サイバー犯罪者はエアギャップを飛び越えられるか?

インターネットに接続されていなければデータが盗まれることはない。…そうとは限りません。

インターネットにトラブルは付きものです。そのため、極めて価値の高い情報を保管しているコンピューター、または重要なプロセスを制御しているコンピューターを保護する抜本的対策の一つは、インターネットに接続させないことです。むしろ、局所的なネットワークも含めて一切のネットワークに接続しないのがよいのかもしれません。このように物理的に隔離した状態を「エアギャップ」と呼びます。

接続されていなければ問題は発生しないかと言うと、残念ながら、必ずしもそうではありません。エアギャップによって隔離されたデバイスからでもデータを抜き取り得る、狡猾な手段が存在するのです。モルデカイ・グリ(Mordechai Guri)氏率いるイスラエルのネゲヴ・ベン=グリオン大学の調査チームは、そのようなデータ窃取方法を専門に研究しています。同チームは何を発見したのでしょうか。あなたや私は、こうした脅威を警戒する必要があるのでしょうか。

エアギャップを飛び越える方法

エアギャップで隔離されたシステムのセキュリティが盤石ではないことは、今に始まったことではありません。サプライチェーン攻撃や内部関係者の買収は、十分にあり得ます。最も単純なものは、マルウェアに感染したUSBメモリを使用する攻撃です。たとえば、かの有名なStuxnetの感染はUSBメモリから始まりました

このように、隔離されたコンピューターでも感染します。しかし、インターネット接続がない状況で、どうやってデータを外へ持ち出すことができるのでしょうか?

ここで、創意工夫と物理学が結び付きます。コンピューターは物理的に隔離されていて、ネットワーク経由で外部に信号を送ることはないかもしれません。しかし、熱や磁場やノイズは生じます。このような、すぐには思い付かないような経路を通じ、何者かが情報を吸い上げることが可能なのです。

超音波

スピーカーその他のオーディオ装置を備えていないコンピューターでも、20 Hz~24 kHzの音波を出すことができます(たとえば、電源周波数を変更することで。リンク先は英語)。それだけでなく、独立したマイクロフォンの付いていないデバイスの場合でも、スピーカーやヘッドフォンを操作してこれらにマイクの機能を持たせ、盗聴に使うことが可能です(英語)。前述した音波の範囲(正確には18~24 kHzの範囲)の大部分は、人間の耳に聞こえる範囲を超えています。こうした可聴域外の音波は、たとえば、超音波を使って家庭のスマートスピーカーをアクティベートするなど、さまざまな方法での利用が可能です。

エアギャップコンピューターからのデータ窃取という文脈では、標的の情報をエンコードして超音波で送信するマルウェアをコンピューターに感染させることが可能です。近場にある別の感染デバイス(たとえばスマートフォン)がこの超音波を拾い、そこから外界に情報を転送します。調査チームは、コンピューターのファンハードディスクが立てるノイズを利用した手法も発見しています(リンク先はいずれも英語)。

電磁気

おなじみの電磁気を忘れるわけにはいきません。電流は電磁場を生みますが、この電磁場を拾って変換し、電気信号に戻すことができます。電流を制御すれば、電磁場も制御できます。攻撃者はこの知識をもって、マルウェアを使ってディスプレイに一連の信号を送り、ディスプレイケーブルを一種のアンテナに変えてしまうことが可能です。送信するバイトの数と周波数を操作することで、電波の放射をFM受信機によって検知できるようにする、というのがAirHopperという手法です。

このほか、GSMemというマルウェアを使用して、コンピューターのメモリバスから放射される電波を悪用する手法もあります(英語)。AirHopper同様、GSMemもバスを通じて連続的に1や0を送信し、電磁波に変動を生み出します。このような変動の情報をエンコードし、GSM、UMTS、またはLTEの周波数帯で動作する標準的な携帯電話やローエンドの機種で受信することができます。

通底するのは、「コンピューターの構成部品はほぼどれでもアンテナになれる」という一般原理です。このほか、USBバスGPIOインターフェイス電源ケーブルからの放射を利用したデータ送信方法に関する調査もあります。

磁気

磁気を使った手法は、場合によってはファラデーケージの中でも機能します。電磁波をブロックするファラデーケージは、大いに信頼できる保護手段だと見なされています。

磁気を利用したデータ引き出しでは、金属ケーシングを通じて漏れ出してくる、CPUが発する高周波電磁波が悪用されています(英語)。この電磁波があるので、たとえば、方位磁針はファラデーケージの中で機能します。調査チームは、プロセッサーのコアにかかる負荷をソフトウェアで操作することにより、電磁波を制御できることを発見しました。そのためにはファラデーケージの近くに受信用デバイスを置けばよく、距離にして1.5mの範囲だったと同チームは報告しています。情報を受信するのには、隣接するコンピューターのシリアルポートに接続した磁気センサーが使われました。

光学部品

コンピューターは、エアギャップで隔離されたものでもそうでないものも、LEDを内蔵しています。やはりマルウェアを使ってLEDの点滅を制御することにより、攻撃者は隔離されたコンピューターから機密情報を引き出すことができます。

データを受け取るためには、たとえば、室内にある監視カメラをハッキングして使用します。そのやり方を使っているのが、LED-it-GOという手法とxLEDという手法です。aIR-Jumperという手法の場合、監視カメラは侵入メカニズムとしても窃取のメカニズムとしても機能しますが(リンク先は英語)、これはカメラが人間の目には見えない赤外線の放射と捕捉のどちらも可能であるためです。

熱力学

隔離されたシステムからデータを転送する意外な経路は、このほかにもあります。熱です。コンピューター内部の空気は、CPU、ビデオカード、ハードディスクなど多数の周辺機器で熱せられます(熱を発しない部品を挙げる方が楽かもしれません)。これらが熱くなりすぎないようにするため、コンピューターは温度センサーも内蔵しています。

エアギャップコンピューターに対してマルウェアが温度の変更を指示すると、インターネット接続している別のコンピューターがこの変更を記録し、分かりやすい情報に変換して送出します。コンピューターが熱信号で相互に通信可能であるには、かなり近接していなければなりません(40cm以内)。この手法を使った例が、BitWhisperです(リンク先は英語)。

振動

調査チームが最後に研究対象としたのは、振動によるデータ転送です。ここでもマルウェアがコンピューターのファンの速度を操作しますが、標的の情報を音ではなく振動でエンコードします。コンピューターと同じ平面に平らに置かれたスマートフォンの加速度計アプリが、この振動波を捕捉します。

この方法の短所は、当てになるデータ転送速度が約0.5 bpsと非常に遅いことです。したがって、数キロバイトを送るだけで数日かかる可能性があります。しかし、攻撃者が急いでいないのであれば、この方法は問題なく実行可能です。

こうした脅威を警戒するべきか

良い方の話からお伝えしましょう。ここまで見てきたデータ窃取の手法は非常に複雑であるため、財務諸表や顧客データベースを盗むためにこうした手法が使われる可能性は低いと考えられます。しかし、あなたの取り扱っているデータが、国外の諜報機関や産業スパイにとって興味あるものである可能性がある場合には、少なくともこうした危険を認識している必要があります。

自分の身を守るには

機密情報の窃取を防ぐためのシンプルかつ効果的な方法は、あらゆるタイプの携帯電話をはじめ、無関係なデバイスをすべてビジネスの現場から締め出すことです。これができない場合、またはセキュリティ手段を追加したい場合には、以下の対策をご検討ください。

  • エアギャップコンピューターの置かれた場所をゾーニングし、デバイスとデバイスの間に距離を置く(いわば、テクノロジーの社会距離戦略です)。
  • このエリアをシールドするか、コンピューターをファラデーケージ内に置く(ただし、前述の「磁気」の項をご参照ください)。
  • コンピューターの電磁波を独自に測定し、異常をモニタリングする。
  • スピーカーの使用を制限または禁止する。
  • コンピューターのオーディオ機器をすべて無効にする。
  • エアギャップコンピューターのあるエリアで妨害音を発生させる。
  • 監視カメラの赤外線機能を制限する(ただし、暗闇でのカメラの効果は減少します)。
  • LEDを見えにくくする(上にテープを貼る、電源を切る、取り外すなど)
  • 感染防止のため、エアギャップコンピューターのUSBポートを無効化する。

調査チームは、ソフトウェアレベルでの保護を強化することにより、ほぼすべてのケースで隔離のレベルが向上すると指摘しています。悪意ある活動を捕捉可能な、信頼できるセキュリティソリューションの導入をお勧めします。隔離されたコンピューターを標準的な作業に使用する場合には(エアギャップされたコンピューターでよく見られます)、セキュリティソリューションを、想定外のプログラムまたはプロセスの実行を自動的にブロックするデフォルト拒否/許可リストのモードに切り替えましょう。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?