PacSec 2013 レポート 1日目〜任意のコードをBIOSにセキュリティ業界、1440度(1)

このコラムでは、セキュリティ企業FFRIのメンバーが、おのおののアンテナに引っかかったセキュリティ業界の話題を紹介していきます。

» 2013年11月29日 18時00分 公開
[鈴木秀一郎,@IT]

 こんにちは。このコラムではFFRIのメンバーが気になった、セキュリティ業界の話題を紹介していきます。

ハッキングコンテスト「Mobile Pwn2Own」も同時開催

 毎年開かれているセキュリティカンファレンス「PacSec 2013」が、2013年11月13〜14日の2日間にわたって東京で開催されました。そこでの発表内容と、ハッキングコンテスト「Mobile Pwn2Own」の様子を、2回に分けてお伝えしましょう。

 まずはMobile Pwo2Ownについて、簡単に紹介したいと思います。すでにいろいろなところで報告されているので、ご存じの方もいるかもしれませんね。

 毎年カナダでは、「CanSecWest」というセキュリティカンファレンスが開催されています。PacSecの姉妹イベントに当たるものです。

 このCanSecWestでは、米HPのZDI(Zero Day Initiative)の主催で、「Pwn2Own」と呼ばれるハッキングコンテストも行われています。参加者がさまざまなデバイス、OSに対するハッキングを行い、成功すると多額の賞金をもらえるというイベントです。

 今回のPacSec 2013にて、同様のイベントが日本で初めて開催されました。CanSecWestで行われているPwn2Ownでは、MacやWindowsといったデスクトップOSやアプリも対象ですが、今回はイベントの名称に“Mobile”という単語が付いている通り、モバイルデバイスのみが対象となっています。

 Mobile Pwo2Ownには日本のチームも参加し、見事にハッキングに成功していました。詳細については、こちらの記事などを参照してください。

OSやアプリ非依存のレベルが焦点に

 ここからはカンファレンスの様子や発表の内容についてお伝えしようと思います。場所は東京・港区の青山ダイヤモンドホールで、150人ほどが入れる会場でした。40〜50分のセッションが合計13セッション、2日間にわたって開催されました。

PacSecカンファレンス、会場の様子

 全体的に、WindowsやAndroidといった一般的なOSやアプリのレベルのセキュリティ問題に関する話題は少なく、代わりに、BIOSやUEFI、さらにはハードウェア回路といった、OSやアプリ非依存のレベルの話題が多かったのが今回の特徴だと思います。

 以下、発表タイトルとともにそれぞれの内容について簡単に説明します。

Public-Private Partnership in Proactive Online Security

 ボットネット撲滅の活動について、問題点や解決策、実際の活動例の報告。国境をまたいだ対策の必要性や、情報セキュリティに関する法律が定められていない国などから攻撃が発生している場合の対応について、ConfickerやWinFixerなどの具体例とともに紹介。

Android games + free Wi-Fi = Privacy leak

 Androidゲームの広告機能に利用されているWebViewを経由して、個人情報などを取得する方法の紹介。フリーのWi-Fi接続ポイントに安易に接続し、ゲームを起動すると、JavaScript経由で個人情報などが盗まれる可能性があるという実証。

Pivoting in the Amazon Clouds

 Amazon EC2を利用しているサービスに脆弱性がある場合、EC2サービスで利用されているメタ情報を取得されてしまう可能性がある問題についての報告。さらに、そのメタ情報の内容によっては、データベースへのrootアクセスが可能になる可能性を指摘。

Compromising Industrial Facilities From 40 Miles Away

 産業システムで利用されている無線デバイスの脆弱性の報告、およびその攻撃手法の紹介。

Breaking MetaTrader

 世界中で利用されているFXの取引用ツール「MetaTrader」の問題点の報告。パスワードの扱いに関する問題が報告された他、デモンストレーションでは取引制限を回避して取引を行う方法を紹介。

Defeating Signed BIOS Enforcement

 署名チェックをバイパスし、BIOSにマルウェアを感染させる攻撃手法の紹介。さらに、BIOSマルウェア検出手法、検出ツールも紹介(後述)。

任意のコードをBIOSに書き込み可能に

 この日最後の発表「Defeating Signed BIOS Enforcement」が、個人的に最も興味を引いた内容でした。テーマは、署名チェックを回避し、BIOSに感染するマルウェアの攻撃手法についてでした。

BIOS書き換え手法について説明するXeno Kovah氏

 PCのBIOSは書き換えが可能なようにできていますが、セキュリティ上、簡単には書き込めないようになっています。その機構の1つがコード署名のチェックです。この発表ではそれを回避して、任意のコードをBIOSに書き込む方法を紹介していました。

 さらに、一部のBIOS実装ではアップデート方法に脆弱性が存在し、署名チェックなどをバイパスして書き換えが可能であるようです。

 また、メモリのキャッシュの扱いに関する脆弱性を用いて、本来ならば行えないはずのBIOSへの書き込みを行う方法も報告されました。

 これまでの研究で、ひとたびBIOSに任意のデータが書き込まれてしまうと、BIOS起動時にセキュリティチェックを行ったり、BIOSの再インストールを行っても、それらを検知、除去できないようにする方法が知られています。「BIOSを任意のデータで書き換えられないようにすること」がそれらへの予防策なのですが、今回発表された内容によって、その部分を突破されてしまうことになります。

 実はPacSec 2013の数週間前から、このカンファレンスの主催者であるDragos Ruiu氏がBIOSに感染する、除去が困難なマルウェアの存在について報告しており、TwitterやFacebook上で多くの議論がなされていました。この発表では、そのようなBIOS感染マルウェアの手法の一部が示されたことになります。

 ちなみに、Dragos Ruiu氏が報告したBIOS感染型のマルウェアは、BIOSからの除去が困難な点もさることながら、ネットワークにつながっていないPC同士でも、超音波(high-frequencey sounds)を用いて通信しているのではないかという点で非常に大きな注目を集め、「そんなことが本当に可能なのか」という議論も盛り上がっています(注1)

 今回は、このようなマルウェアに対する防御方法、また検知方法についても紹介されました。Dragos Ruiu氏も、BIOSマルウェアの検知ツールである「Copernicus」について、Facebook上で「近年のセキュリティツールの中で最も重要なものの1つである」と言及しています。

 ユーザーランド常駐マルウェアからカーネルルートキット、そしてBIOS感染型マルウェア、さらにはBIOSクリーンアップへの耐性を持つマルウェアへ……このように攻撃技術が進化し、発見も難しくなっている一方、その対策技術も進んでいることが分かります。今回、その実現方法が具体的に示されたことで、BIOSレベル(近年ではUEFIレベル)でのセキュリティ対策が必要になってきている現実も知っておくべきでしょう。

注1:http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/

鈴木秀一郎

株式会社FFRI 新技術開発部シニア・リサーチ・エンジニア

CanSecWest 2010スピーカー。Firefox for Androidの脆弱性を発見。FFRIは日本において世界トップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得られた知見やノウハウを製品やサービスとして提供している。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。