Intelが予想するハードウェアへの新たな攻撃と対策はFOCUS 2015 Security Conference Report(2/2 ページ)

» 2015年10月29日 10時59分 公開
[國谷武史ITmedia]
前のページへ 1|2       

脅威可視化の仕組みをチップ内部に

 さらにグロブマン氏は、サイバー攻撃ではファイルを使う手口が主流であるものの、今後はファイルを使わない手口が広がっていくと予想する。

 ファイルを使う攻撃では、メールやWebなどの経路から最終的に不正プログラムのファイルをコンピュータに送り込んで実行される。一方、ファイルを使わない攻撃はこれまでも何度か報告されており、セキュリティシステムによる検知が難しいことや、コンピュータの権限が攻撃者に奪われてしまうケースがある。

ハードウェアを狙う攻撃手法の広がりに警戒

 例えば、2015年8月には米国で開催されたBlackHatカンファレンスで、Windows Management Instrumentation(WMI。OSやコンピュータの情報の取得や設定に利用するインタフェース)を悪用する具体的な攻撃手法が示された。5月には「VENOM」と呼ばれるハイパーバイザーの脆弱性を突いて仮想マシンからホストマシンを経由してネットワークの他のマシンに侵入できてしまう攻撃手法も出現した。

システムが脆弱だとPass-the-Hash手法で管理者権限の奪取もできてしまう

 グロブマン氏によれば、これらのケースではコンピュータのハードウェアやファームウェアに脅威の影響が及ぶ。OSやアプリケーションレイヤで強力なセキュリティ対策を講じていても、コンピュータの基盤に近いレイヤが脆弱な状態で汚染されれば、脅威を防ぐことが非常に難しくなるという。そこで同氏は、ハードウェアのチップセット内部に脆弱な状態を検知する仕組みを実装し、インテリジェンスのシステムと接続してセキュリティ対策を講じられるというソリューションを紹介した。

 このソリューションではIntelが開発したchipsec(ハードウェアやファームウェアのセキュリティフレームワーク)や、セキュリティ関連情報を共有する「Data Exchange Layer」(DXL)を利用して、インテリジェンスのシステムからコマンドで検索すると、脆弱性を抱えたエンドポイントを検出できる。また、具体的にどのような脆弱性を抱えているのかといった情報をコンピュータからインテリジェンスのシステムに取り込める。

セキュリティインテリジェンスとハードウェアを組み合わせる対策を開発
エンドポイントの数が多いほど脆弱な端末を把握するための負担が軽減されそうだ

 IT管理者などがこのソリューションを活用すれば、脆弱なPCやサーバなどを迅速に把握して、ファームウェアのアップデートや堅牢な最新機器へのリプレースといった対応が可能になるという。同社ではこの検出に必要な「Python DXL SDK」というツールも提供する予定だ。

 初期段階ではPCやサーバなどのエンドポイント機器を対象にしているが、将来的にはセンサなどのIoT機器や、工場などの制御系システム、重要インフラシステムへもこのソリューションを広げていくという。既に制御系システムや重要インフラシステムがLANを介してインターネットなどの外部ネットワークにも接続されるようになり、PCやサーバなどの情報システムを踏み台にして制御系システムや重要インフラシステムへの不正アクセスが起こり得る状況になりつつある。

 ブログマン氏は、「あらゆるモノが“つながる”時代になれば、生命にも危険が及ぶようになる。将来を見据えたセキュリティ技術をいまから用意しなければならない」と述べた。

標的型メールから不正サイトに誘導してPCをマルウェアに感染させ、さらに感染PCから水道ポンプを不正に動かすというデモ。制御系システムではセキュリティよりも安定性を優先して開発されてきたため、IT化に即したセキュリティを事前に組み込む必要性が高まっているという
前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ