回避が考慮されている • ポリモーフィック型・ミューテーション型 • アンチデバッグ、アンチVM • ゼロディ – IoTではまだ単純な攻撃で十分 • Telnetのパスワード攻撃 • アンチデバッグ&アンチVMは無い 51
  52. 52. まとめ • IoTにより多種多様なセンサーが使えることにより、外 界に影響を及ぼす攻撃が可能 – あなたが攻撃者にもなりうる(NFCへの攻撃) • 開発やサポートはIoTのライフサイクルを考慮すべき • 幸い、まだまだ攻撃レベルは低いので今のうちに対 処する必要がある 52

×