この10年の終わりまでに、接続されるIoT デバイスの数は400億を超え、現在の2倍になる。つまり、400億台のデバイスが通信し、データを交換し、潜在的にパッチの適用されていない、悪用可能なデバイスが存在することになる。そしてIoT 成長は、それが技術インフラにもたらすリスクや課題にもかかわらず、今後も続くだろう。
新しいテクノロジーは素晴らしい新機能を提供する一方で、新たなリスクも伴います。脅威を検知し、これらのリスクに対処する戦略を実施し、IoT デバイスの広範な使用と成長のおかげで存在するセキュリティ・ギャップを埋めるのは、私たち次第です。
ESP-NOWとIoT 機能の豊富さ
私たちはこれまで、使いやすさを経験してきた。プラグ・アンド・プレイのデバイスは、今やIoT デバイスとなり、ユーザーの操作なしで検出可能で、情報は無線で、時には暗号化されずに共有される。
そこでESP-NOWの登場である。Espressifによって開発されたESP-NOWは、デバイス間の直接無線通信用に設計された独自のプロトコルです。OSIモデルのデータリンク層で動作し、Wi-Fiアクションフレームに依存するこのプロトコルは、エスプレシフのESP-IDF SDKのオープンソース拡張モジュールとして提供されています。ESP-NOWは、Wi-Fi接続を特徴とするエスプレシフの各種SoCと互換性があり、デバイス間のシームレスで効率的な通信を促進します。ESP-NOWは迅速な応答を提供するよう特別に設計されており、混雑したネットワーク環境でしばしば発生する遅延やパケットロスを低減します。これにより、ESP-NOWはIoT アプリケーションの接続性を強化したい開発者にとって理想的なソリューションとなります。
ESP-NOWは「1対多」と「多対多」の両方のデバイス制御構成をサポートしています。この柔軟性により、1つのリモートコントロールで複数のスマートデバイスとペアリングすることができ、ネットワーク内で複雑な制御スキームを実現することができます。さらに、ESP-NOWは独立したプロトコルとして機能するため、デバイスのプロビジョニング、デバッグ、ファームウェアのアップグレードに非常に有効です。
つまり、通信事業者が任意の時点で何千台ものデバイスを配備したり、プロビジョニングしたりすることを可能にするプロトコルがあるのだ。Nozomi Networksセキュリティ研究チームはESP-NOWを分析し、このプロトコルの脆弱性を特定した。潜在的なセキュリティの影響を理解するため、チームは概念実証のリプレイ攻撃シナリオを構築した。
脆弱性の分析リプレイ攻撃
なお、Espressif 社が調査した結果、パッチの適用に成功しているため、今回確認された脆弱性は新バージョンでは適用されない。以下では、ESP-NOWがリプレイ攻撃から通信を保護するために採用したメカニズムと、それを回避するためにNozomi Networks 研究所が使用した戦略について説明する。
始めよう
リプレイ攻撃とは、正当なデータ送信を悪意を持って複製し、再送信することである。攻撃者は有効な通信を傍受して再送信し、受信者を欺いて再生されたメッセージを新しいものとして扱わせます。この脆弱性は、繰り返される送信を検知し、ブロックする機能を持たないセキュリティ・システムを回避するために悪用される可能性があるため、特に問題となる。
ESP-NOWでは、モーションセンサーや煙センサーなど、セキュリティに敏感な機能をメッセージで制御することがあるため、そのリスクは非常に高くなります。リプレイ攻撃が成功すると、これらの重要なシステムが使用不能になり、深刻なセキュリティ侵害につながる可能性があります。対策としては、通常、メッセージ内にタイムスタンプまたはnonce値を埋め込んで、メッセージの一意性と適時性を検証します。このような対策により、たとえメッセージが傍受されたとしても、その再送信によってシステムのセキュリティが損なわれることはありません。
ESP-NOWでは、リプレイ攻撃を阻止する戦略として、送信される各メッセージに一意の「マジック」値を使用する。ESP-NOWの各メッセージには、送信ごとにランダムに生成される16ビットの「マジック」値が含まれています。この技術により、各メッセージが固有の識別子を持つことが保証され、リプレイ攻撃に対するセキュリティが強化されます。
その後、ESP-NOWノードはローカル・マジック・キャッシュを利用してこれらの値を記録する。各受信メッセージに対して、このキャッシュはメッセージタイプとそれに対応するマジック値からなるペアを保存する。
メッセージの受信中、図 1 の上部に概説されているように、デフォルトの受信コールバック関数は、最初にこのキャッ シュをチェックすることで、受信する ESP-NOW メッセージを処理する。受信メッセージのタイプとマジック値が既にキャッシュに存在する場合、そのメッセー ジは重複とみなされ、速やかに破棄され、それ以上の処理は行われない。逆に、キャッシュに受信メッセージの type と magic にマッチするエントリがない場合、受信メッセージは処理のために受 け入れられ、キャッシュはこの新しいペアを含むように更新される。
残念ながら、ESP-NOWのこの保護メカニズムにはいくつかの弱点があります。各ノードがマジックバリューを保存するために維持するローカルキャッシュは、本質的に容量が制限されています。つまり、キャッシュが一杯になると、新しいメッセージがそのタイプとマジックバリューで最も古いエントリを上書きしてしまいます。さらに、このキャッシュはメッセージの種類によって区別されることはなく、ブロードキャストであろうとユニキャストであろうと、また暗号化されていようと平文であろうと、すべての種類のメッセージに対して単一の共有リソースとなる。
この設計上の欠陥は、重大なセキュリティの抜け穴をもたらす。平文、ブロードキャスト、および認証されていないESP-NOWメッセージのバーストでネットワークをフラッディングすることが可能である。このような戦略により、攻撃者は正当なエントリのキャッシュを消去できる可能性があり、それによって以前にキャプチャしたパケットを再投入する機会を作り出すことができる。
図 2 に示すパケット I/O グラフには、攻撃者によって注入されたパケットのバーストが示されています。ESP-NOWが低ビットレートのシナリオで一般的に利用されていることを考えると、このようなトラフィックの異常なスパイクは、悪意のある活動の重要な指標となり得ます。このようなバーストを観察すると、リプレイ攻撃の前兆として、マジックキャッシュのフラッドが進行中である可能性が示唆されます。
今回の攻撃シナリオによって明らかになった脆弱性は、潜在的なリスクを示すだけでなく、このような脅威を効果的に軽減するためのセキュリティ対策強化の重要性を浮き彫りにした。
Nozomi Networks プラットフォームでは、Guardian Air ワイヤレスセンサーがリプレイ攻撃を検知することができる。図3に示すように、アラートを即座に上げることができるため、オペレータはタイムリーに優位に立つことができます。
アラートをクリックすると、図 5 に示すように、解析可能なキャプチャ・データを含む PCAP ファイルなど、さらに詳細な情報を得ることができます。検出された場合、是正措置を講じることができ、運用上の損失や侵入・妨害行為の可能性を防ぐことができます。
インフラの弱点や脅威を検知する技術を導入することで、Nozomi Networks 「使いやすさ」というコンセプトを実用的で安全なものに変え、正しく安全にイノベーションを推進することができる。
結論
使いやすさと機能の豊富さは、常にユーザーが最初に体験するものだが、潜在的な悪用への扉を開くことになるため、これらの要素はリスクとなる。
侵入者を見逃す可能性のある無効化されたセンサーや、時間内に誰も気づかない施設内の発煙など、ESP-NOW対応機器におけるリプレイ・アタックのような脆弱性のリスクはあまりにも高く、適切な技術を導入することで大幅に減らすことができる。
Vantage Guardian Air、攻撃の発生を検知するだけでなく、デバイスにパッチが適用されていなかったり、既知の脆弱性がある場合にフラグを立てることができます。
法的な影響や重要なシステムがダウンすることにとどまらず、攻撃者の行動や動機がもはや金銭的なものではなくなった世界では、業務の継続性を確保することが最も重要である。その点、Nozomi Networks 、アクセスしようとする攻撃者を早期に発見し、その意図を予定通りに挫くことができる驚くべきテクノロジーを生み出した。
