NoReboot:システム内に足場を築く偽りの再起動

偽の再起動画面を表示することでスマートフォンの再起動を阻止し、スマートフォン内に居続けようとするマルウェアのデモが行われました。

自分のスマートフォンが自分の行動をトラッキングしないようにする、または会話を盗聴しないようにするには、電源を切ってしまうのが一般的です。深刻なスパイウェアに感染していたとしても、スマートフォンの電源を切ってしまえば、スパイウェアは何もできません。

さらに、このようなものに感染した場合の対処として、スマートフォンの電源オフや再起動は最も確実な方法です。スパイウェアはOS内に永久的な足場を築くことができないため、次に再起動されるまでの間しか生き延びられません。また、再起動後もマルウェアが機能するような脆弱性はまれですし、そういった脆弱性の悪用は高く付きます。

しかし、この方法でいつまでも対応可能とはいかないかもしれません。あるリサーチャーが電源オフや再起動による削除を免れる方法を考え出し、「NoReboot」と名付けました。この攻撃は、要するに「偽の再起動」です。

NoReboot とは何か、攻撃はどう機能するのか

NoRebootは、攻撃者が現実に使用するスパイウェアの一機能ではありません。リサーチャーによって実験条件下でデモンストレーションされる、いわゆる概念実証(PoC)です。現時点では、NoRebootが実際に勢いを増すかどうか何とも言えません。

デモでは、あらかじめ「感染させた」iPhoneが使われています。その技術的詳細については、残念ながら明かされていません。デモは以下のように進みます。

  • カメラからの画像を転送するマルウェアがiPhone上で起動する。
  • iPhoneの持ち主は、電源ボタンと音量ボタンを同時に長押しする通常の方法でシャットダウンを試みる。
  • マルウェアは制御を握り、通常のiOSシャットダウン画面を完全に模した画面を表示する。
  • iPhoneの持ち主が、通常の行動として、電源スライドを使って電源をオフにする。iPhoneの画面は暗くなり、それ以上のアクションに応答しなくなる。
  • 再び電源ボタンを押すと、マルウェアはiOSの起動アニメーションを完全に模して表示する。
  • このプロセス全体を通じ、iPhoneはフロントカメラの画像を、持ち主の知らないうちに継続的に別のデバイスへ送信している。

百聞は一見にしかず、ということで、以下の動画でマルウェアの働きをご覧ください。

NoRebootから身を守るには

少なくとも現時点では、NoRebootは攻撃の実行可能性を示すものにすぎません。確かに警戒すべき攻撃ですが、このマルウェアが何か害を為すには、そもそもスマートフォン内に入り込む必要があります。そのようなことになるのを避けるには、以下のような基本的な対策が役立ちます。

  • スマートフォンにリモート感染するのは、スマートフォンに物理的に近付くことよりもずっと難しいのだということを、ぜひ覚えておいてください。スマートフォンが他人の手に渡ることがないように(特に、長い間他人が手にすることがないように)注意し、デバイスには信頼できるロックをかけておきましょう。
  • スマートフォンにインストールされたマルウェアは、大抵、スマートフォンの持ち主本人がインストールしています。自分がダウンロードするものには十分注意し、不要なアプリはインストールしないようにしましょう。基本的に、なくても困らないアプリは不要なアプリと考えてよいでしょう。
  • スマートフォンのroot化やジェイルブレイクは行わないでください(少なくとも*nix系システムを長年触った経験がない場合はやめておきましょう)。スーパーユーザー権限は、マルウェアの働きを指数関数的に容易なものとしてしまいます
  • Androidデバイスをお使いの場合は、マルウェアが侵入しないようにウイルス対策ソリューションをインストールしておくことをお勧めします。
  • 時折、スマートフォンのバッテリーが完全になくなって自然に電源オフするようにしましょう。そうすれば、偽物の画面が表示された状態で再起動することはなく、もしかすると密かにスパイ行為を働くマルウェアが消えるかもしれません。ゲームやベンチマークテスト用アプリなど、リソースを多大に消費するアプリを使うと、バッテリーを使い切る時間を短縮できます。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?