2018/09/15のIoTSecJP Tokyo#4に登壇した際の資料です。

1. とあるセキュリティ会社の
無線通信セキュリティ診断
2018/9/15
IoTSecJP Tokyo#4
Ryosuke Uematsu

2. 本⽇お話すること
l無線通信セキュリティ診断の紹介
lどんな無線通信を対象にしているの？
lどんな⾵にしてやるの？
1

3. 2
⾃⼰紹介
上松 亮介
l無線通信を⽣業とする30過ぎのおっさん
MCPC IoTシステム技術検定の研修講師やってます
l某通信機器メーカ（2010〜2013年）
WiMAX基地局の設計・開発のお仕事
l某通信キャリア（2013〜2017年）
WCDMA/LTE基地局に関するお仕事
l某セキュリティ会社（2017年〜）
IoTセキュリティチームでコンサル、セキュリティ診断的なお仕事

4. IoTセキュリティチームの⼈たち
3
デバイスの⼈
HW SW 無線の⼈ システムの⼈
今⽇はここの⼈のお話

5. IoTで使われる無線通信いっぱいあるよね
4
通信距離
通信速度
近 遠
100Mbps
10Mbps
1Mbps
遅
速
1m 10m 100m 1km
当然
やらない理由
がない
ん〜やる？
⽇本発の規格だし
やるっしょ
これやらなきゃ始ま
らない！
時代はLPWA！
IoTで使われる無線通信すべてが対象

6. 5
まずは、、、
ひたすらドキュメントを読む！

7. 通信規格のドキュメントたち
6
通信プロトコルをまずは把握すべし
通信規格 標準規格 標準化団体
Wi-Fi IEEE 802.11a/b/g/n Wi-Fi Alliance
Bluetooth IEEE 802.15.1 Bluetooth SIG
ZigBee
IEEE 802.15.4
ZigBee-2007 Specification
ZigBee Alliance
Wi-SUN
IEEE 802.15.4g
IEEE 802.15.4e
Wi-SUN Alliance
LoRaWAN LoRaWAN Specification LoRa Alliance
LTE TS33/36シリーズ 3GPP

8. 7
いざ実践

9. まずは・・・
8
機材の準備をすべし
市販
ツール
価格
✔ ✔ ✔ ✔ ✔ × ×
そもそも仕様が⾮公開
数万円くらい 1千万円
以上
⼀旦
断念
買う
-
別の⽅法考える

10. SDRを使おう！
（例）LTE基地局シミュレータ
Anritsu社MD8475B
(参考)https://www.anritsu.com/ja-JP/test-measurement/products/md8475b
SDRデバイス
1,000万円〜 1万円〜
ü SDRデバイスがあればOK
ü 安価(1万円〜)
ü ソフトウェアで実現可能
ü 専⽤の機器が必要
ü ⾮常に⾼額
ü 市販されていない場合もある
なんでもできちゃう！

11. SDRの⽐較
HackRF One Ettus B200 Ettus B210 BladeRF x40 RTL-SDR LimeSDR
周波数 1M〜6GHz 70M〜6GHz 70M〜6GHz 300M〜
3.8GHz
22M〜2.2GHz 100k〜
3.8GHz
帯域幅 20 MHz 61.44 MHz 61.44 MHz 40 MHz 3.2 MHz 61.44 MHz
送信チャネル数 1 1 2 1 0 2
受信チャネル数 1 1 2 1 1 2
I/F USB 2.0 USB 3.0 USB 3.0 USB 3.0 USB 2.0 USB 3.0
出⼒ -10 dBm+ 10 dBm+ 10 dBm+ 6 dBm N/A max 10 dBm
価格 ¥33,000 ¥92,000 ¥150,000 ¥53,000〜 ¥10,000以内 $299
購⼊先 秋⽉電⼦ Ettusサイト Ettusサイト Amazon Amazon crowdsupply
所感 ⼊⾨ ⼗分 最強 まあまあ ⼊⾨ コスパ最強
10

12. SDRを使う際の注意点
11
違法電波はダメ絶対！
（参考）http://www.tele.soumu.go.jp/j/ref/material/bizakufaq/
電波が遮蔽される試験設備内で利⽤しましょう

13. LTEの偽装基地局環境を作ろう
12
eNB
MMEHSS
S-GWP-GW
LTEシステム（ざっくり）
IPアドレス
管理
ユーザ情報管理
ベアラ管理
ユーザ/eNBのセッション管理
インターネット
SDR
LTEオープンソースソフトウェア
この部分をSDRで実現
端末
鍵情報K値が
分かるテスト
SIMを使う
インターネット
SIM情報
の登録
端末

14. LTE偽装基地局を使ったセキュリティ診断
13
LTEの通信プロトコルスタック LTEの通信プロトコルスタック
脆弱性スキャ
ンツール
アプリケーション
データの解析・マ
ニュアル診断
IP
IoTデバイスごとのアプリケーション
TCP/UDP
IP
TCP/UDP
診断
LTE偽装基地局
診断対象デバイス
⾃動と⼿動どちらもできるよ

15. SDRを使ったLoRaWAN
14
LoRaWAN™ 1.1 Specification Figure.1より抜粋
この部分を
SDRで実現
LoRaWANのセキュリティの詳しい話はこの後の講演で！
SDR
LoRaWANのソフト
ウェア

16. LoRaWANシステムのセキュリティ診断
15
LoRaWAN
エミュレータ
LoRaWAN
デバイス
LoRaWAN
ゲートウェイ クラウド
クラウドへの
影響まで確認
SDR
LoRaWANシステムの診断対象
盗聴
リプレイ
なりすまし
DoS
あるLoRaWAN機器でリプレイ攻撃に
よって通信断となる状態も確認済み

17. こんなリプレイ攻撃がされたら・・・
16
⼯場 ⼀⻫にリプ
レイ攻撃
あれ〜データ
が更新されな
いな？

18. Sigfoxもやってみた
SigfoxはフランスのSIGFOX社が策定した独⾃の通信⽅式のため詳細は公
開されていません。
17
SIGFOX
基地局
SIGFOX
バックエンド
KCCS提供範囲
独⾃プロトコル 独⾃プロトコル httpsなど
SIGFOX
デバイス
クラウドサービス
セキュリティ機能（公開情報）
• メッセージ認証
• 完全性保護
• リプレイ保護
• 暗号化 (ただし、オプション)
まずは無線区間の通信解析

19. セキュリティ診断する際の視点
18
不正なデバイスになりすまして、IoTネット
ワークへ不正侵⼊、DoS攻撃
不正なゲートウェイになりすまして中間者攻
撃、情報収集
通信内容の盗聴
リプレイ攻撃
IoTゲートウェイ、デバイスへの不正侵⼊、
DoS攻撃
IoTデバイス、IoTゲートウェイになりすま
して、不正侵⼊、DoS攻撃、データ改竄
IoTプラットフォーム
広域通信網
IoTゲートウェイ
IoTエリア
ネットワーク
IoTデバイス

20. この先やるなら
lV2X通信の解析
⇒セルラーV2X、IEEE802.11p、ITSConnect
どれか⼀つでも解析してしまいたい！
leSIMを使った環境を作る
⇒IoTデバイスはUSIMじゃなくてeSIMがメイン。
l5Gに関する何か
⇒MEC、non-3gppアクセス、⾊々楽しいことが待っていそう。
19

21. 最後に・・・
⼀緒に無線通信のセキュリティやってくれ
る⼈ウェルカムです！
(もちろん無線だけじゃなくとも！)
20