私は以前,小さな携帯機器のリスクについて書いたことがある。「携帯機器に保存できるデータの量が大幅に増えているため,紛失したり盗まれたりするデータの量も増えている」といった内容だった。ところが別のリスクも存在する。攻撃者は,自分のUSB機器をユーザーのパソコンに接続させることができれば,そのパソコンを乗っ取れるのだ。米CSO Magazine誌に以下のような記事があった。
「Windowsの動いているパソコンにiPodやUSBメモリーを接続すると,それらのUSB機器はパソコンを文字通り乗っ取ることが可能となる。機密文書を探し出してiPodやUSBメモリーの内部ストレージにコピーし,『削除済み』ファイルとして隠蔽できる。さらにUSB機器は,パソコンにスパイウエアを送り込むことや,OSに悪影響を与えることにも使える。こうした行為を可能としているのは,WindowsのAutoRun機能と,DMAと呼ばれる周辺機器向け機能の2つだ。前者の機能を使う攻撃は,何らかのデバイスの接続が必要となる。後者は,これから長い期間存続する可能性のある設計上の欠陥に起因する」
この記事には詳細が記載されている。簡単にまとめると,USB機器をパソコンに接続したときに,機器に保存したファイルを自動実行するよう設定できる,ということだ。実行されたファイルは,当然あらゆる操作が行える。
最近,このタイプの攻撃に関する記事を多く目にする。例えば,米2600 Magazine誌の2006年春号に「iPod Sneakiness(iPodによる“コソ泥”)」というタイトルの短い記事が掲載された(残念ながらオンラインでは読めない)。この記事の著者は「インターネット・カフェで何食わぬ顔をして他人に『充電したいから君のパソコンにiPodを接続させてくれ』と頼むと,相手のパスワードや重要なファイルを盗める」と指摘した。
ここでは,侵入試験の中でこの手口を使った人物を紹介しよう。
「警戒心の強い従業員に“餌”をちらつかせることで,何か違うことを試してみようと考えた。そこで,何年も前から景品でもらうようになった役に立たないUSBメモリーをすべて集め,特製ソフトウエアを仕込んだ。ある仲間にトロイの木馬を作らせ,起動するとパスワードやログイン情報,パソコン固有の情報を集め,そのパソコンから電子メールで“戦利品”を我々のもとに送信するようにした」
「次なる障害は,試験対象である信用組合の従業員(ユーザー)に,このUSBメモリーを渡す方法である。私は信用組合の従業員に見られないよう,午前6時ごろに現場へ行った。そして駐車場や喫煙エリア,その他従業員がよく使うところにUSBメモリーをばらまいた」
「USBメモリーの『仕込み』を終えると,私はコーヒーを飲みながら出勤してくる従業員の反応を見ることにした。この信用組合の調査には時間をかけただけの価値があった。USBメモリーを見つけた従業員の対応には本当に驚かされた。自分の机に着くとすぐにパソコンに接続したのだ」
「私はすぐ,トロイの木馬を書いた仲間に電話をかけ,何かデータが送られてきたかどうか尋ねた。徐々にだが確実に情報は送られてきた。従業員たちがUSBメモリーをパソコンに接続し,我々の作ったソフトウエアが動いているとも知らずに,内部の画像ファイルに目を通すようすを建物の中で見ることができたら,楽しかっただろう」
今回の問題に対する部分的な防御方法は存在する。最初の記事には以下のように書かれていた。
「AutoRunは悪いところしかないアイデアだ。CD-ROMやUSBドライブをパソコンに接続するユーザーは内部に何があるか知りたいことが多く,プログラムを自動実行したいわけではない。幸いAutoRunはオフに設定できる。簡単にAutoRunを止めるには,CD-ROMを挿入したりUSBドライブを接続したりするときに自分でシフト・キーを押していればよい。さらによい対策は,Windowsのレジストリを編集してAutoRunを完全に無効化することだ。具体的な手順はインターネットでたくさん見つかるし(「disable autorun(AutoRun 無効化)」で検索するだけでよい),Windows XP PowerToysと一緒にダウンロードできる米MicrosoftのTweakUIを利用する方法もある。Windows XPでは,CDに関するAutoRunの無効化は,WindowsエクスプローラでCDドライブのアイコンを右クリックしてAutoPlay(自動再生)タブを選び,一覧に表示されたディスクの種類ごとに「Take no action(何もしない)」を指定すればよい。残念ながら,CDに対して自動再生を無効化しても,USB機器に対する設定は有効なままだ。したがって,レジストリをいじることが最も安全な対策である」
Macintoshにも1990年代は同様の機能が存在していたものの,あるウイルスが1998年に悪用したため削除された。Microsoftもこの機能を取り除かないといけない。
しかし,これは部分的であり不完全な防御である。紹介した侵入試験ではAutoRunを使わなかった。十分に気を引くファイルを作っただけで,USBドライブを見つけた人は自分でトロイの木馬を起動した。
<http://www.csoonline.com/read/050106/ipods.html>
<http://www.darkreading.com/document.asp?...>
<http://www.darkreading.com/boards/message.asp?...>
私の過去記事:
<http://www.schneier.com/blog/archives/2005/07/... >
Copyright (c) 2006 by Bruce Schneier.
◆オリジナル記事「Hacking Computers Over USB」
◆「CRYPTO-GRAM June 15, 2006」
◆「CRYPTO-GRAM June 15, 2006」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
