特集昨年、FireEye の Michael Sikorski 氏には非常に珍しいマルウェアが送られてきました。
このカスタムコードは防衛企業の顧客のネットワークギャップをすり抜け、高度にセキュリティ保護されているはずのコンピュータに感染しました。シコルスキー氏の同僚である匿名の企業がこのマルウェアを摘発し、分析のためにFireEyeのFLAREチームに送りました。
「このマルウェアは、リムーバブルデバイスからリモートコマンドを取得していました」とシコルスキー氏は述べた。「実際には、暗号化された特定のフォーマットで隠されたファイルを探し、それを復号して、次に何をすべきかを指示する一連のコマンドにアクセスしていました。」
外部ネットワークリンクは、ほとんどのマルウェアにとって生命線です。このサンプルは、被害者のマシンにマルコードを埋め込むための手段を提供し、盗まれたデータを攻撃者に送信するためのコマンド&コントロールリンクとして機能し、さらなる感染拡大を可能にしました。
シコルスキーの名も知られていないマルウェアは、従業員を利用して他のマシンに拡散し、コマンドを配布した。攻撃者は、エアギャップマシンにアクセスできる従業員が使用すると分かっていたインターネット対応のコンピューターをハッキングし、あらゆる外部ストレージデバイスをデジタルブリッジに変えた。
これらのブリッジされたマシンにより、シコルスキー氏と彼の同僚はマルウェアを取得し、それがエアギャップマシンへのより広範な攻撃の一部であることを立証することができた。
分析により、マルウェアに偵察活動の実行、特定の貴重な情報の探索、ディレクトリのリスト作成、スタッフのUSBメモリに持ち込まれた新たなマルウェアの実行を指示できることがわかった。
「誰かが来て、スティックを差し込み、ドライブを引き抜くと、すべてのコマンドが実行されてしまいます。マルウェアはシステムに常駐したままなので、次にドライブが差し込まれた際に、さらにコマンドを受信する可能性があります。」
研究室へ
このような攻撃が興味深いのは、数フィートの空気があればセキュリティが強化されるとしばしば考えられているからです。ハッカーは活動拠点となるネットワークを必要とするため、空気の非導電性(データにとって)はセキュリティの究極の手段とみなされています。そのため、この理論が反証され、隔離されたコンピュータに侵入されると、多くの関心が寄せられます。
(左) FireEye FLARE エンジニアの Matthew Graeber、Richard Wartell、Michael Sikorski。
しかし、シコルスキー氏の物語が証明しているように、エアギャップは克服できる。
そして世界中で研究者たちが、時にはモニターやスピーカーからデータを吸い出すなど、物理的なセキュリティを回避する突飛な手段を使って、それが可能であることを証明している。
シコルスキー氏らが特定したハッキングは、イスラエルのベングリオン大学で発生した。同大学のサイバーセキュリティ研究所に所属する4人のハッカーが、既に感染したエアギャップ・コンピュータからビデオカードが発信するFMラジオ信号を介して、通過中の携帯電話にデータを抜き出す攻撃を改良していた。エアホッパー攻撃は、他の形態では数十年前から存在し、エドワード・スノーデン氏が漏洩した文書によると、NSAなどの諜報機関で広く利用されていた。市販のハードウェアを用いて、感染したシステムから攻撃者まで最大7メートルの距離にある機器から情報を抜き出す手法だった。
「この種の攻撃シナリオでは、エアギャップされたコンピュータがUSBメモリや悪意のあるファイルをコピーすることで既にマルウェアに感染していることが前提となります」と、イスラエルの大学のセキュリティ研究所の最高技術責任者であるドゥドゥ・ミムラン氏は述べています。「このような感染はいつでも発生する可能性があり、実際のデータ漏洩を伴わないため、非常に迅速に進行し、気付かれない可能性があります。その後、マルウェアは感染したコンピュータからデータを漏洩させる可能性があります。キーボードで入力されているデータ、またはコンピュータに既に存在する文書などです。」
ミムラン氏によると、データ窃盗を細分化し、感染後にまで遅らせることで、損失が検知される可能性が低くなり、攻撃者は罠を仕掛けて、その後そのマシンを使用するスタッフから認証情報を盗むことが可能になるという。しかし、この攻撃が実際にエアギャップを埋めるために使用されていることを証明することはできないと彼は推測している。
他にも、エアギャップされたマシンに感染させることなくデータを吸い上げる手段を発見した攻撃者がいる。12月、オーストラリアのセキュリティガバナンス専門家イアン・ラター氏は、Kiwiconハッカー会議で、既知の検知方法を回避しながらモニターのピクセルを通してデータを抜き出す方法を実演し、衝撃を与えた。攻撃者は、市販のHDMI録画装置とArduinoキーボードをインストールするためにマシンに物理的にアクセスする必要がある。これらの機器は、フォレンジック分析のための痕跡を残さず、おそらく操作の記録を捉えた閉回路テレビの映像以外には何も残らないだろう。
ThruGlassXfer 攻撃の作成者でもある Latter 氏は、2012 年に DIY USB ヒューマン インターフェイス デバイスを使用して開発された攻撃も気に入っています。この攻撃では、キーボードに仕掛けられた CAP キー、数字キー、スクロール ロック キーを使用して、エアギャップ システムからデータが吸い取られます。
「その巧妙さゆえに、無視できません。あなたの組織では、すべてのデバイスのCAPSロック状態を追跡しているのでしょうか?」とラター氏は言い、ミムラン氏の研究にも賛同を示した。この攻撃は2013年に改良され、10Kbpsというより高速な速度でデータを抜き出すことが可能になった。2008年にはすでに使用されていた可能性がある。
その他のエアギャップ攻撃も興味深いものです。例えば、BadBiosは、無線LANを介して拡散し、自己修復機能と永続性を持つとされる奇妙なマルウェアです。この攻撃の発見者であり、被害者でもあるDragos Ruiu氏は著名なセキュリティ研究者であるため、この攻撃には大きな疑問が投げかけられました。2013年末に詳細が明らかになったこのルートキットは、エアギャップを飛び越え、マザーボードのファームウェア書き換えを回避し、様々なオペレーティングシステムに影響を及ぼす可能性があると報告されています。
ルイウ氏がマルウェアが自身のパソコンに侵入したと報告してから1ヶ月も経たないうちに、ドイツのギーク、ミヒャエル・ハンスパッハ氏とミヒャエル・ゲッツ氏は、マイクとスピーカーを使ってマルウェアを近くのパソコン間でゆっくりと拡散させる攻撃を考案した。この攻撃は、近超音波周波数帯域を用いた堅牢な通信技術を秘密裏に窃盗に利用するものだった。
