ネットワーク非接続のPCから情報を盗み出す「AirHopper」

西方望

December 15, 2014 20:18
by 西方望

およそネットワークとつながっているコンピューターは、常に情報漏洩の危険にさらされていると言っても過言ではない。メールで送られてきたファイルを迂闊に開いたり、脆弱性のあるブラウザーで細工されたサイトにアクセスしたりすることにより、マルウェアに感染して情報が盗まれてしまったという事案は枚挙に暇がないほど起きている。

では、コンピューター内にある機密情報や個人情報といった重要なデータを確実に守るにはどうすればいいのか。アンチウイルス、ファイアウォール、IDSといったさまざまな対策はあるが、どうやっても万全とは言えないのが現実だろう。であればいちばん簡単な方法は、極めて重要なデータを保存しているコンピューターを、ネットワークから切り離してしまうことだ。ネットワークにつながっていないのだから、当然ネットワーク経由で情報が漏れることはない。むろん、ベネッセ事件のように誰かが外部デバイスにデータをコピーして持ち出すという可能性はあるが、気をつけるべきはその点だけだ。そのコンピューターに物理アクセスできる人間やデバイスの管理さえしっかりと行えば、漏洩を防ぐことができるはずだ。

しかし、ネットワークから切り離されていれば絶対に安全なのか、といえばそんなことはない。こういった機器から情報を盗み出す手段の1つとして知られているのがTEMPEST(テンペスト)だ。ディスプレイやPCとキーボードをつなぐケーブルからは、微弱ながら電波が漏れ出している。これを外部から検知することにより、画面に映し出された情報や入力された文字を取得できるのだ。なお、TEMPESTとは元々NSA・NATOの漏出電磁波などによる諜報と防諜に関する研究・規格だが、漏出電磁波を利用した盗聴行為自体もこう呼ぶことが多い。また、「Telecommunications Electronics Material Protected from Emanating Spurious Transmissions」の略というのは後付け(バックロニム)のようだ。

とはいえ、実際に盗聴を行うのはかなりハードルが高い。微弱な電波を正確に捉えるには相当の機材が必要だし、距離が離れたり遮るものがあれば受信は困難だ。建物の奥に置かれた機器を外部から盗聴するのはまず不可能と思われる。また、TEMPESTで盗み出せるのはあくまで「今」画面に映っていたり入力したりしている情報に限られる。ハードディスク内のファイルを持ち出すといったことはできない。現実問題としては、TEMPESTの脅威は低いといえるだろう。

だが先日、TEMPESTの発展型と携帯電話を組み合わせた新しい情報持ち出し手法が登場した。先月末に開催されたマルウェア研究カンファレンス「MALCON 2014」で、セキュリティ研究者のMordechai Guri氏とイスラエルBen-Gurion大学のYuval Elovici教授が発表した、「AirHopper」と呼ばれる概念実証(proof-of-concept)マルウェアだ(How to leak sensitive data from an isolated computer (air-gap) to a near by mobile phone – AirHopper[Cyber Security Labs @ Ben-Gurion University of the Negev]

AirHopperは、ターゲットとなるPCに仕込むもの(AirHopper PC)と、携帯電話・スマートフォンに仕込むもの(AirHopper Mobile)の2つの部分からなる。と、ここで疑問に思う方もいるだろう。ネットワークから切り離されたPCに、どうやってAirHopper PCを仕込むのか。たしかに難題ではあるが、けして不可能ではない。それを証明したのが、2010年に世界を震撼させたマルウェア、「Stuxnet」だ。

アメリカ政府が開発したと見られているStuxnetは、イランの核施設の遠心分離器制御システムに入り込み、イランの核開発に大きな打撃を与えたという。制御システムは外部ネットワークから隔離されていたが、StuxnetはUSBメモリなどを巧妙に利用して侵入した。会社の機密データを保存した隔離PCであっても、すべてその場で入力するのでないかぎり、何らかの手段で外部からデータを持ち込む必要はあるだろう。それに乗じてマルウェアを送り込むというのは、十分に現実的なシナリオなのだ。

漏出電波で盗み見ることができるのは、今画面に表示されている情報だけというのは先述のとおり。だがPCにAirHopperのような適切なソフトウェアさえ仕込めば、画面表示を制御することにより、信号を送ることができる。最もシンプルなのは、画面を明滅させてモールス信号を送ることだが、複雑なパターンを利用するなどすればより多くの情報を送ることも可能となる。これ自体は1990年代に提唱された手法で、ソフトウェアTEMPESTなどとも呼ばれる。しかし、これで「表示された情報しか盗めない」というTEMPESTの欠点は克服できるが、受信が困難なのは依然として変わらない。

そこで登場するのがAirHopper Mobileだ。これは、ターゲットPCの数メートル範囲に一定時間以上滞在する人物の携帯に仕込む。そのためのシナリオはいくらでも考えられるだろう。対象は、直接ターゲットPCを操作する人物ではなく、壁1枚隔てたところにデスクがあるといった要員が望ましい。ただし、対象の携帯はFMラジオの受信機能を持っている必要があるが、そういった機種は珍しくはない。

もうおわかりだろう。AirHopper PCは、ターゲットPCの画面を操作することにより任意の情報をFM電波として送出し、近くにあるAirHopper Mobileがこれをキャッチし、情報を入手するわけだ。到達距離は、条件によるが数メートル程度、転送レートは最大で毎秒60バイトほどだという。こうしていったん携帯にデータが送られれば、後は普通のマルウェアと同じことをするだけだ。これで、ネットワークから隔離されたPCからの情報入手が完了する。

もちろん、AirHopperは概念を示すためのものであり、現実に同様の攻撃を実行するのはかなり難易度が高い。ターゲットPCの場所、データの持ち込み手段、近くにいる人物、携帯の機種など、きわめて広範かつ長期的な調査とソーシャルエンジニアリングの技能が必要になる。また、ターゲットPCへ直接指令を送ることはできないので、例えばディスクを調べてファイル名を特定し、それを持ち出すだけでも2回感染させる必要がある。さらに、画面表示を操作する以上、誰かに不審に思われる可能性は高い(論文ではいくつかの回避手法が検討されているが、どれも実際には難しい)。近くに感染携帯が存在する必要があるので、誰もいない夜中に、というわけにはいかないのだ。

しかし、AirHopperが新しい脅威の可能性を示したのは間違いなく、これを元に今後より洗練された攻撃が編み出されていくかもしれない。またこれに限らず、個人の携帯・スマートフォンが企業から情報を持ち出したり攻撃するための足がかりとされる事案は、今後確実に増えていくだろう。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

善意のサイトが犯罪の片棒を担ぐ!? 手軽にサイバー犯罪を行う中国の富豪の子弟

February 19, 2018 10:00

by 牧野武文

中国のサイバー犯罪者というと、地方で工学系の大学を卒業したものの、仕事がなく、生活費に困って、知識を活かした犯罪をするというのが大半だ。しかし金持ちの子弟が、サイバー犯罪に手を染める例も数は多くないもの存在する。本来は、視覚障害者のためのサービスとして始まった「快啊答題」は、運営者がスリルを求めてサ…

「教科書アダルトリンク事件」の犯人が逮捕される

February 13, 2018 08:00

by 牧野武文

中国の中学高校用副教材『中国古代詩歌散文鑑賞』の中に、参考用としてアダルトサイトのURLが掲載されて教育界が大騒ぎになった事件を以前にお伝えした。このアダルトサイトの運営者が逮捕されたことを『騰訊新聞』が報じた。 「あぶれ組」による犯行 中国の人口は約14億人。中国政府は伝統的に教育に力を入れており…

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)

February 9, 2018 08:00

by 江添 佳代子

→前編はこちら 人々の「動き」が伝える情報 Global Heatmapによって引き起こされた問題について、英語圏のメディアの多くは「Stravaのマップで世界の軍用基地が発見された」などの見出しをつけて伝えている。しかし、それは誤解を招きやすい表現かもしれない。なぜなら人々が報告した「場所」そのも…