信頼の問題:Matter Protocol の脆弱性を暴く

信頼の問題:Matter Protocol の脆弱性を暴く

スマートホームやIoT の世界が成長し続けるにつれ、セキュリティは消費者にとってもメーカーにとっても重要な側面となっている。Matterは、以前はProject CHIP(Connected Home over IP)として知られていたもので、Connectivity Standards Alliance(CSA)が監督するスマートホームとIoT デバイスのためのオープンソース規格である。グーグル、アマゾン、アップル、サムスンといった業界大手の支援を受けて、Matterは、メーカーに関係なく、スマートデバイスの相互運用可能なエコシステムを構築することを目指している。普及が進めば、スマートホーム環境の主要な標準になるだろう。

Nozomi Networks Labsは最近、Matterプロトコルに焦点を当てた調査を実施しました。新しいホワイトペーパーに詳述されている我々の調査結果は、Matterの実装における成果と課題の両方を浮き彫りにするセキュリティの脆弱性を明らかにしています。このブログでは、調査結果のハイライトと、IoT のエコシステムへの影響について紹介します。

マターのセキュリティ・フレームワークビジョン

Matterプロトコルは、スマートホームデバイスのための統一された安全なフレームワークを確立することを目的としており、業界の主要プレーヤーからの強力なバックアップを受けている。そのセキュリティモデルの基礎となるのがデバイス認証証明書(DAC)であり、デバイスが正規のものであること、認証されていること、Matterのコンプライアンス基準を満たしていることを保証する。デバイス認証は、暗号化秘密鍵にリンクされたDACを使用することで機能し、試運転中にデバイスがその真正性を確認できるようにする。

CSAは、暗号化され検証されたエコシステムの中で自身を認証する認証済みデバイスを重視し、強力なセキュリティ原則に基づいてMatterを設計しました。しかし、Matter は強固なフレームワークを提供する一方で、暗号鍵の物理的セキュリティなど、重要な実装の詳細はデバイスメーカーに委ねています。私たちの研究は、これらの理論的な保護が実際にどのように機能するかに焦点を当て、商用MatterデバイスのDAC秘密鍵が物理的な攻撃から適切に保護されているかどうかを調査しました。

画像ソースアップルマガジン

研究結果:露呈した脆弱性

Nozomi Networks Labsの研究チームは、商用マターデバイスにおけるDAC秘密鍵のセキュリティに関する重要な疑問に答えることに着手した:

  • DACの秘密鍵を安全に保管するために、どのようなハードウェアとソフトウェアの保護が実装されているか。
  • DACの秘密鍵にアクセスするために、これらの保護を迂回することは可能か?

解析の結果、このデバイスに使用されているSoCのデバッグ・インターフェースがロックされていることがわかりました。しかし、ハードウェアは既知の問題に対して脆弱であったため、これらのインターフェイスのロックを解除するためにフォールト・インジェクション攻撃を実行することができました。ロックが解除されると、デバイスのフラッシュ・メモリをダンプし、生のファームウェアにアクセスすることができました。

リバース・エンジニアリングにより、ベンダーがDACの秘密鍵を保護するためにカスタム難読化手順を実装していたことも判明した。しかし、私たちはこの難読化を逆手に取り、鍵の機密性を侵害することに成功しました。これらの発見は、物理的なアクセス権を持つ攻撃者が、いかにしてデバイスのクローンを作成したり、なりすましたりできるかを示しています。

Matterプロトコルはセキュアな設計を推奨しているが、DACキーの保護が義務付けられていないため、デバイスはクローン作成リスクにさらされている。より多くのIoT デバイスが市場に参入する中、このような脆弱性が大規模に悪用された場合、重大な影響を及ぼす可能性があります。例えば、侵害された DAC を持つクローンデバイスは、Matter ネットワーク内の他のノードと相互作用する可能性があり、アクセス制御リスト (ACL) ポリシーによっては、ユーザーをより広範なセキュリティリスクにさらす可能性があります。

CSAの教訓:安全保障上の課題への対応

CSAとの協力のもと、マター・プロトコルの防御をさらに強化するために、CSAが強調する重要な教訓も考慮に入れている。以下は、CSAからの4つの重要な考察である:

  1. セキュリティは時間とともに進化する:特に攻撃手法が急速に進化していることを考えると。IoT 、デバイスの寿命が延びるため、進化する脅威を予測し、それに適応する必要がある。今回のケースでは、私たちが悪用した根本的な脆弱性は、その後のハードウェア・アップデートで対処されていましたが、古いデバイスには脆弱性が残っています
  2. アクセス制御による影響の制限CSA は、Matter プロトコルがアクセス制御リスト(ACL)を活用して脆弱性の増幅を制限していることを強調しています。デバイスが侵害されたとしても、制限的な ACL ポリシーによって Matter ネットワーク内の相互作用を制御することで、影響を緩和することができます。これは効果的なソリューションですが、メーカーやエコシステムがこれらのポリシーを適切に設定できるかどうかに大きく依存します。
  3. 物理的セキュリティの重要性私たちが行った攻撃では、デバイスへの物理的なアクセスが必要でした。CSA は、メーカーがセキュア・エレメントやエンクレーブなどの技術を実装することで、物理的な攻撃をより困難にすることができると指摘しています。攻撃者が直接物理的なアクセスを行う場合、ソフトウェア・レベルの保護だけでは不十分であるためです
  4. 危険なデバイスに対する失効メカニズム:Matter が PKI ベースの失効メカニズムをサポートすることは、セキュリティ強化に向けた重要な一歩である。このメカニズムにより、危殆化した DAC の失効が可能になりますが、標準 SDK にはまだ実装されておらず、広く採用されていません。これが実現するまでは、危殆化したデバイスは依然としてリスクをもたらす可能性があり、より高いレベルの回復力を確保するためには迅速な進展が必要です。

デバイス認証 PKI 失効の役割

このような脆弱性に対処するため、CSA は新しい Matter 仕様に証明書の失効機能を導入した(2023 年秋にリリースされる標準のバージョン 1.2 で導入)。この機能により、コミッショナーはDACが失効したかどうかを検証できるようになり、侵害された機器からネットワークを保護するための重要な一歩となります。しかし、この失効プロセスは現在のところ標準仕様の一部であり、Matter SDKにはまだ実装されていませんし、デバイスメーカーが広く採用しているわけでもありません。

我々は、これらの保護メカニズムの導入における CSA の積極的なステップを全面的に認めるとともに、仕様と実用的な実装との間のギャップを埋めるという課題を認識している。失効メカニズムは有望ですが、SDK に完全に統合され、エコシステム全体で採用されるまでは、IoT デバイスは脆弱なままです。私たちは、エコシステム全体でより強固で一貫性のあるセキュリティを確保するために、CSAとさらに協力してこれらの開発を促進することを楽しみにしています。

リスクを天秤にかける

企業が製品を製造する場合、設備投資に対するリターンを測定するために、さまざまなインプットのバランスを調整するために多大な時間と労力が費やされる。どのようなビジネスにも、残存リスクを受け入れ、生産と販売を進めなければならない段階がある。そうしなければ、終わりのないサイクルとなり、最終的には事業の失敗につながる。

ハードウェア製品と製造は、ソフトウェア開発ライフサイクルとは異なり、しばらく前に物理的にインストールされたデバイスを継続的にリエンジニアリングすることができない。これらのデバイスは、脆弱性や欠陥を抱えたまま、家庭から始まりエネルギー、医療、大量輸送などの重要なインフラに至るまで、何十年にもわたって使用され続ける可能性がある。

最終製品のコンポーネントを選択する際、設計者は、セキュリティや信頼性の必要性とのバランスを取りながら、投資収益率について定められた基準を満たさなければならない。物理的なセキュリティーは、サイバーセキュリティーと同様に懸念事項である。

サプライチェーンへの攻撃が、もはや軍事力によって実行される必要のない時代になった。サプライチェーンに対するサイバー攻撃の実態は、ここ数年で何度も実証されている。簡単に検索すれば、いくつかの有名な攻撃がヒットする。

悪用可能なデバイスが家庭、病院、軍事施設、あるいは他のメーカーの生産工場のいずれにあるかにかかわらず、サプライチェーン攻撃の成功によって引き起こされる影響は、非常に現実的なものとなり、非常に迅速に発生する可能性がある。また、関係者の生活を一変させることもある。

設計者は、サプライヤーが顧客と同じようにセキュリティに真剣に取り組んでいることを知る必要がある。攻撃ベクトルや攻撃手法は時間とともに変化する。新しいツール、技術、プロセスは日々発見されている。常に変化し続ける状況であるにもかかわらず、製品が工場から出荷されると、ファームウェアやソフトウェアをアップデートする機会を除けば、ハードウェアの問題を回避するために再設計する機会はなくなってしまう。

メーカーは、顧客に最適な設置方法やメンテナンス方法を教えることで、長期的な関係を築くことができるからだ。

Nozomi Networks'IoT セキュリティへの取り組み

Nozomi Networks Labsにおける我々の研究は、脆弱性を明らかにするだけでなく、暗号資料の保護におけるベストプラクティスの採用を提唱することを目的としています。このホワイトペーパーでは、フォールト・インジェクション攻撃と、DAC秘密鍵にアクセスするために使用されたリバース・エンジニアリング技術の完全な分析、および物理攻撃に対するデバイスの耐性を向上させるための推奨事項を詳しく説明しています。このホワイトペーパーは、メーカー、開発者、セキュリティ専門家にとって、マターデバイスのセキュリティ確保における課題をよりよく理解し、軽減するためのリソースとなるでしょう。

結論より安全なIoT エコシステムへの移行

我々の調査は、Matter プロトコルのセキュリティフレームワークの強さと、さらなる開発が必要な領域の両方を浮き彫りにした。私たちが明らかにした脆弱性は、特に DAC キーの物理的な保護と失効機能の迅速な統合など、強固なセキュリ ティメカニズムを優先するようメーカーに促すものである。プロトコルを進化させ、これらの弱点に対処しようとする CSA のコミットメントは称賛に値する。

このホワイトペーパーでは、Matter準拠デバイスのIoT セキュリティを強化するための調査方法、技術的知見、実用的な洞察を詳しく紹介しています。当社は、IoT 業界のすべての関係者が当社の調査結果を確認し、世界中のユーザーにとってより安全なデジタル環境を構築するためにどのように協力できるかを検討することを推奨します。