1. まとめトップ

BadUSB攻撃が引き起こすPCセキュリティの悪夢

防御不可能なPC攻撃方法といわれるBadUSB攻撃。どんな攻撃で、何が引き起こされるのでしょうか。

更新日: 2015年01月03日

u1bellさん

  • このまとめをはてなブックマークに追加
2 お気に入り 13849 view
お気に入り追加

BadUSBとは何か?

Black Hat USA 2014で報告された、USBデバイスの脆弱性をついた攻撃方法。
再プログラミングされたUSBデバイスは、PCのウイルスソフトに決して検出されることなく、さまざまな攻撃を行うことができる。
コンピュータをのっとり、ユーザーデータを抜き取り、ユーザの行動をすべて監視することができる。
また、このUSBウィルスを、自己増殖させることも可能である。

1. USBメモリだろうと、USBキーボードだろうと、USBデバイスには小さなコンピュータとFirmware(制御ソフト)が入っている。
2. USBデバイスのFirmwareは、本来の機能を実行するためだけのプログラムが入っているという性善説
3. 多くのUSBデバイスのFirmwareは、信頼できないコンピュータに接続された場合、そのFirmwareをコッソリと悪意あるものに書き換えることが可能である。

考えられる攻撃は、多岐にわたります。

・キーロガーによるユーザー監視。
・コマンド入力による任意の悪意あるコマンド実行。Malwareのインストールを含む。
・ネットワークの設定を書き換え、悪意あるサーバーを経由するようにする。
・ユーザーデータを盗みだす。
などなど。。

ありとあらゆる種類の周辺機器がUSBデバイスとして提供されていることを考えると、影響の度合いは計り知れません。

BadUSBの実現には、USBチップのリバースエンジニアリングが必要です。Nohl氏らは、攻撃方法の詳細やデモを提示しましたが、ソースコードの公開は結局行いませんでした。

BadUSBと同等の機能を持つソフトウェアが公開されてしまった!

攻撃を防ぐ方法はあるのか?

考えうる防御方法に対し、以下のコメントが出ています。

Karsten Nohl氏ら3人が作成した資料の紹介です。

■USBホワイトリスト方式(安全なUSBデバイスのリストを作る)

多くのUSBデバイスは、ユニークIDを持っていないため、難しい。

■危険性の高いクラスのUSBデバイスだけブロックする

明らかに不便になる。また、一番基本的なクラスのUSBデバイスでも、十分悪用可能である。

■USBデバイスのFirmwareをScanする。

Firmwareをスキャンできるデバイスの場合、その機能自体がFirmwareで提供されています。悪意あるFirmwareは、単にその機能を無効にすることができます。

■Firmwareの書き換えに、署名を必須とする

USBデバイスに使われる小さいCPUでは、複雑な署名の処理はできません。
また、すでに存在する莫大な数のUSBデバイスの脆弱性は、放置されたままです。

■Firmwareを書き換え不可能にする。

簡単かつ効果的。
(ですが、Firmware書き換えの本来の目的であるUSBデバイス自体のバグフィックスや機能追加が不可能になります。また、既存のUSBデバイスの脆弱性も、放置されたままです。)

BadUSB攻撃の対策を実装した、新たなUSBデバイスを開発することは可能であるようです。つまり、Firmwareの書き換えを無効にするなど、制限を設ければよいのです。
しかし、すでに大量に出回っているUSBデバイスに対して、防御対策を講じるうまいやり方は、今のところ提示されていません。

考えられる攻撃シナリオ

■BadUSB攻撃Firmwareが書き込まれたUSBデバイスを、攻撃対象のPCの1台に接続する

USBメモリやキーボードだけでなく、悪意あるアプリの入ったAndroidスマホも攻撃者となりえます。

■USBデバイスにBadUSB Firmwareを上書きするMalwareを、攻撃対象のPCの1台に感染させる

とりうる自衛策

BadUSBは、その感染・増殖にUSB接続を必要とします。
結局、信頼できないUSBデバイスを接続しないこと、という一点しかなさそうです。

顧客のふりをして企業の担当者と接触し、自然な流れでUSBメモリを差したり、スマホの充電をお願いしたりすることで、アンチウィルスソフトをスルーしてPCを攻撃する・・・というような話が現実に起きてしまう日も、近いのかもしれません。

USB感染するコンピュータウイルスと同じ?と誤解しやすいですが、一番違う点は、USBプロトコルにのっとって不正を行うこと、Firmwareのscanを無効にすることが容易なことから、攻撃内容によっては既存のコンピュータウイルス検出技術が役に立たないことです。

追加情報

1





u1bellさん

スマホの使いこなしなど、気になるネタをまとめていきます。