Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート 第3回
グーグルのセキュリティ担当者がUSBメモリをばらまき実験、Black Hat USA 2016で報告
だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査
2016年08月17日 07時00分更新
USBメモリに似せた攻撃デバイスを自作し、瞬時にPCを乗っ取る攻撃デモ
実験に協力した大学側の要請で、今回の実験ではマルウェア的な動作をする仕掛けは盛り込まれていない。しかし、実際にUSBメモリを使った攻撃は想像以上に容易で、しかも相手にバレることなくPCを乗っ取ることも可能だと、ブルツタイン氏は指摘する。
同氏はUSBメモリを使った攻撃手法として、今回のようにHTMLファイルをクリックさせてフィッシングサイトなどに誘導する方法のほか、OSのゼロデイ脆弱性を突く高度な方法、さらに、見た目がUSBメモリそっくりの攻撃デバイスを作る方法という3種類を紹介した。
「1つめについては、拾った人がHTMLファイルをクリックする可能性に賭けなければならず、確実性は若干下がる。ゼロデイ脆弱性を狙う方法は、実現できれば成功率は高いが、その脆弱性を発見するまでに時間とコストがかかるのでハードルも高い」
しかし、3つめの“USBメモリ風の攻撃デバイス”を作る方法の場合は、ケースを自作するなど労力と根気こそ必要なものの、「PCを感染させる仕掛けは、ユーザーが気付かないほど鮮やか」だという。ブルツタイン氏が自作した攻撃デバイスは、見た目はUSBメモリそっくりだが、PCに接続すると「HIDキーボード(USBキーボード)」と認識され、あらかじめ用意されている攻撃コードを自動的に“キー入力”してしまう。
まずは、合成樹脂で作ったUSBメモリそっくりのカバーに、ARMの32ビットマイコンボード「Teensy 3.2」ベースのデバイスを組み込む。ブルツタイン氏によれば、このデバイスは「コネクタなど含めて40ドル以下で作れた」。あとは、接続された際にWindowsやMac、LinuxなどOSを識別して、攻撃者サーバーとの接続を自動的に確立するリバースTCPシェルを書くだけだ。
最近のアンチウイルス製品(PCセキュリティ製品)では、こうした攻撃を検知する仕組みも用意されている。しかしブルツタイン氏は、「(自動キー入力のスピードを)毎秒最大62.5キーストローク程度に抑えることで、アンチウイルス製品に検知されにくくなる」と指摘する。
「この“USBメモリ風の攻撃デバイス”をPCに挿した瞬間、そのPCは攻撃者の手に堕ちたと思っていい」
USBデバイスを用いた攻撃デモビデオ。攻撃者はあらゆるリモート操作が可能になる |
さて、こうした攻撃にはどう対策すればよいのだろうか。ブルツタイン氏は、3つのポイントを挙げる。
1つは、拾ったUSBメモリなどを安易にPCに挿さないよう、ユーザーのセキュリティ意識向上を図ること。2つめは、機密情報を取り扱うような重要なPCではUSBポートを物理的にふさいでしまうこと。そして3つめは、デバイスの取り扱いポリシーを徹底し、あらかじめ許可された(ホワイトリストに登録された)USBメモリ/USBデバイス以外が接続された場合にはPCをシャットダウンする「USBKill」ツールを使うことだ(ただしUSBデバイスのIDは偽装可能なので100%の対策とは言えない)。
今回ブルツタイン氏が行った実験では、攻撃の成功率が比較的低いと思われる「HTMLファイルをクリックさせる」方法でも、45%が成功してしまうことがわかった。「USBメモリをPCに挿す」だけで攻撃が自動実行されるならば、その成功率はさらに高くなるだろう。
「攻撃用のUSBメモリ(あるいはUSBメモリ風デバイス)を作るのは難しくない。誰にでもすぐに実行できてしまう。被害に遭わないためにも、ユーザーの意識向上やツールでの対策は必要不可欠だ」
この連載の記事
-
第4回
TECH
ソフト脆弱性を数分で自動修正するシステムの競技会、DARPAが開催 -
第2回
TECH
東京都庁の通信内容がダダ漏れ危機?「badWPAD」脆弱性とは -
第1回
TECH
95から10までの全Windowsに影響、「BadTunnel」脆弱性とは何か -
TECH
Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート - この連載の一覧へ