検索
連載

高度なマルウェアを解析するには“触診”が一番? 「PacSec 2014」リポートセキュリティ業界、1440度(12)(2/3 ページ)

2014年11月12日〜13日、セキュリティカンファレンス「PacSec 2014」が東京で開催されました。1日目の講演をリポートしましょう。

Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

USBメモリが“牙”をむく

 カールステン・ノール氏による講演「BadUSB 悪に化けるアクセサリー」では、2014年夏にラスベガスで開催された「Black Hat USA 2014」での内容をブラッシュアップしたものでした。


「BadUSB 悪に化けるアクセサリー」講演を行うカールステン・ノール氏

 「BadUSB」は、Black Hat以降、国内でも大きな話題となったためご存じの方も多いかと思います。誤解を恐れずに内容を要約すると「細工が施された悪意のUSBデバイスをPCに挿入することでPCを乗っ取ることができ、かつそれに対する現実的な対策が存在しない」ということになります。

 USBデバイスには、コントローラーおよびファームウェアが内蔵されており、USBデバイスをコンピューターに挿入することで、プラグアンドプレーにより自動的に各種初期化が行われます。この初期化の過程でファームウェアが自動的に実行されており「自デバイスが何者であるか」などの登録処理が行われます。

 通常、USBメモリであれば自デバイスがストレージであることがPCに通知されますが、ファームウェアを改ざんすることで、自デバイスがUSBキーボードであるように偽装することができます。実際に行われたデモでもUSBメモリを利用していましたが、原理的にUSBメモリに限らずあらゆるUSBデバイスが、本来とは異なるデバイスであることを偽ることが可能です。これは、USBデバイスにおいてファームウェアの改ざんをチェックする機構が仕様上存在しないことに起因します。

 さらに、脅威はこれにとどまりません。例えば、USBメモリをUSBキーボードと偽装した場合、PC側からは接続されているUSB機器はUSBキーボードにしか見えません。これは、USBデバイス内のファームウェアを実行しているのがPCではなく、あくまでUSBデバイス自身だからです。そのため、改ざんされたファームウェアが「Ctrl-Alt-Deleteキーが押された」ことに相当する命令を実行した場合、PCから見ると新たに接続されたUSBキーボード上で当該キーが押された、としか判断できないため、それにならった動作を行います。

 攻撃シナリオの具体例の一つが、このキーボード操作の乗っ取りになります。他にも、USBデバイスをイーサーネットアダプターに偽装し、細工したDHCP応答でPCのDNS設定を改ざんするなどの攻撃シナリオが紹介されました。

 一方、対策として下記が挙げられていましたが、いずれも一長一短であり、現状銀の弾丸が存在しないというのが実態のようです。

  • USBデバイスのホワイトリスト制限
    • USBデバイスのシリアルナンバーはユニークとは限らない
    • ホワイトリスト機能を有したOSは現時点では存在しない(対策にはサードパティのセキュリティソフトが必要)
  • 特定のデバイスクラス、またはUSB自体を無効化する
    • 利便性を大きく損なう
  • デバイスファームウェアのスキャン
    • PCからはUSBデバイス内のファームウェアをスキャンできない
    • ファームウェアアップデートにコード署名を適用する
    • 既存の膨大なデバイスが脆弱なままとなる
    • リソースが制限されたUSBデバイスで強固な暗号技術の利用は困難
    • 設計、実装エラーにより問題が残存する可能性がある
  • ファームウェアアップデートを無効化する
    • 単純で効果的だが、文字通りアップデートが不可能になる

 ここまでの内容は、おおむねBlack Hat USA 2014での発表内容となっていますが、カールステン氏は、身の回りのUSBデバイスをどの程度BadUSB化できるかという追加調査を行ったようです。

 市場で流通している大手ベンダー8社のUSBデバイスを調達し、調査を行った結果、約半分のデバイスをBadUSB化することができたことが報告されました。傾向としては、最近発売されたもので、機能が複雑なデバイスほど成功するとのことです。BadUSB化が成功しなかったデバイスについても、何らかのセキュリティ機構により防止されているわけではなく、単にBadUSB化するための機能が不足しているといった実装上の問題であり「ファームウェアの改ざんが可能」という設計上の根本的な問題は共通しているようです。

 このような調査結果については、カールステン氏が所属するSRLabsのWebページ上で公開されています。

関連記事

重鎮の話から緩いイベントまで:

ITセキュリティの最先端、Black Hat USA 2014レポート(@IT)

http://www.atmarkit.co.jp/ait/articles/1408/21/news009.html


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
ページトップに戻る