ハードウェアの難攻不落神話が崩壊――「Black Hat」で公開された衝撃のハッキング手法(2/2 ページ)
ファームウェアrootkitの脅威
国家を運営しているのでもない限り、こうした問題を危惧する必要はないだろう。諜報活動もしくは国の安全保障基盤破壊を目的として、システムの侵害をもくろむ非常に手強いハッカーに狙われているなどという状況は、そうそうあるものではない。
もっとも、そうした希なケースに当てはまるなら、ルトコウスカ氏が考案した手法は大いなる脅威だと知っておくべきだ。同氏の手法が悪用された場合、ハードウェアは実際にメモリを破壊しているレジスタを読むことができないので、侵害が起こっている事実すら分からないのである。
「こうしたハードウェアデバイスは、読み込もうとするもののアドレスや範囲をリクエストできる。だが、チップセット上のハードウェアを読むことはできず、どこか別のところへ転送されていることにも気づかない。ルトコウスカ氏は、ハードウェアだけ、あるいはソフトウェアだけを使用している場合は、侵害を受ける可能性が非常に高くなると述べている。また、両者を併用しているなら、レジストリを読み、転送されている事実を把握することはできるかもしれないが、やはり侵害される可能性は十分にあるという」(バトラー氏)
とりわけ電子情報捜査官は、この点に恐怖を感じるだろう。だれかがルトコウスカ氏のハッキング手法を用いてハードウェアに攻撃を仕掛けていることを突き止めても、講じうる策は何一つないのだ。
「メモリ内のほかの場所へ転送されていると気づいたとしても、ルトコウスカ氏の手法ではレジスタにロックビットが設定されるので、手出しができない。メモリを取得する一番の目的は、何が実行されているのかを調べることである。ロックビットが設定されているときは、マシンを再起動しなければ読み込みはできない。これはつまり、メモリ内の全情報も失ってしまうことを意味する」(バトラー氏)
こうして、ハードウェアに関する神話の1つが地に落ちた。2つ目の神話は、rootkit対策の再イメージングに関するものである。こちらは、NGSSのリサーチディレクターであるヒースマン氏が、ファームウェアrootkitと呼ぶ攻撃を持ち出して崩壊させた。
ヒースマン氏は今回の講演の中で、アプリケーションセキュリティの現状は、全体的に改善されつつあると述べた。ただ問題なのは、そうしたアプリケーションが稼働しているハードウェアがさまざまな形で分散化し、複雑になっていることだという。例えば、マルチプロセッサマシンにはいくつものデバイスが付属しており、そのうえ各デバイスが固有のハードドライブおよびストレージを有している。
「ハードウェアのセキュリティを放置しておけば、攻撃者の格好の標的となってしまう」(ヒースマン氏)
既存のrootkit検知ツールは、PCディスクのみを調査対象としている。だが、「多くのデバイスがファームウェアを利用していることを忘れてはならない」と、同氏は指摘する。「電源にさえファームウェア(ハードウェアデバイスに埋め込まれているソフトウェア)が搭載されており、オペレーティングシステムを介してアップデートされている」(ヒースマン氏)
実質的に存在を無視されているファームウェアは、rootkitの「おいしい」ターゲットなのだと、同氏は説明した。
「自社のネットワーク上にある、ありとあらゆるマシンに思いをめぐらせてほしい。適切に管理されているネットワークであれば、管理者はネットワーク上のすべてのマシンおよび稼働させているプログラムを把握できるはずだ。しかし、当該のネットワーク上の各マシンで、どのようなPCIデバイスが利用できるのか正確に答えろと言われたらどうだろう。あるいは、ネットワークカードやグラフィックスカードは何が使えるのか、カードはどこから入手したのか、製造業者はどこか、ネットワーク上でその製造業者の製品が利用できるという確証はどうやって得たのかと聞かれたら?
「すべてのカードが書き換え(ファームウェアアップデート)可能ということはないだろうが、どれがそうなのか知っているとして、各デバイスに搭載されているファームウェアの種類は? そのファームウェアの整合性を信頼できるのはなぜ? そもそも信頼しているのか? みずからの手で検査をした? ダウンロードしたのは適当なウェブサイトからか、それとも製造業者のサイトからか? そのサイトはシグネチャを発行していたか? シグネチャを確認したか?」
たいていの場合、こうした問いには「分からない」という答えが返ってくると、ヒースマン氏は言う。
「概して企業は、これらの情報をつかんでいないとわたしは考えている」(ヒースマン氏)
同氏は、書き換え可能な拡張ROMを含むPCIデバイスに、rootkitを据え置く試みを行った。現時点では、TPM(Trusted Platform Module)を実装していないシステムでrootkit攻撃を検知および防止する方法は確立されていない。
ヒースマン氏は、「一部の重要なシステムでは再イメージングが毎日行われているが、そうした環境に侵入したrootkitを排除させない方法がある。これを検知するツールは、まだ市場には流通していない」と、eWEEKのインタビューの中で話した。
同氏はBlack Hatイベントで、PXE(Preboot eXecution Environment)の悪用を実演した。PXEは、Intelが「Wired for Management」構想の一環として開発したプリブート環境である。
とりあえず今のところは、同氏のテクニックを用いるマルウェアの存在を示唆する証拠は、確認されていないようだ。
一般消費者の自宅マシンを攻撃するのが実に簡単である現状を考えれば、「マルウェアがこの手法を悪用するようになる可能性は薄い」と、ヒースマン氏は述べている。「とはいえ、こうした方法が存在しているかぎり、ファームウェアをコントロールするプログラムを開発する理由はない」(ヒースマン氏)
Black Hatが閉幕した今、それが可能であることをわれわれは知っている。ハードウェアに関する思い違いが、また1つ正されたのだ。
関連記事
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
ITmediaはアイティメディア株式会社の登録商標です。