邪悪なメイドの攻撃

図示されたノートパソコンのような放置されたデバイスは、悪意のあるメイドの攻撃を受ける危険がある。

悪意のあるメイド攻撃は、無人デバイスに対する攻撃であり、物理的にアクセスできる攻撃者が、検出されない方法でデバイスを改ざんし、後でデバイスまたはその上のデータにアクセスできるようにします。

この名前は、メイドさんがホテルの部屋に放置されたデバイスを破壊する可能性があるというシナリオを指していますが、このコンセプト自体は、デバイスが移動中に傍受されたり、空港や法執行機関の職員によって一時的に持ち去られたりする状況にも当てはまります。

概要

起源

2009年のブログ記事で、セキュリティアナリストのジョアンナ・ルトコフスカは、ホテルの客室がデバイスを放置される一般的な場所であることから、「Evil Maid Attack（邪悪なメイド攻撃）」という用語を作り出した。^{[ 1 ]}^{[ 2 ]}記事では、外付けUSBフラッシュドライブを介して無人コンピュータのファームウェアに侵入し、 TrueCryptディスク暗号化を回避する方法について詳しく説明している。^{[ 2 ]}

コンピュータセキュリティの専門家であるD. Defreez氏は、2011年に初めてAndroidスマートフォンに対する悪意のあるメイド攻撃の可能性について言及しました。^{[ 1 ]}彼は、WhisperCore Androidディストリビューションと、Androidにディスク暗号化を提供する機能について話しました。^{[ 1 ]}

注目性

2007年、元米国商務長官カルロス・グティエレス氏は中国出張中に悪質なメイドによる攻撃を受けたとされている。^{[ 3 ]}グティエレス氏は北京での貿易交渉中にパソコンを放置し、不正アクセスされたのではないかと疑った。^{[ 3 ]}この疑惑はまだ確認も否定もされていないが、この事件をきっかけに米国政府は物理的な攻撃に対してより警戒するようになった。^{[ 3 ]}

2009年、シマンテックのCTOマーク・ブレグマンは、複数の米国政府機関から、中国に渡航する前にデバイスを米国に残しておくよう勧告された。^{[ 4 ]}彼は、物理的なデータ回収の試みが無効になるように、出発前に新しいデバイスを購入し、帰国後に廃棄するよう指示された。^{[ 4 ]}

攻撃方法

古典的な邪悪なメイド

攻撃は被害者がデバイスを放置したときに始まります。^{[ 5 ]}攻撃者はその後、システムの改ざんに進みます。被害者のデバイスにパスワード保護や認証がない場合、侵入者はコンピュータの電源を入れ、すぐに被害者の情報にアクセスできます。^{[ 6 ]}ただし、デバイスがフルディスク暗号化などのパスワードで保護されている場合は、デバイスのファームウェアを侵害する必要があります。これは通常、外付けドライブを使用して行われます。^{[ 6 ]}侵害されたファームウェアは、被害者に元のパスワードと同じ偽のパスワードプロンプトを表示します。^{[ 6 ]}パスワードが入力されると、侵害されたファームウェアはパスワードを攻撃者に送信し、再起動後に自身を削除します。^{[ 6 ]}攻撃を成功させるには、攻撃者はデバイスが放置された後、もう一度デバイスに戻り、アクセス可能になったデータを盗む必要があります。^{[ 5 ]}^{[ 7 ]}

もう一つの攻撃方法はDMA攻撃であり、攻撃者は物理アドレス空間に直接接続するハードウェアデバイスを介して被害者の情報にアクセスします。^{[ 6 ]}攻撃者は情報にアクセスするためにハードウェアデバイスに接続するだけで済みます。

ネットワーク邪悪なメイド

悪意のあるメイド攻撃は、被害者のデバイスを同一のデバイスに置き換えることによっても実行できます。^{[ 1 ]}元のデバイスにブートローダのパスワードが設定されている場合、攻撃者は同一のブートローダのパスワード入力画面を持つデバイスを入手するだけで済みます。^{[ 1 ]}ただし、デバイスにロック画面がある場合は、攻撃者は模倣デバイスのロック画面に表示する背景画像を取得する必要があるため、プロセスはより困難になります。^{[ 1 ]}いずれの場合でも、被害者が偽のデバイスにパスワードを入力すると、そのデバイスは元のデバイスを所有している攻撃者にパスワードを送信します。^{[ 1 ]}その後、攻撃者は被害者のデータにアクセスできます。^{[ 1 ]}

脆弱なインターフェース

レガシーBIOS

レガシー BIOSは悪意のある攻撃に対して安全ではないと考えられています。^{[ 8 ]}アーキテクチャが古く、アップデートやオプションROMは署名されておらず、設定は保護されていません。^{[ 8 ]}さらに、セキュアブートをサポートしていません。^{[ 8 ]}これらの脆弱性により、攻撃者は外付けドライブから起動してファームウェアを侵害することができます。^{[ 8 ]}侵害されたファームウェアは、キーストロークをリモートで攻撃者に送信するように設定できます。 ^{[ 8 ]}

統合拡張ファームウェアインターフェース

統合拡張ファームウェアインターフェース（UEFI）は、悪意のあるメイド攻撃を軽減するために必要な多くの機能を提供します。^{[ 8 ]}例えば、セキュアブートのフレームワーク、ブート時の認証変数、TPM初期化セキュリティなどを提供します。^{[ 8 ]}これらのセキュリティ対策が利用可能であるにもかかわらず、プラットフォームメーカーにはそれらを使用する義務はありません。^{[ 8 ]}そのため、これらの未使用の機能によって攻撃者がデバイスを悪用できるようになると、セキュリティ上の問題が発生する可能性があります。^{[ 8 ]}

フルディスク暗号化システム

TrueCryptやPGP Whole Disk Encryptionなどの多くのディスク暗号化システムは、ユーザーに対して認証ができないため、悪意のある攻撃を受けやすい。^[⁹^]攻撃者は、デバイスの電源がオフになっていて暗号化されているにもかかわらず、ディスクの内容を改ざんすることができる。^[⁹^]攻撃者は、暗号化システムのローダーコードを変更して、被害者からパスワードを盗むことができる。^[⁹^]

ブートローダーとオペレーティングシステムの間に通信チャネルを作成し、FileVault 2で保護されたディスクのパスワードをリモートで盗む機能も調査されています。 ^{[ 10 ]} macOSシステムでは、この攻撃は「パスワード転送」技術により追加の影響を与えます。この技術では、ユーザーのアカウントパスワードがFileVaultパスワードとしても機能し、権限昇格による追加の攻撃対象領域が可能になります。

落雷

2019年、多くのPCで発見されたIntel Thunderboltポートの「 Thunderclap 」という脆弱性が発表されました。この脆弱性により、不正な攻撃者がダイレクトメモリアクセス（DMA）を介してシステムにアクセスできるようになる可能性がありました。これは、入出力メモリ管理ユニット（IOMMU）を使用しているにもかかわらず可能です。^[¹¹^]^[¹²^]この脆弱性は、ベンダーによって大部分が修正されました。2020年には「 Thunderspy 」が発見されましたが、これは修正不可能と考えられており、DMAを同様に悪用することで、すべてのセキュリティ機能を回避してシステムへの完全なアクセスが可能になります。^[¹³^]

無人デバイス

無人デバイスはどれも、ネットワーク上の悪意あるメイド攻撃に対して脆弱である可能性があります。^{[ 1 ]}攻撃者が被害者のデバイスを十分に知っていれば、パスワードを盗むメカニズムを備えた同一モデルのデバイスと被害者のデバイスを交換することができます。^{[ 1 ]}そのため、被害者がパスワードを入力すると、攻撃者は即座にその通知を受け取り、盗まれたデバイスの情報にアクセスできるようになります。^{[ 1 ]}

緩和

検出

一つの方法は、誰かが無人デバイスの近くにいる、あるいはデバイスを操作していることを検知することです。真空パック、^{[ 14 ]}近接アラーム、動体検知アラーム、ワイヤレスカメラなどを利用して、攻撃者がデバイスの近くにいる場合に被害者に警告を発することで、悪意のあるメイドによる攻撃の不意打ちを防ぐことができます。^{[ 15 ]} Haven Androidアプリは、2017年にエドワード・スノーデンによって開発され、このような監視を行い、その結果をユーザーのスマートフォンに送信します。^{[ 16 ]}

上記がない場合、さまざまな種類の不正開封防止技術を使用して、デバイスが分解されたかどうかを検出できます。これには、ネジ穴にグリッターマニキュアを塗るという低コストの解決策も含まれます。^{[ 17 ]}

攻撃が疑われる場合、被害者はデバイスにマルウェアがインストールされていないか確認してもらうことができますが、これは容易ではありません。推奨される方法としては、選択したディスクセクターとパーティションのハッシュをチェックする方法があります。^{[ 2 ]}

防止

デバイスが常に監視されている場合、攻撃者は検出されずに悪意のあるメイド攻撃を実行することはできません。^{[ 15 ]}^{[ 14 ]}デバイスが放置されている場合、攻撃者が物理的にアクセスできないように、デバイスをロックボックス内に置くこともできます。^{[ 15 ]}ただし、空港や法執行機関の職員がデバイスを一時的に持ち去る場合など、これが現実的ではない状況もあります。

最新のファームウェアを使用することや、デバイスを放置する前にシャットダウンすることなどの基本的なセキュリティ対策は、それぞれ、レガシーアーキテクチャの脆弱性を悪用した攻撃や、外部デバイスが開いているポートにアクセスすることを許可することを防ぐことができます。^{[ 5 ]}

TRESORやLoop-AmnesiaなどのCPUベースのディスク暗号化システムは、データがシステムメモリに漏洩しないようにすることで、DMA攻撃に対する脆弱性を防ぎます。^{[ 18 ]}

TPMベースのセキュアブートは、デバイスをユーザーに対して認証することで、ある種のEvil maid攻撃を軽減する（防止するわけではない）ことが示されています。^{[ 19 ]}これは、ユーザーが正しいパスワードを入力し、デバイス上で不正なコードが実行されていないことを確認した場合にのみ、自動的にロックを解除することによって行われます。^{[ 19 ]}これらの測定は、MicrosoftのBitLockerやIntelのTXTテクノロジなどの信頼のルートシステムによって行われます。 ^{[ 9 ]} Anti Evil Maidプログラムは、TPMベースのセキュアブートに基づいて構築されており、さらにデバイスをユーザーに対して認証しようとします。^{[ 1 ]}

参照

参考文献

^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^lヨハネス・ゴッツフリード、ティロ・ミュラー。「Androidのフルディスク暗号化機能の分析」（PDF）。革新的情報科学技術研究グループ。 2018年10月29日閲覧。
^ ^a ^b ^c Rutkowska, Joanna (2009年10月16日). 「The Invisible Things Labのブログ：Evil MaidがTrueCryptを狙う！」 The Invisible Things Labのブログ. 2018年10月30日閲覧。
^ ^a ^b ^c「中国は内閣官房長官のラップトップをハッキングしたのか？」 msnbc.com 2008年5月29日2018年10月30日閲覧。
^ ^a ^bダンチェフ、ダンチョ。「『Evil Maid』USBスティック攻撃でTrueCryptのパスフレーズがキーログに記録される」 ZDNet 2018年10月30日閲覧。
^ ^a ^b ^c「F-Secureの悪質メイド攻撃ガイド」（PDF） F -Secure . 2018年10月29日閲覧。
^ ^a ^b ^c ^d ^e「『邪悪なメイド』を阻止する [LWN.net]」lwn.net . 2018年10月30日閲覧。
^ホフマン、クリス（2020年9月28日）「『邪悪なメイド』攻撃とは何か、そしてそれは私たちに何を教えてくれるのか？」ハウツーギーク。2020年11月21日閲覧。
^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ Bulygin, Yuriy (2013). 「Evil Maid Just Got Angrier」(PDF) . CanSecWest . 2016年6月10日時点のオリジナル(PDF)からアーカイブ。 2018年10月29日閲覧。
^ ^a ^b ^c ^dテレシュキン、アレクサンダー (2010-09-07). 「邪悪なメイドがPGPディスク全体暗号化を狙う」 .第3回国際情報ネットワークセキュリティ会議 - SIN '10 議事録. ACM. p. 2. doi : 10.1145/1854099.1854103 . ISBN 978-1-4503-0234-0. S2CID 29070358 .
^ Boursalian, Armen; Stamp, Mark (2019年8月19日). 「BootBandit: macOSブートローダー攻撃」 .エンジニアリングレポート. 1 (1). doi : 10.1002/eng2.12032 .
^スタッフ (2019年2月26日). 「Thunderclap: 現代のコンピューターは悪意のある周辺機器に対して脆弱」 . 2020年5月12日閲覧。
^ Gartenberg, Chaim (2019年2月27日) .「『Thunderclap』の脆弱性により、Thunderbolt搭載コンピューターが攻撃にさらされる恐れ - 覚えておいてほしいのは、コンピューターに適当なものを接続しないことだ」。The Verge 。 2020年5月12日閲覧。
^ Ruytenberg, Björn (2020年4月17日). 「Breaking Thunderbolt Protocol Security: Vulnerability Report. 2020」(PDF) . Thunderspy.io . 2020年5月11日閲覧。
^ ^a ^b「ランダムモザイク - 豆、レンズ豆、着色米を使った不正な物理アクセスの検出」 dys20.com 2021年12月。2022年1月10日時点のオリジナルよりアーカイブ。
^ ^a ^b ^cダンチェフ、ダンチョ。「『Evil Maid』USBスティック攻撃でTrueCryptのパスフレーズがキーログに記録される」 ZDNet 2018年10月30日閲覧。
^ Shaikh, Rafia (2017年12月22日). 「エドワード・スノーデンがあなたの携帯電話を「番犬」に変えるお手伝いをします」「 . Wccftech . 2018年10月30日閲覧。
^ 「Evil Maid攻撃により、サイバー犯罪者はわずか数分でデバイスにファームウェアバックドアをインストールできる可能性がある | Cyware」。Cyware。2018年10月30日閲覧。
^ Blass, Erik-Oliver; Robertson, William (2012-12-03). TRESOR-HUNT: CPUバウンド暗号への攻撃. ACM. pp. 71– 78. doi : 10.1145/2420950.2420961 . ISBN 978-1-4503-1312-4. S2CID 739758 .
^ ^a ^b Rutkowska, Joanna (2015年10月). 「Intel x86は有害と考えられる」(PDF) . Invisible Things . S2CID 37285788 .

[:0-1] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^lヨハネス・ゴッツフリード、ティロ・ミュラー。「Androidのフルディスク暗号化機能の分析」（PDF）。革新的情報科学技術研究グループ。 2018年10月29日閲覧。

[:1-2] Rutkowska, Joanna (2009年10月16日). 「The Invisible Things Labのブログ：Evil MaidがTrueCryptを狙う！」 The Invisible Things Labのブログ. 2018年10月30日閲覧。

[:2-3] 「中国は内閣官房長官のラップトップをハッキングしたのか？」 msnbc.com 2008年5月29日2018年10月30日閲覧。

[:3-4] ダンチェフ、ダンチョ。「『Evil Maid』USBスティック攻撃でTrueCryptのパスフレーズがキーログに記録される」 ZDNet 2018年10月30日閲覧。

[:9-5] 「F-Secureの悪質メイド攻撃ガイド」（PDF） F -Secure . 2018年10月29日閲覧。

[:4-6] 「『邪悪なメイド』を阻止する [LWN.net]」lwn.net . 2018年10月30日閲覧。

[7] ホフマン、クリス（2020年9月28日）「『邪悪なメイド』攻撃とは何か、そしてそれは私たちに何を教えてくれるのか？」ハウツーギーク。2020年11月21日閲覧。

[:5-8] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ Bulygin, Yuriy (2013). 「Evil Maid Just Got Angrier」(PDF) . CanSecWest . 2016年6月10日時点のオリジナル(PDF)からアーカイブ。 2018年10月29日閲覧。

[:6-9] テレシュキン、アレクサンダー (2010-09-07). 「邪悪なメイドがPGPディスク全体暗号化を狙う」 .第3回国際情報ネットワークセキュリティ会議 - SIN '10 議事録. ACM. p. 2. doi : 10.1145/1854099.1854103 . ISBN 978-1-4503-0234-0. S2CID 29070358 .

[10] Boursalian, Armen; Stamp, Mark (2019年8月19日). 「BootBandit: macOSブートローダー攻撃」 .エンジニアリングレポート. 1 (1). doi : 10.1002/eng2.12032 .

[TC-20190226-11] スタッフ (2019年2月26日). 「Thunderclap: 現代のコンピューターは悪意のある周辺機器に対して脆弱」 . 2020年5月12日閲覧。

[VRG-20190227-12] Gartenberg, Chaim (2019年2月27日) .「『Thunderclap』の脆弱性により、Thunderbolt搭載コンピューターが攻撃にさらされる恐れ - 覚えておいてほしいのは、コンピューターに適当なものを接続しないことだ」。The Verge 。 2020年5月12日閲覧。

[TSY-20200417-13] Ruytenberg, Björn (2020年4月17日). 「Breaking Thunderbolt Protocol Security: Vulnerability Report. 2020」(PDF) . Thunderspy.io . 2020年5月11日閲覧。

[legumes-14] 「ランダムモザイク - 豆、レンズ豆、着色米を使った不正な物理アクセスの検出」 dys20.com 2021年12月。2022年1月10日時点のオリジナルよりアーカイブ。

[:7-15] ダンチェフ、ダンチョ。「『Evil Maid』USBスティック攻撃でTrueCryptのパスフレーズがキーログに記録される」 ZDNet 2018年10月30日閲覧。

[16] Shaikh, Rafia (2017年12月22日). 「エドワード・スノーデンがあなたの携帯電話を「番犬」に変えるお手伝いをします」「 . Wccftech . 2018年10月30日閲覧。

[17] 「Evil Maid攻撃により、サイバー犯罪者はわずか数分でデバイスにファームウェアバックドアをインストールできる可能性がある | Cyware」。Cyware。2018年10月30日閲覧。

[18] Blass, Erik-Oliver; Robertson, William (2012-12-03). TRESOR-HUNT: CPUバウンド暗号への攻撃. ACM. pp. 71– 78. doi : 10.1145/2420950.2420961 . ISBN 978-1-4503-1312-4. S2CID 739758 .

[:8-19] Rutkowska, Joanna (2015年10月). 「Intel x86は有害と考えられる」(PDF) . Invisible Things . S2CID 37285788 .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[

[ 10 ]

[

[

[

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]