検索
連載

高度なマルウェアを解析するには“触診”が一番? 「PacSec 2014」リポートセキュリティ業界、1440度(12)(2/3 ページ)

2014年11月12日〜13日、セキュリティカンファレンス「PacSec 2014」が東京で開催されました。1日目の講演をリポートしましょう。

Share
Tweet
LINE
Hatena

USBメモリが“牙”をむく

 カールステン・ノール氏による講演「BadUSB 悪に化けるアクセサリー」では、2014年夏にラスベガスで開催された「Black Hat USA 2014」での内容をブラッシュアップしたものでした。


「BadUSB 悪に化けるアクセサリー」講演を行うカールステン・ノール氏

 「BadUSB」は、Black Hat以降、国内でも大きな話題となったためご存じの方も多いかと思います。誤解を恐れずに内容を要約すると「細工が施された悪意のUSBデバイスをPCに挿入することでPCを乗っ取ることができ、かつそれに対する現実的な対策が存在しない」ということになります。

 USBデバイスには、コントローラーおよびファームウェアが内蔵されており、USBデバイスをコンピューターに挿入することで、プラグアンドプレーにより自動的に各種初期化が行われます。この初期化の過程でファームウェアが自動的に実行されており「自デバイスが何者であるか」などの登録処理が行われます。

 通常、USBメモリであれば自デバイスがストレージであることがPCに通知されますが、ファームウェアを改ざんすることで、自デバイスがUSBキーボードであるように偽装することができます。実際に行われたデモでもUSBメモリを利用していましたが、原理的にUSBメモリに限らずあらゆるUSBデバイスが、本来とは異なるデバイスであることを偽ることが可能です。これは、USBデバイスにおいてファームウェアの改ざんをチェックする機構が仕様上存在しないことに起因します。

 さらに、脅威はこれにとどまりません。例えば、USBメモリをUSBキーボードと偽装した場合、PC側からは接続されているUSB機器はUSBキーボードにしか見えません。これは、USBデバイス内のファームウェアを実行しているのがPCではなく、あくまでUSBデバイス自身だからです。そのため、改ざんされたファームウェアが「Ctrl-Alt-Deleteキーが押された」ことに相当する命令を実行した場合、PCから見ると新たに接続されたUSBキーボード上で当該キーが押された、としか判断できないため、それにならった動作を行います。

 攻撃シナリオの具体例の一つが、このキーボード操作の乗っ取りになります。他にも、USBデバイスをイーサーネットアダプターに偽装し、細工したDHCP応答でPCのDNS設定を改ざんするなどの攻撃シナリオが紹介されました。

 一方、対策として下記が挙げられていましたが、いずれも一長一短であり、現状銀の弾丸が存在しないというのが実態のようです。

  • USBデバイスのホワイトリスト制限
    • USBデバイスのシリアルナンバーはユニークとは限らない
    • ホワイトリスト機能を有したOSは現時点では存在しない(対策にはサードパティのセキュリティソフトが必要)
  • 特定のデバイスクラス、またはUSB自体を無効化する
    • 利便性を大きく損なう
  • デバイスファームウェアのスキャン
    • PCからはUSBデバイス内のファームウェアをスキャンできない
    • ファームウェアアップデートにコード署名を適用する
    • 既存の膨大なデバイスが脆弱なままとなる
    • リソースが制限されたUSBデバイスで強固な暗号技術の利用は困難
    • 設計、実装エラーにより問題が残存する可能性がある
  • ファームウェアアップデートを無効化する
    • 単純で効果的だが、文字通りアップデートが不可能になる

 ここまでの内容は、おおむねBlack Hat USA 2014での発表内容となっていますが、カールステン氏は、身の回りのUSBデバイスをどの程度BadUSB化できるかという追加調査を行ったようです。

 市場で流通している大手ベンダー8社のUSBデバイスを調達し、調査を行った結果、約半分のデバイスをBadUSB化することができたことが報告されました。傾向としては、最近発売されたもので、機能が複雑なデバイスほど成功するとのことです。BadUSB化が成功しなかったデバイスについても、何らかのセキュリティ機構により防止されているわけではなく、単にBadUSB化するための機能が不足しているといった実装上の問題であり「ファームウェアの改ざんが可能」という設計上の根本的な問題は共通しているようです。

 このような調査結果については、カールステン氏が所属するSRLabsのWebページ上で公開されています。

関連記事

重鎮の話から緩いイベントまで:

ITセキュリティの最先端、Black Hat USA 2014レポート(@IT)

http://www.atmarkit.co.jp/ait/articles/1408/21/news009.html


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  9. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  10. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
ページトップに戻る