スマートホームや IoTの世界が成長を続ける中,消費者およびメーカーにとってセキュリティは重要な要素となっています.Matter (旧称:Project CHIP (Connected Home over IP)) は,CSA (コネクティビティ スタンダード アライアンス) が管理するスマートホームおよび IoT デバイスのオープンソース標準です.Google,Amazon,Apple,Samsung などの業界大手の支援を受け,Matter はメーカーを問わずスマートデバイスの相互運用可能なエコシステムの構築を目指しています.採用が拡大するにつれ,スマートホーム環境の主要な標準となることが期待されています.
Nozomi Networks Labs は最近,Matter プロトコルに焦点を当てた研究を実施しました.ホワイトペーパーに詳述されている私たちの調査結果は,Matter の実装における成果と課題の両方を浮き彫りにするセキュリティ脆弱性を明らかにしています.このブログでは,私たちの調査結果のハイライトと,IoT エコシステムへの影響についていくつか紹介します.
Matter のセキュリティフレームワーク:ビジョン
Matter プロトコルは,スマートホームデバイス向けの統一された安全なフレームワークの確立を目指しており,業界の主要企業から強力な支援を受けています.そのセキュリティモデルの基盤となるのが,DAC (デバイス認証証明書) です.デバイス認証証明書は,デバイスが正規品であり,認証済みであり,Matter のコンプライアンス基準を満たしていることを保証します.デバイス認証は,暗号化の秘密鍵にリンクされた DAC を使用することで機能し,デバイスの稼働時にその真正性を検証することができます.
CSA は,暗号化され検証されたエコシステム内で認証を行う認証デバイスを重視し,強固なセキュリティ原則に基づいて Matter を設計しました.しかし,Matter は強固なフレームワークを提供しているものの,暗号化キーの物理的セキュリティなど,実装の重要な詳細についてはデバイス製造者に委ねられています.当社の調査では,これらの理論上の保護が実際にはどのように機能するかに焦点を当て,市販の Matter デバイス内の DAC の秘密鍵が物理的攻撃に対して適切に保護されているかどうかを検証しました.
研究結果:露呈した脆弱性
Nozomi Networks Labs の研究チームは,市販されている Matter デバイスにおける DAC のプライベートキーのセキュリティに関する重要な疑問の解決に取り組みました.
- DAC の秘密鍵を安全に保管するために,どのようなハードウェアおよびソフトウェアによる保護が実施されているでしょうか.
- これらの保護を回避して DAC の秘密鍵にアクセスすることは可能でしょうか.
解析の結果,このデバイスで使用されている SoC のデバッグインターフェースがロックされていることが判明しました.しかし,このハードウェアは既知の問題に対して脆弱であったため,このインターフェースのロックを解除するフォールトインジェクション攻撃を実行することができました.ロックが解除されると,デバイスのフラッシュメモリをダンプし,生のファームウェアにアクセスすることが可能になりました.
また,リバースエンジニアリングにより,ベンダーが DAC のプライベートキーを保護するために独自の難読化手順を実装していることも判明しました.この難読化を解除し,キーの機密性を損なうことに成功しました.これらの調査結果は,物理的にアクセスできる攻撃者がデバイスを複製したり,なりすましたりできる可能性があることを示しています.
これらの調査結果は,重要な懸念事項を浮き彫りにしています.Matter プロトコルは安全な設計を促進しますが,DAC キーの保護が義務づけられていないため,デバイスはクローニングのリスクにさらされたままになります.IoT デバイスが市場に多く出回るようになると,このような脆弱性が大規模に悪用された場合,重大な影響をおよぼす可能性があります.たとえば,DAC が侵害されたクローンデバイスが Matter ネットワーク内の他のノードと通信し,ACL (アクセス制御リスト) ポリシーによっては,ユーザーがより広範なセキュリティリスクにさらされる可能性があります.
CSA の教訓:安全保障上の課題への対応
CSA との協力により,Nozomi Networks Labs は,Matter プロトコルの防御をさらに強化することを目的とした教訓も考慮しました.CSA による 4つの重要な考慮事項は以下の通りです.
- セキュリティは時間とともに進化する:特に攻撃手法が急速に進化していることを考えると,セキュリティが進化することは当然だと考えられます.IoT ,デバイスの寿命が延びるため,進化する脅威を予測し,それに適応する必要があります.今回のケースでは,悪用された根本的な脆弱性は,その後ハードウェアアップデートで対処されましたが,古いデバイスには脆弱性が残っています.
- アクセス制御による影響の制限: CSAは,Matter プロトコルがACL (アクセス制御リスト) を活用することで脆弱性の増幅を制限することを強調しています.デバイスが侵害された場合でも,制限的な ACL ポリシーによって Matter ネットワーク内のやりとりを制御することで影響を緩和することができます.これは効果的なソリューションですが,メーカーやエコシステムがこれらのポリシーを適切に設定していることが大前提となります.
- 物理的セキュリティの重要性: Nozomi Networks Labs が
実施した攻撃には,デバイスへの物理的アクセスが必要でした.CSA は,メーカーがセキュアエレメントやエンクレーブなどの技術を導入することで,物理的攻撃をより困難にできると指摘しています.これは,メーカーが考慮すべき保護の重要な側面です.攻撃者が直接物理的アクセスを持つ場合,ソフトウェアレベルの保護のみに頼ることは不十分です. - 侵害されたデバイスの無効化メカニズム:Matter の PKI ベースの無効化メカニズムのサポートは,セキュリティ強化に向けた重要なステップです.このメカニズムにより,侵害された DAC の無効化が可能になりますが,標準の SDK にはまだ実装されておらず,広く採用されているわけでもありません.これが実現するまでは,侵害されたデバイスが依然としてリスクをもたらす可能性があり,より高いレベルの耐性を確保するためには迅速な進展が必要です.
デバイス認証 PKI 失効の役割
このような脆弱性に対処するため,CSA は,より新しい Matter の仕様 (2023年秋にリリースされた標準のバージョン 1.2で導入) に証明書の失効機能を取り入れました.この機能により,委任者は DAC が失効されているかどうかを確認できるようになり,侵害されたデバイスからネットワークを保護するための重要なステップとなります.しかし,この失効プロセスは現在,標準の仕様の一部であり,Matter SDK には実装されておらず,またデバイス製造業者によって広く採用されているわけでもありません.
CSA がこれらの保護メカニズムを導入した積極的な取り組みを全面的に評価するとともに,仕様と実装のギャップを埋めることの難しさを認識しています.無効化メカニズムには期待が持てますが,それが完全に SDK に統合され,エコシステム全体で採用されるまでは,IoT デバイスは脆弱なままです.私たちは,CSA とさらに協力し,これらの開発を促進し,エコシステム全体でより強固で一貫性のあるセキュリティを確保していきたいと考えています.
リスクを天秤にかける
企業が製品を製造する場合,設備投資に対するリターンを測定するために,さまざまなインプットのバランスを調整するために多大な時間と労力が費やされる.どのようなビジネスにも,残存リスクを受け入れ,生産と販売を進めなければならない段階がある.そうしなければ,終わりのないサイクルとなり,最終的には事業の失敗につながる.
ハードウェア製品と製造は,ソフトウェア開発ライフサイクルとは異なり,しばらく前に物理的にインストールされたデバイスを継続的にリエンジニアリングすることができない.これらのデバイスは,脆弱性や欠陥を抱えたまま,家庭から始まりエネルギー,医療,大量輸送などの重要なインフラに至るまで,何十年にもわたって使用され続ける可能性がある.
最終製品に搭載するコンポーネントを選択する際,設計者は投資収益率の基準を満たす必要があり,その一方で,セキュリティと信頼性のニーズとのバランスを取らなければなりません.物理的なセキュリティは,サイバーセキュリティと同様に懸念事項です.
現在のサプライチェーン攻撃は,軍事力によって実行される必要はありません.サプライチェーンに対するサイバー攻撃の現実が,ここ数年で何度か実証されています.簡単な検索で,いくつかの有名な攻撃がヒットします.
悪用可能なデバイスが家庭,病院,軍事施設,あるいは他のメーカーの生産工場にあるかどうかに関わらず,サプライチェーン攻撃が成功した場合の影響は,非常に現実的で,非常に迅速に現れる可能性があります.また,それらの影響は,関係者の生活をも変えてしまう可能性があります.
設計者は,サプライヤーが顧客と同様にセキュリティを真剣に受け止めていることを知っておく必要があります.攻撃ベクトルや手法は時とともに変化します.新しいツール,技術,プロセスは日々発見されています.状況は常に変化していますが,いったん製品が工場を出荷されてしまうと,ファームウェアやソフトウェアを更新する機会を除いて,ハードウェアの問題を再設計する機会は失われてしまいます.
メーカーは,顧客に最適な設置およびメンテナンス方法を教育することで,長期的な関係を構築できるため,既得権益を得ることができます.
Nozomi Networks の IoT セキュリティへの取り組み
Nozomi Networks Labs の研究は,脆弱性を明らかにするだけでなく,暗号化素材を保護するためのベストプラクティスの採用を提唱することを目的としています.ホワイトペーパーで詳しく説明しているように,DAC のプライベートキーにアクセスするために使用されるフォールトインジェクション攻撃とリバースエンジニアリング技術の完全な分析を提供するとともに,物理的攻撃に対するデバイスの耐性を向上させるための推奨事項も提示しています.このホワイトペーパーは,メーカー,開発者,セキュリティ専門家が,Matterデバイスのセキュリティ確保における課題をよりよく理解し,軽減するためのリソースとなります.
結論:より安全な IoT エコシステムへの移行
私たちの研究は,Matter プロトコルのセキュリティフレームワークの強みと,さらなる開発が必要な領域の両方を浮き彫りにしました.私たちが発見した脆弱性は,メーカーが堅牢なセキュリティメカニズムを優先的に採用するよう促すものであり,特に DAC キーの物理的な保護と失効機能の迅速な統合において優先的に採用されるべきです.プロトコルの進化とこれらの脆弱性への対応に尽力するCSAの姿勢は称賛に値します.また,継続的な協力により,これらの脆弱性を効果的に軽減できると確信しています.
このホワイトペーパーでは,Matter 準拠のデバイスにおける IoT セキュリティ強化に向けた,当社の調査方法,技術的知見,実行可能な洞察について詳しく説明しています.IoT 業界のすべての関係者の方々に,当社の知見をご確認いただき,世界中のユーザーにとってより安全なデジタル環境を構築するために,当社とどのように協力できるかをご検討いただくことをお勧めします.
