“LEDを点灯させずに”ノートPCのカメラでこっそり盗撮できるハッキング方法 ThinkPad X230に脆弱性:Innovative Tech
Innovative Tech:
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
X: @shiropen2
韓国のセキュリティカンファレンス「POC 2024」で発表された「Lights Out: Covertly turning off the ThinkPad webcam LED indicator」は、LEDを点灯させずにノートPCのカメラで盗撮する手法を提案した内容である。
研究者は、ThinkPad X230に搭載されているWebカメラのLEDインジケーターを、ユーザーに気付かれることなく無効化できる脆弱性を発見。この脆弱性を利用すると、マルウェアがWebカメラが作動していることを示すLEDインジケーターを無効化したまま、カメラを使用することが可能となる。
ThinkPad X230のWebカメラの構造は次のような仕組みになっている。カメラの中核となるのは「Ricoh R5U8710」というUSBカメラコントローラーで、このコントローラーの動作を制御するファームウェアはSPIフラッシュチップに保存されている。このファームウェアはUSB経由で書き換えできる。
カメラの動作状態を示すLEDは、コントローラー内部のGPIO B1という制御ピンに接続されており、このピンはメモリ上の特定のアドレスに割り当てられている。このアドレスの値を変更することで、カメラの使用状態に関係なくLEDの点灯・消灯を自由に制御できる。
このような脆弱性が発見されたのはThinkPad X230であるが、USBを介してWebカメラを接続しファームウェアの書き換えを許可する設計パターンは、特に同時期の他のラップトップでも採用されている可能性があり、同様の問題の存在が懸念される。
関連記事
ネット未接続の“隔離PC”へのハッキングの歴史 エアギャップPCから機密データを盗む6つの方法
イスラエルのネゲヴ・ベン・グリオン大学に所属するMordechai Guriさんは、インターネットに接続していない物理的に隔離したコンピュータから機密データを盗む攻撃をまとめた研究報告を発表した。
スマホって盗聴されていると思う? 米国などで調査 「会話内容に関連した商品広告が出た」
米ミネソタ大学やオランダのアムステルダム大学などに所属する研究者らは、オフラインでの会話内容に関連した広告の受信経験とその認識について調査した研究報告を発表した。
ロシアのハッカー、ターゲットの建物に“隣人のWi-Fi経由”で侵入 攻撃元は数千km離れた場所 ウクライナ侵攻直前に実行
サイバーセキュリティ企業の米Volexityは、ロシアのハッカー集団「GruesomeLarch」(APT28、Forest Blizzard、Sofacyなどの別名を持つ)が、標的に物理的に近接するWi-Fiネットワークを悪用する新しい攻撃手法を展開していたこと発表した。
あなたのスマホが“盗聴器”に? 周囲の声をスマホ経由で盗聴する攻撃 パキスタンチームが開発
パキスタンのLUMSに所属する研究者らは、スマートフォンの内蔵センサーを利用した音声盗聴の新たな手法を提案した研究報告を発表した。
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
米国立標準技術研究所(NIST)が、組織はユーザーに定期的なパスワード変更を要求してはならないという内容を含めた新しいガイダンスを発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。