内蔵PCスピーカーを通じたデータ抜き取り

高麗大学の研究者たちは最近、パソコンからのデータを抜き取る新しい方法について論文を発表しました。そのパソコンは、高度なセキュリティ機能が搭載されているうえ、ネットやローカルネットワークに接続されず、物理的に隔離された空間、「エアギャップ」の環境で実験されました。こういった攻撃手段は、悪意あるアクターが、考えつく実行可能な方法がすべて失敗に終わり、最後の手段として使用する可能性があります。

この攻撃方法では、パソコンのスピーカー機能がキーとなります。外部のプラグイン機器ではなく、パーソナルコンピューターの内部スピーカー、いわゆる「PCスピーカー」です。マザーボードには、互換性のために通常スピーカー機能が搭載されていますが、この機能がデータ吸い上げに使用されるというのです。

背景

私たちはこれまでに、データ抜き取りの方法に関する記事 (英語)を公開してきました。たとえば、内蔵の加速度センサーを使用してスマホの通話を盗聴する方法についてや、またCPU電源供給からの無線信号の操作によってデータを盗む方法です。マザーボードに搭載されたスピーカーを通じたデータの抜き取りは、これら2つの方法と比較してもあまり洗練された方法に見えないかもしれません。しかし、攻撃がシンプルであればあるほど、成功する可能性が高くなります。さらに、攻撃者は貴重なデータを入手するために特別な機器を必要とせず、標的のパソコンにスマホを近づけるだけで済みます。

こういった研究は、まず起こりうる攻撃シナリオを想定します。今回のシナリオは次の通りです；　機密情報を扱う国家機関や民間企業のパソコンを考えてみましょう。情報は極めて機密性が高く、高度なセキュリティで守ることを目的として、パソコンは、インターネットそしておそらくLANからも隔離されています。このシナリオでは、スパイウェアに感染するリスクがすでに存在するのは明らかです。例えば、スパイがUSBをセキュリティが強化された部屋に持ち込んで、パソコンに接続した場合や、パソコンが組織に納入される前にサプライチェーン攻撃で既に感染した場合などです。

したがって、スパイプログラムは機密情報の収集に成功したことが前提にあり、今回の研究の焦点ではありません。今回は、攻撃者がそのデータをどのように抜き出すのかという点です。韓国の研究者が使用したシナリオでは、スパイがそのパソコンが置かれた部屋に物理的に入り、基本的な音声録音機能が搭載されたスマホを持ち込みました。スパイウェアは、人間の耳では聞こえないほど高い周波数で、オーディオ信号としてデータを送信します。スマホがその音声を記録し、それがのちに攻撃者によってデコードされデータが復元される、という過程が明らかになりました。

実はスピーカーを通じたデータ抜き出しに関する研究は以前から行われていました。2018年にイスラエルで発表された研究論文には、パソコンのスピーカーと内蔵マイクを使用し、超音波を介して2台のパソコンが通信する方法が示されています。しかし、この攻撃方法の理屈には欠陥があります。例えば、あるパソコンが重要なプロセスを制御しているとしましょう。会社はオペレーターが快適に使用することだけを目的に、追加の外部オーディオ機器を取り付けるでしょうか？答えはNoです。そのため、この攻撃には、デスクトップに保護された情報が保管されている場合にのみ実行可能であることが予測されます。なぜなら、デスクトップに内蔵された音声スピーカーがあることが前提となるからです。

超音波を使った窃取方法

韓国の研究者は、攻撃者が内蔵PCスピーカーを使用するだろうと指摘しています。1981年、IBMのパソコンに初めて内蔵スピーカーが音声デバイスとして搭載されました。当時、PCスピーカーは主にキーキーとしたノイズしか出ませんでしたが、一部のビデオゲーム開発者は、その原始的な機能を利用して、初めてサウンドトラックを作成することができました。現代のパソコンは、コンピューターの診断以外で内蔵スピーカーをほとんど使用しません。パソコンが起動しない場合、IT関係の技術者は、内蔵スピーカーが発信するトーンの数と長さによってエラーを特定することができます。80年代のPCスピーカーは、マザーボードのコネクタに取り付けられた別のユニットでした。比較的最近の回路基板は、一般的に小型スピーカーが組み込まれています。

韓国の研究者たちは、スピーカーを使用したデータ転送チャネルを検証する必要がありました。送信部分はシンプルで、「マルウェア」が動作するUbuntu Linuxベースのマシンは、短い18kHzと19kHzの音波を交互に出力し、前者が「ドット」であり、後者が「ダッシュ」であることになっています。これは、通常無線通信に使用されるモールス信号で情報を送信するために使用されます。人間の耳には聞こえないレベルのこの音声伝送をスマホで録音すると、以下のようなデータが表示されます。

スマホで録音された内臓スピーカー経由のシグナルのスペクトラム。上の線は「ドット」で転送されたデータは「ダッシュ」（出典）

スペクトログラムは、「covert」という単語をエンコードするために使用された音を示しています。たった6つの文字を転送するのに約4秒もかかったことから、情報抜き取りには相当な時間を要すると考えられます。しかし、パスワードや暗号鍵など特定の情報に対しては使用される可能性は残っています。18kHzと19kHzのラインは、パソコンのスピーカーによって生成された信号です。音量は、部屋の雑音に似ており、スペクトログラムの下部に示されています。

研究者たちは、データ転送の理想的な条件を特定するために実験を複数回行いました。データレートは、1.5メートルの距離から確実に受信するために、20ビット/秒以下にとどめる必要がありました。転送のスピードをさらに遅くすると、その距離を約0.5メートル長くすることができます。スマホをシステムユニットから数センチほどの場所に置くことで、データ転送速度を倍増させることができました。しかし、短いスニペット以外のデータを転送するには数時間もかかるため、この種の攻撃方法は現実的ではありません。

「エアギャップ」は100％安全ではない

超音波データ転送は、よく研究されれた方法で、時にコンシューマー向けに使用されることもあります。安全な環境では、このサイドチャネルは脅威となります。韓国の研究者たちは、この種の攻撃からの防御策として、マザーボードからスピーカーを取り外すことを提案しています。しかし、他の研究からもわかるように、得るものが大きければ大きいほど、攻撃者は時間とリソースを費やす傾向があります。そのため、無数のデータ流出の手法に対して、完全に保護するということは現実的に考えて難しいことです。組み込みスピーカーを取り外したとしても、攻撃者が、SATAケーブル、CPU、またはモニターからの電波を、より高度な方法を使用してキャプチャーする可能性があります。

機密データを保存するパソコンをできる限り隔離することは極めて重要です。ただし、スパイ行為のすべては攻撃者が標的システムにマルウェアをインストールすることから始まることを考えると、マルウェア検出システムへの投資する方がはるかに効果的と言えます。しかしながら、韓国の研究結果は、データ窃盗に使用されかねない秘密裏のチャネルについての注意喚起となりました。