archive.is webpage capture | からアーカイブ | 2016年8月18日 00:13:58 UTC | |
| すべてのスクリーンショット, | ドメインから ascii.jp | ||
| ウェブページスクリーンショット | |||
2
次へ
Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート ― 第3回
グーグルのセキュリティ担当者がUSBメモリをばらまき実験、Black Hat USA 2016で報告
だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査
2016年08月17日 07時00分更新
文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp
USBメモリに似せた攻撃デバイスを自作し、瞬時にPCを乗っ取る攻撃デモ
実験に協力した大学側の要請で、今回の実験ではマルウェア的な動作をする仕掛けは盛り込まれていない。しかし、実際にUSBメモリを使った攻撃は想像以上に容易で、しかも相手にバレることなくPCを乗っ取ることも可能だと、ブルツタイン氏は指摘する。
同氏はUSBメモリを使った攻撃手法として、今回のようにHTMLファイルをクリックさせてフィッシングサイトなどに誘導する方法のほか、OSのゼロデイ脆弱性を突く高度な方法、さらに、見た目がUSBメモリそっくりの攻撃デバイスを作る方法という3種類を紹介した。
「1つめについては、拾った人がHTMLファイルをクリックする可能性に賭けなければならず、確実性は若干下がる。ゼロデイ脆弱性を狙う方法は、実現できれば成功率は高いが、その脆弱性を発見するまでに時間とコストがかかるのでハードルも高い」
しかし、3つめの“USBメモリ風の攻撃デバイス”を作る方法の場合は、ケースを自作するなど労力と根気こそ必要なものの、「PCを感染させる仕掛けは、ユーザーが気付かないほど鮮やか」だという。ブルツタイン氏が自作した攻撃デバイスは、見た目はUSBメモリそっくりだが、PCに接続すると「HIDキーボード(USBキーボード)」と認識され、あらかじめ用意されている攻撃コードを自動的に“キー入力”してしまう。
| 本物のUSBメモリを使ってシリコン型を取り、合成樹脂で攻撃デバイス用のケースを製作 |
| 本物そっくりに出来上がった。「きれいに作るには、結構練習が必要だった」(ブルツタイン氏) |
まずは、合成樹脂で作ったUSBメモリそっくりのカバーに、ARMの32ビットマイコンボード「Teensy 3.2」ベースのデバイスを組み込む。ブルツタイン氏によれば、このデバイスは「コネクタなど含めて40ドル以下で作れた」。あとは、接続された際にWindowsやMac、LinuxなどOSを識別して、攻撃者サーバーとの接続を自動的に確立するリバースTCPシェルを書くだけだ。
最近のアンチウイルス製品(PCセキュリティ製品)では、こうした攻撃を検知する仕組みも用意されている。しかしブルツタイン氏は、「(自動キー入力のスピードを)毎秒最大62.5キーストローク程度に抑えることで、アンチウイルス製品に検知されにくくなる」と指摘する。
「この“USBメモリ風の攻撃デバイス”をPCに挿した瞬間、そのPCは攻撃者の手に堕ちたと思っていい」
| “USBメモリ風攻撃デバイス”をPCに挿してから攻撃者サーバーに接続されるまでの流れ。デバイスはUSBキーボードとして認識され、攻撃者サーバーへ接続する攻撃コードを自動入力する |
| USBデバイスを用いた攻撃デモビデオ。攻撃者はあらゆるリモート操作が可能になる | ||
さて、こうした攻撃にはどう対策すればよいのだろうか。ブルツタイン氏は、3つのポイントを挙げる。
1つは、拾ったUSBメモリなどを安易にPCに挿さないよう、ユーザーのセキュリティ意識向上を図ること。2つめは、機密情報を取り扱うような重要なPCではUSBポートを物理的にふさいでしまうこと。そして3つめは、デバイスの取り扱いポリシーを徹底し、あらかじめ許可された(ホワイトリストに登録された)USBメモリ/USBデバイス以外が接続された場合にはPCをシャットダウンする「USBKill」ツールを使うことだ(ただしUSBデバイスのIDは偽装可能なので100%の対策とは言えない)。
今回ブルツタイン氏が行った実験では、攻撃の成功率が比較的低いと思われる「HTMLファイルをクリックさせる」方法でも、45%が成功してしまうことがわかった。「USBメモリをPCに挿す」だけで攻撃が自動実行されるならば、その成功率はさらに高くなるだろう。
「攻撃用のUSBメモリ(あるいはUSBメモリ風デバイス)を作るのは難しくない。誰にでもすぐに実行できてしまう。被害に遭わないためにも、ユーザーの意識向上やツールでの対策は必要不可欠だ」
| 講演後、手作りの攻撃デバイスを一目見ようと取り囲む参加者とブルツタイン氏 |
■関連サイト
2
次へ
この特集の記事
この記事の編集者は以下の記事をオススメしています
最新記事
ASCII.jp特設サイト
-
レッツノートの最新情報を掲載
-
Endeavorシリーズのお買い得情報満載
-
富士通のお買い得情報満載
-
デルのお買い得最新情報を掲載
-
ソニーのお買い得情報満載
アクセスランキング
集計期間:2016年 08月11日~08月17日
ピックアップ
-
データレスPCソリューション「Flex Work Place」で実現する鉄壁ランサムウェア対策
-
カメラで思い出をキレイに残すのも、ポケモンGOで遊ぶのも◎!
-
Windows 10 Mobileは大きいほうがいい!
-
サイボウズ Officeの大規模版だけじゃない魅力とは?
-
「110MB/日」の日次プランがオススメ!
-
GeForce GTX 980との性能差もベンチマークで検証!
-
-
製品型番は「PDR-DR4BAY」!
-
-
午前2時、踏み切りに担いでいかなくてもOK
-
-
デジタル変革時代を“攻める”企業に「IBM FlashSystemシリーズ」が力を与える
-
-
Googleのヘビーユーザーなら超ラクチン
-
週アス読み放題で、独自コンテンツ盛りだくさん
-
パスワードって実は覚えちゃいけない
-
-
毎週金曜配信開始!
-
簿記の知識がなくても確定申告ができた
-
【前編】鹿野司氏、堺三保氏、白土晴一氏「設定考証ブラザーズ」かく語りき
-
アプリケーションまで見られるSAMの実力とは?
-
連載:今週の「ざっくり知っておきたいIT業界データ」
-
インフラ屋さんの週刊ブックマーク
-
ゼロから始めるITセミナー
-
最新製品が勢揃いした「Interop Tokyo 2016」展示会
-
大谷イビサのIT業界物見遊山
-
連載:今週の「ざっくり知っておきたいIT業界データ」
-
国産クラウドのチャレンジ!「IDCFクラウド」徹底解剖