高度なマルウェアを解析するには“触診”が一番? 「PacSec 2014」リポート:セキュリティ業界、1440度(12)(2/3 ページ)
2014年11月12日〜13日、セキュリティカンファレンス「PacSec 2014」が東京で開催されました。1日目の講演をリポートしましょう。
USBメモリが“牙”をむく
カールステン・ノール氏による講演「BadUSB 悪に化けるアクセサリー」では、2014年夏にラスベガスで開催された「Black Hat USA 2014」での内容をブラッシュアップしたものでした。
「BadUSB」は、Black Hat以降、国内でも大きな話題となったためご存じの方も多いかと思います。誤解を恐れずに内容を要約すると「細工が施された悪意のUSBデバイスをPCに挿入することでPCを乗っ取ることができ、かつそれに対する現実的な対策が存在しない」ということになります。
USBデバイスには、コントローラーおよびファームウェアが内蔵されており、USBデバイスをコンピューターに挿入することで、プラグアンドプレーにより自動的に各種初期化が行われます。この初期化の過程でファームウェアが自動的に実行されており「自デバイスが何者であるか」などの登録処理が行われます。
通常、USBメモリであれば自デバイスがストレージであることがPCに通知されますが、ファームウェアを改ざんすることで、自デバイスがUSBキーボードであるように偽装することができます。実際に行われたデモでもUSBメモリを利用していましたが、原理的にUSBメモリに限らずあらゆるUSBデバイスが、本来とは異なるデバイスであることを偽ることが可能です。これは、USBデバイスにおいてファームウェアの改ざんをチェックする機構が仕様上存在しないことに起因します。
さらに、脅威はこれにとどまりません。例えば、USBメモリをUSBキーボードと偽装した場合、PC側からは接続されているUSB機器はUSBキーボードにしか見えません。これは、USBデバイス内のファームウェアを実行しているのがPCではなく、あくまでUSBデバイス自身だからです。そのため、改ざんされたファームウェアが「Ctrl-Alt-Deleteキーが押された」ことに相当する命令を実行した場合、PCから見ると新たに接続されたUSBキーボード上で当該キーが押された、としか判断できないため、それにならった動作を行います。
攻撃シナリオの具体例の一つが、このキーボード操作の乗っ取りになります。他にも、USBデバイスをイーサーネットアダプターに偽装し、細工したDHCP応答でPCのDNS設定を改ざんするなどの攻撃シナリオが紹介されました。
一方、対策として下記が挙げられていましたが、いずれも一長一短であり、現状銀の弾丸が存在しないというのが実態のようです。
- USBデバイスのホワイトリスト制限
- USBデバイスのシリアルナンバーはユニークとは限らない
- ホワイトリスト機能を有したOSは現時点では存在しない(対策にはサードパティのセキュリティソフトが必要)
- 特定のデバイスクラス、またはUSB自体を無効化する
- 利便性を大きく損なう
- デバイスファームウェアのスキャン
- PCからはUSBデバイス内のファームウェアをスキャンできない
- ファームウェアアップデートにコード署名を適用する
- 既存の膨大なデバイスが脆弱なままとなる
- リソースが制限されたUSBデバイスで強固な暗号技術の利用は困難
- 設計、実装エラーにより問題が残存する可能性がある
- ファームウェアアップデートを無効化する
- 単純で効果的だが、文字通りアップデートが不可能になる
ここまでの内容は、おおむねBlack Hat USA 2014での発表内容となっていますが、カールステン氏は、身の回りのUSBデバイスをどの程度BadUSB化できるかという追加調査を行ったようです。
市場で流通している大手ベンダー8社のUSBデバイスを調達し、調査を行った結果、約半分のデバイスをBadUSB化することができたことが報告されました。傾向としては、最近発売されたもので、機能が複雑なデバイスほど成功するとのことです。BadUSB化が成功しなかったデバイスについても、何らかのセキュリティ機構により防止されているわけではなく、単にBadUSB化するための機能が不足しているといった実装上の問題であり「ファームウェアの改ざんが可能」という設計上の根本的な問題は共通しているようです。
このような調査結果については、カールステン氏が所属するSRLabsのWebページ上で公開されています。
関連記事
重鎮の話から緩いイベントまで:
ITセキュリティの最先端、Black Hat USA 2014レポート(@IT)
http://www.atmarkit.co.jp/ait/articles/1408/21/news009.html
Copyright © ITmedia, Inc. All Rights Reserved.