コンテンツにスキップ
ビジネスとIT
マルウェアは、内蔵マイクとスピーカーを使用して 65 フィートの距離で通信します。
隔離されたコンピュータをインターネットに接続する隠れたメッシュネットワークのトポロジー。クレジット:HanspachとGoetz
隔離されたコンピュータをインターネットに接続する隠れたメッシュネットワークのトポロジー。クレジット:HanspachとGoetz
コンピューター科学者らは、通信に聞こえない音声信号を使用するマルウェアのプロトタイプを提案した。この機能により、感染したマシンがネットワークに接続されていない場合でも、マルウェアはキー入力やその他の機密データを密かに送信できる。
この概念実証ソフトウェア、あるいは同じ高周波通信方式を採用した悪意のあるトロイの木馬は、コンピュータと外界の間に日常的に「エアギャップ」が存在する高度に機密性の高い環境への侵入に特に優れている可能性がある。研究者たちは、標準的なコンピュータに内蔵されたマイクとスピーカーだけを使って、パスワードなどの少量のデータを約65フィート(約20メートル)の距離から送信することに成功した。このソフトウェアは、攻撃者が制御する音声信号を中継するデバイスで構成された音響メッシュネットワークを用いることで、はるかに長距離のデータ転送も可能となっている。
ドイツのフラウンホーファー通信・情報処理・人間工学研究所の研究者たちは、最近、Journal of Communications誌に掲載された論文で研究結果を発表しました。これは、あるセキュリティ研究者が、自身のコンピュータが高周波通信を利用してエアギャップを飛び越える謎のマルウェアに感染したと報告してから数週間後のことでした。今回の研究は、ドラゴス・ルイウ氏が主張するいわゆるbadBIOS感染を裏付けるものでも反証するものでもありませんが、高周波ネットワークが今日のマルウェアに容易に侵入可能であることを示しています。
「本論文では、一般的なノートパソコンが内蔵スピーカーとマイクを使って通信し、さらには隠れた音響メッシュネットワークを形成することさえ可能であることから、エアギャップという概念そのものがもはや時代遅れであると言える理由を論じています」と、著者の一人であるマイケル・ハンスパッハ氏は電子メールで述べています。「この隠れたネットワークでは、感染したノードを経由した複数のホップを経由して情報が伝達され、完全に隔離されたコンピューティングシステムやネットワーク(インターネットなど)が相互に接続される可能性があります。また、隠れたネットワークへの参加に対する対策も提案しています。」
研究者たちは、2台のLenovo T400ノートパソコン間で、内蔵マイクとスピーカーのみを使用して、聞こえない音を使ってデータを送信する複数の方法を開発しました。最も効果的な手法は、もともと水中で音響データ送信用に開発されたソフトウェアを利用するものでした。ドイツの水中音響・地球物理学研究部門が開発した、いわゆる適応型通信システム(ACS)モデムは、最大19.7メートル(64.6フィート)離れたノートパソコン間でデータ送信が可能でした。信号を拾い、近くの他のデバイスに中継するデバイスを複数接続することで、メッシュネットワークははるかに長い距離をカバーできます。
ACSモデムは、ノートパソコンのスピーカーとマイクのみを使用して通信する他の技術よりも信頼性が高かった。しかし、1つの大きな欠点があった。それは、約20ビット/秒という伝送速度で、標準的なネットワーク接続のごく一部に過ぎないということだ。このわずかな帯域幅では、動画やファイルサイズの大きいデータの伝送は不可能だ。研究者らは、攻撃者はキーロガーやメモリダンパーから取得したログイン認証情報など、特定の種類のデータのみを送信する機能をトロイの木馬に組み込むことで、この欠点を克服できると述べている。
「この小さな帯域幅は、実際にはキー入力などの重要な情報を転送するのに十分かもしれません」とハンスパッハ氏は記している。「すべてのキー入力について考える必要はありません。認証情報を認識できるキーロガーがあれば、検出されたパスワードをネットワーク経由でたまに転送するだけで、ネットワークのステルス性が非常に高まります。そして、秘密の暗号鍵や悪意のあるコマンドといった小さな情報であれば、感染した建物に転送できる可能性があります。」
Flameを覚えていますか?
隠蔽型音響ネットワークの実装ハードルは非常に高いため、マルウェア開発者がすぐに自社の製品に組み込む可能性は低いでしょう。しかし、過去18ヶ月間に発見されたStuxnet、Flame、その他の国家支援型マルウェアの機能と比較すると、その要件は控えめです。つまり、軍事組織、原子力発電所、その他の真に高度なセキュリティが求められる環境のエンジニアは、イーサネットやWi-Fi接続から隔離されたコンピュータは立ち入り禁止であると想定すべきではなくなりました。
研究論文では、潜在的な標的が採用できる対策をいくつか提案しています。1つの方法は、オーディオ入出力デバイスの電源を切るという単純なものですが、現在入手可能なハードウェア設計では、この最も明白な対策を容易に実現できるものはほとんどありません。2つ目の方法は、オーディオフィルタリングを用いて、密かにデータを送信するために使用される高周波帯域をブロックすることです。Linux搭載デバイスは、高度なLinuxサウンドアーキテクチャとLinux Audio DeveloperのSimple Plugin APIを組み合わせることで、これを実現できます。同様の方法は、WindowsおよびMac OS Xコンピューターでも利用できる可能性があります。研究者らはまた、オーディオ侵入検知ガードの使用も提案しています。これは、「オーディオの入出力信号を宛先に転送すると同時に、ガードの内部状態に保存し、そこでさらに分析できるようにする」デバイスです。
アップデート
水曜日にハンスバッハ氏は以下の声明を発表した。
フラウンホーファーFKIEは、情報セキュリティ研究に積極的に取り組んでいます。私たちの使命は、潜在的な脅威を早期に検知し、予防することでセキュリティを強化することです。空中音響メッシュネットワークに関する研究は、今後出現する可能性のある隠れた通信技術の脅威を実証することを目的としていました。フラウンホーファーFKIEはマルウェアやウイルスを開発しておらず、提示された概念実証は他のコンピューティングシステムに拡散することはありませんが、マルウェアの仮想インスタンス間の隠れた通信チャネルを構成するだけです。提示された研究プロジェクトの最終的な目標は、こうした種類の攻撃に対する意識を高め、お客様に適切な対策を提供することです。
記事を更新し、最初の文と見出しに「プロトタイプ」を追加し、最初の文の「開発された」を「提案された」に変更しました。これらの変更は、研究者が実際に機能するマルウェアを作成していないことを明確にすることを目的としています。
ダン・グッドインはArs Technicaのシニアセキュリティエディターとして、マルウェア、コンピュータースパイ、ボットネット、ハードウェアハッキング、暗号化、パスワードなどの記事を担当しています。余暇にはガーデニング、料理、インディーズ音楽シーンの追及を楽しんでいます。サンフランシスコを拠点としています。MastodonのこちらとBlueskyのこちらでフォローしてください。SignalのDanArs.82までご連絡ください。
151件のコメント
