Kaspersky Lab流BadUSB対策

2016年7月20日

知らないうちにハードウェアへ感染するウイルスは、ユーザーにとって悪夢以外の何ものでもないでしょう。一般的なアンチウイルス製品はシステムをハードウェアレベルでスキャンしないため、OSに対する攻撃よりもハードウェアに対する攻撃の方が恐ろしさは上です。こうした攻撃は、まさに現実の脅威となり得ます。私たちが日々使っているハードウェアには、悪用可能な脆弱性が存在しているのですから。たとえば数年前、USBインターフェイス固有の欠陥が見つかり、BadUSBと呼ばれるようになりました。

badusb-protection-featured

USBデバイスのファームウェアコードにほんの少し手を加えるだけで、USBデバイスを改変してマルウェアを書き込み、本来とは異なる機能を持つデバイスに変貌させることが可能なのです。

たとえば、改変を加えた普通のUSBメモリをUSBキーボードに仕立て上げ、コマンドを送ってファイルをすべて削除することができます。他にも、USBメモリを改変してネットワークアダプターに偽装させ、PCとインターネットとの間のデータフローを盗聴することが可能です。

問題は、こうしたマルウェアがUSBデバイスのコントローラーに埋め込まれていて、外からはまったく見えないことです。一般的なアンチウイルス製品では、そこまで深くスキャンできません。マルウェアは標準的なアンチウイルス製品がスキャンする層よりもさらに深い層にいるため、USBにマルウェアが存在しないように見えるのです。もう1つの問題は、USB固有の欠陥を修復する方法がないことです。

そんな中、Kaspersky Labのエキスパートであるアレーク・ザイツェフ(Oleg Zaitsev)、オルガ・ドンケ(Olga Domke)、コンスタンティン・マニューリン(Konstantin Manurin)、ミハイル・レビンスキー(Mikhail Levinsky)は、この問題の対処方法を見出しました。USBデバイスのふるまいを自動追跡し、不審なふるまいをするデバイスをブロックする技術です。

この技術は、当社の法人向け製品であるKaspersky Endpoint Securityに実装済みであり、先日、米国で特許を取得しました(英語資料)。

ドンケは次のように説明しています。「改変または汚染されたUSBデバイスを使った攻撃は理論上のものと見られていますが、BadUSBの存在によって保護製品に対する注目が集まっています。理論上の攻撃が現実に展開されたとき、打つ手がない状態ではいたくないものです」。