ここから本文です

ネットワークから隔離されたPCデータを盗聴する「USBee」

THE ZERO/ONE 9/28(水) 14:11配信

Mordechai Guriとベン・グリオン大学のネゲヴサイバーセキュリティリサーチセンターの研究者らは、これまでエアギャップ環境のPCからデーターを抜き取るさまざまな方法を考案してきた。ラジオ電波を受信する携帯電話、熱、携帯の周波数で電磁信号を送信するソフトウェア、ハードドライブのノイズ、ファンのノイズを介するといった手法だ。そして今度は、USBデバイスを短距離のRFトランスミッターに変えることができるというUSBeeマルウェアを披露した。

COTTONMOUTHは、エアギャップ環境に入り込みエクスプロイトを送り込んだりデータを抜き出したりするためのNSAのUSBハードウェアインプラントだ。これとは違い、USBeeは一般的な、つまり改造されていないUSBデバイスを使用し、USBコネクターのデータバスから制御された電磁放射を意図的に発生させるソフトウェアによりこの機能を実現している。

同チームはこのデータ抜き取りの手法がどの程度効果的であるかを確認するために、レシーバー(ラップトップに接続された30ドルのRTL-SDRソフトウェア無線)と復調器を作成し、USBeeが毎秒80バイトの値でデーターを送信することができるということを立証した。これは、素早くパスワードや暗号キー等を抜き取るには十分である。

レシーバーは、発信するUSBeeから9フィート以内に設置することができ、送信されたデーターを受信することにも成功している。USB送信機にアンテナとして利用できるケーブルが付いていれば、この距離を広げることもできる。

もちろんこの攻撃が機能するには、特定のマルウェアが標的のコンピューターにすでに存在していなければならない。ということは、インターネットや他のネットワークに接続していないエアギャップ環境のコンピューターが、たぶん内部の人間によって既に感染させられているということになる。

標準的なユーザーは、ありふれたサイバー犯罪者がUSBeeを使うことを心配する必要は無い。しかし諜報機関や、サイバースパイ活動に関与する政府の援助を受けたハッキングチームは確実に、この手法が有利なケースがあるということに気付くだろう。

研究者らは、物理的な隔離(USB部品から電磁波放射をシールドする・防ぐ)やエアギャップ環境のコンピューターを他の電子機器から離れた立ち入り禁止区域に設置する等、エアギャップ環境のコンピューターをこの種の攻撃から守ることができる対策を何点か挙げている。

またCOTTONMOUTH以外にも、USBベースのデータースパイ手法の前例としてはBadUSBやTURNIPSCHOOL.などがある。
 
翻訳:編集部
原文:USBee makes USB devices transmit data from air-gapped computers
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです

Zeljka Zorz

最終更新:9/28(水) 14:11

THE ZERO/ONE