LTEデバイスのセキュリティ診断3ステップ

1. LTEデバイスのセキュリティ診断
3ステップ
2019/3/16
IoTSecJP Tokyo Version5.0
Ryosuke Uematsu

2. 本日お話すること
LTE通信するデバイスを診断する際の3ステップ
Step1. LTEプロトコルのセキュリティ評価
Step2. eSIMとSIMカード
Step3. アプリケーション層のセキュリティ評価
1

3. 自己紹介
お仕事歴
某通信機器メーカー（2010～2013年）
WiMAX基地局の設計・開発のお仕事
某通信事業者（2013～2017年）
WCDMA/LTE基地局の開発・検証のお仕事
某セキュリティ会社（2017年～）
IoTセキュリティチームでコンサル、セキュリティ診断的
なお仕事
2
上松 亮介
SlideShare
はてブ
MCPC IoT研修講師

4. IoTセキュリティチームの人たち
3
デバイスの人
HW SW 無線の人 システムの人
今日はここの人のお話

5. IoTで使われる無線通信いっぱいあるよね
4
通信距離
通信速度
近 遠
100Mbps
10Mbps
1Mbps
遅
速
1m 10m 100m 1km
今日はこいつに
フォーカス

6. SDRを使おう！
（例）LTE基地局シミュレータ
Anritsu社MD8475B
(参考)https://www.anritsu.com/ja-JP/test-measurement/products/md8475b
SDRデバイス
1,000万円～ 1万円～
✓ SDRデバイスがあればOK
✓ 安価(1万円～)
✓ ソフトウェアで実現可能
✓ 専用の機器が必要
✓ 非常に高額
✓ 市販されていない場合もある
なんでもできちゃう！

7. LTEの偽装基地局環境を作ろう
6
eNB
MMEHSS
S-GWP-GW
LTEシステム（ざっくり）
IPアドレス
管理
ユーザ情報管理
ベアラ管理
ユーザ/eNBのセッション管理
インターネット
SDR
この部分をSDRで実現
端末
インターネット
OSSを使う
srsLTE
openLTE
OAIなど
端末

8. SDRを使う際の注意点
7
違法電波はダメ絶対！
（参考）http://www.tele.soumu.go.jp/j/ref/material/bizakufaq/
電波が遮蔽される試験設備内で利用しましょう

9. LTE偽装基地局を使ったセキュリティ診断
8
LTEの通信プロトコルスタック
IP
IoTデバイスごとのアプリケーション
TCP/UDP
診断
LTE偽装基地局
診断対象デバイス
LTEデバイスのブラックボッ
クス的なセキュリティ診断
のステップを紹介

10. 9
Step1.
LTEプロトコルのセキュリティ評価

11. SIMは何のためにあるのか？
10
SIMの情報を用いて行うこと
事業者設備との相互認証
暗号化・完全性保護の鍵導出
SIMに含まれる情報
K値：認証などに利用する128bitの鍵
IMSI：SIMを識別する番号。国番号+事業者番号+固体識別番号で構成。
MSISDN：電話番号 など
偽装基地局に接続させるにはSIMの情報が不可欠

12. こんな研究報告が出ている
11
LTEFuzzと名付けられたツール(openLTE, srsLTEがベース)
を用いて脆弱性を検出
2019年1月韓国の研究者によってLTE通信プロトコル（RRC/NAS）の
動的セキュリティ解析により新たな脆弱性が36件発表されました
脆弱性の一つに認証をバイパスできるものが存在した

13. LTEの認証のタイミング
12
アタッチ コネクトモードへの遷移 ハンドオーバー
・電源ON
・フライトモード解除
アタッチ済み。無通信状
態から通信再開。
通信した状態で移動して別の
基地局に遷移
可能性あり 可能性あり 極めて困難
（正規基地局とやり取りしていた情報を知る術がない）
発生
タイミング
偽装基地局
介入可能性
IDLE状態から
通信再開
初期接続
前の基地局との接
続情報をコア設備
内でやり取り
おおまかに3ケース存在する

14. LTEのアタッチシーケンス
13
UE eNB MME HSS S/P-GW
認証要求
チャレンジ&レスポンスによる相互認証
コア設備との
暗号化・完全性保護のアルゴリズム決定
APNの情報通知
IPアドレスの払い出し
認証
無線区間の
暗号化・完全性保護のアルゴリズム決定
無線接続
認証
認証完了
もし、赤色箇所をバイパスで
きる様な問題があったら

15. Step1のゴール
14
対象デバイス
偽装基地局LTEプロトコル診断用
のソフトウェアを用意
して診断する 認証・暗号化・完全性保護
全て無効化
本事象はあくまで可能性があるというお話です。
(参考) Hongil Kim, Jiho Lee, Eunkyu Lee, and Yongdae Kim, "Touching the Untouchables: Dynamic Security
Analysis of the LTE Control Plane," IEEE Symposium on Security and Privacy (SP), 2019 (To appear)
LTE認証バイパス脆弱性の検出

16. 15
Step2. eSIMとSIMカード

17. SIMの情報が分からないと偽装基地局には接続できない
16
対象デバイス
商用ネットワークに接続する
SIMの情報は残念ながら合法的
に知ることはできない
偽装基地局
接続してきて
も相互認証が
できない
テストSIM(※)へ
差し替えが必要
※SIM内に書き込まれた情報が公開されているテスト用のSIMカード
NG

18. IoTデバイスで使用されるSIM
17
従来のカードタイプ
埋め込みタイプ
Embedded SIM(eSIM)
SIMの差し替えを想定
していない
（参考）https://www.st.com/en/evaluation-tools/p-l496g-cell02.html
eSIM
こんな感じで基板に直接実装されている
小型化・振動耐性などにより、基板に直接実装するタイプの
eSIMがIoTデバイスでは使用されることが多い

19. SIMカードとeSIM何が違うの？
18
異なるのは形状だけ
ISO 7816-3で規定されている
ピン番号 用途
1 VCC
2 RST
3 CLK
4 Reserved
5 GND
6 VPP
7 I/O
8 Reserved
①②③④
①②③④
つまり、eSIMを外してSIMカードを同じピ
ン番号に配線すれば電気的には動作するはず
⑤ ⑥ ⑦ ⑧
⑤ ⑥⑦⑧

20. Step2のゴール
19
対象デバイス
偽装基地局
テストSIMの情報を使って
偽装基地局に接続させる テストSIMを挿した状態
「eSIM」を「テストSIM」に差し替え

21. 20
Step3.
アプリケーション層のセキュリティ評価

22. Step1, 2によってLTEの接続は完了
21
LTEの通信プロトコルスタック LTEの通信プロトコルスタック
アプリケーションレイヤーの診断
IP
TCP/UDP
IP
TCP/UDP
LTE偽装基地局 診断対象デバイス
接続確立
IoTデバイスのアプリケーションIPで通信可能

23. ①とりあえずスキャン(LTE偽装基地局→IoTデバイス)
22
LTE偽装基地局
診断対象デバイス
・メンテナンスポート
・管理WebUI
などを探索
LTEシステムでアサインした
IPアドレスに対して、ポート
スキャン、脆弱性スキャン

24. ②情報収集（IoTデバイス→LTE偽装基地局）
23
LTE偽装基地局
診断対象デバイスインターネット
？？
IoTデバイスと外部サーバの通信情報を盗聴
して、どういった通信が流れているか解析
土管屋に徹する

25. ③収集した情報を元にしたセキュリティ評価
24
LTE偽装基地局 診断対象デバイス
DNSクエリ
インターネット
偽アプリサーバアドレス応答
偽DNS
サーバ
偽アプリ
サーバ
偽DNSサーバアドレスを付与偽LTE
基地局
リクエスト
デバイスを不正操作する応答
一度も外部に
通信が流れる
ことなくPC1
台ですべてを
実現可能
なりすました攻
撃者かどうか正
しく検証してい
ないと・・・
情報収集した結果を反映
その一例

26. Step3のゴール
25
対象デバイス
偽装基地局＋アプリケーションツール
デバイスおよび上位サーバへの攻
撃につながる脆弱性を検知する
アプリケーションの脆弱性を検出

27. LTEデバイスを正しく守るために
26
LTEのセキュリティは通信事業者に依存するため、通
信事業者が提供するインフラだけに頼らない
TLSを使ってアプリケーションレイヤーの通信を暗号
化する等、デバイスとクラウドのE2Eのセキュリティ対
策が重要
アプリケーションサーバの真正性を確認することも併
せて行うこと

28. まとめ
本日ご紹介した内容を悪用することは厳禁です。
診断の流れ
LTEプロトコルのソフトウェアセキュリティ評価
問題なければ、SIMを差し替えて接続
アプリケーションレベルのソフトウェアセキュリティ評価
LTEプロトコル上のセキュリティですべてが守られているとは考えない
アプリケーションレベルで正しくセキュリティ対策を行うことが重要
27