「悪意あるメイド攻撃」を回避するには

自社のコンピューターを物理的な不正アクセスから保護するために。

悪意あるメイド攻撃は最も原始的なタイプの攻撃ですが、最も不快な攻撃の一つでもあります。持ち主がその場にいない隙にデバイスから機密情報を盗んだり、企業ネットワークへのアクセス権を得るためにスパイウェアやリモートアクセスツールをデバイスに仕込んだりする攻撃のことです。この記事では、このような侵入行為から身を守る方法を説明します。

典型的な例

2007年12月、米国商務省の代表団が、海賊版に対する共同戦略について話し合うため北京を訪れました。米国へ帰国すると、商務長官のノートPCにはスパイウェアが含まれていました(英語)。スパイウェアをインストールするには、そのPCへ物理的に近づかねばなりません。持ち主である商務長官は、交渉協議中は常にノートPCを持ち歩き、ホテルの部屋に残したのは階下で食事をしている間だけで、そのときもセーフティボックスの中に入れていたと述べています。

理論上では、プロならば3~4分でデバイスにコンピューターできますが、それが可能なのは、コンピューターが放置されていて、かつロックされていない(またはパスワードで保護されていない)場合であるのが普通です。しかし、基本的なセキュリティの手段が講じてある場合でも、悪意あるメイド攻撃が成功する可能性は残っています。

攻撃者はどのように情報へ不正アクセスするのか

重要情報にアクセスする方法はさまざまで、攻撃の難易度はコンピューターの古さ、そして搭載されているセキュリティ手段に左右されます。例えば、セキュアブートに対応していない旧式のコンピューターの場合、外付けドライブからブートできるので、悪意あるメイド攻撃に対して無防備です。最近のPCについては、セキュアブートが既定で有効になっている傾向があります。

高速データ交換やデバイス内メモリとの直接のやりとりをサポートする通信ポートは、個人情報や企業の機密情報を吸い上げるために利用される可能性があります。例えば、Thunderboltはメモリーへ直接アクセスすることで高速データ転送を実現していますが、これが悪意あるメイド攻撃に利用されます。

今年の春、コンピューターセキュリティの専門家であるBjörn Ruytenberg氏が、Thunderbolt対応のWindowsコンピューターまたはLinuxコンピューターをハッキングする方法を発見し、公表しました(英語記事)。ロックされていて、かつ外部ポートを使った未知のデバイスによる接続が無効になっているPCにも、この方法で侵入が可能です。「Thunderspy」と名付けられたこの方法は、PCへ物理的にアクセスすることを前提としており、コントローラーのファームウェアの書き換えを伴います。

Thunderspy攻撃を実行するに当たり、攻撃者はThunderboltチップを自作バージョンのファームウェアで書き換える必要があります。このファームウェアが内蔵の保護機能を無効化し、攻撃者はデバイスを完全にコントロールできるようになります。

理論上は、カーネルDMA保護ポリシーによってこの脆弱性を修正可能ですが、皆がそれを使うわけではありません(また、Windows 10より前のバージョンでは使用できません)。しかし、この問題の解決策をIntelが発表しました。それがThunderbolt 4です。

古き良きUSBも攻撃経路となります。USBポートに差し込まれた小型デバイスは、コンピューターの電源が入るとアクティブになり、BadUSB攻撃を実行します。

狙っている情報に特別に高い価値がある場合、サイバー犯罪者は、デバイスを盗み出し、スパイウェアを仕込んであるよく似たデバイスと取り替えるという、困難でコストのかかる方法を取るかもしれません。デバイスがすり替えられたことはすぐに発覚するでしょうが、おそらくその前に、このデバイスに対してパスワードが入力されている可能性は高いはずです。ただ、幸いなことに、うまくすり替えるのは容易にはいきませんし、コストもかかります。

リスクを最小限に抑えるには

最も簡単で信頼できる方法は、自分以外誰もアクセスできない場所にデバイスを保管することです。できるなら、ホテルの客室にデバイスを置きっぱなしにしないでください。社員が会社のノートPCを持って出張しなければならない場合には、以下のような対策でリスクを軽減しましょう。

  • 出張する社員には、会社の重要なシステムや作業データへアクセスできないようにしたノートPCを持たせ、出張が終わったらその都度ハードディスクの初期化とOSの再インストールを行う。
  • 自分の目の届かないところに会社のノートPCを置いておかなければならない場合には必ず電源を落とすように、社員に義務付ける。
  • オフィスビルの外へ持ち出されるコンピューターについては、ハードディスクを暗号化する。
  • 外へ出て行く不審なトラフィックをブロックするセキュリティソリューションを使用する。
  • BadUSB攻撃を検知するように、セキュリティソリューションを設定する(Kaspersky Endpoint Security for Businessは検知可能)。
  • すべてのソフトウェア、特にOSをタイムリーにアップデートする。
  • FireWire、Thunderbolt、PC、およびPCI Expressポート経由でデバイスのメモリーへの直接アクセスを許可しているデバイスがあった場合は、メモリーへの直接アクセスを禁止する。
ヒント