Black Hat Briefingsで、SPI DynamicsのDarrin Barrall氏とDavid Dewey氏が、USBの悪用やUSB経由の攻撃の可能性を検証する講演を行った。

使いやすさとセキュリティを両立するのは難しい。パスワードはユーザーが簡単に扱えるセキュリティ機能だが、攻撃する側から見れば、比較的簡単に盗み取れる。バイオ認証などを重ねるとセキュリティレベルは向上するが、セキュリティを通過する作業が面倒になる。攻撃者の観点では、「ユーザーに使いやすく設計されたものは狙いやすい」。その法則に従えば、USBは格好のターゲットになり得る。

Dewey氏によれば、USBプロトコルには脆弱性が存在する可能性があるという。USBドライバを悪用するアイディアを見いだすのは、「それほど困難なことではない」そうだ。その原因はスピードを重視して、基本的な機能にまとめた設計にある。データの検証やセキュリティに関する機能は最低限にとどめられている。ただし、これはUSBに限らず、他の多くの周辺機器のドライバにも見られる傾向だという。またUSBを含めて、システム特権で動作するデバイスドライバは、ホストシステムのコントロールを狙う攻撃者に利用される可能性が高いと指摘する。

この講演で説明された攻撃の可能性は、SPI Dynamicsで現在も調査を継続中であり、脆弱性として正式な報告は行っていない。そのため、攻撃の具体的なステップの説明は省かれた。大まかなステップを記すと、USBデバイスをre-Flashすることが可能であり、たとえば本来リムーバブルドライブとして認識されるUSBデバイスを、CD/DVDドライブのようにオートランを実行できるノンリムーバブルドライブに変えられる。ノンリムーバブルドライブとして認識されたUSBキーからは、バッファオーバーフローを引き起こすプログラムを実行させたり、悪意のあるプログラムを潜み込ませることが可能になる。Eメール経由で、これらのプログラムを伝染させるのは難しくなっているが、USBキーではひと差しでターゲットのパソコンを確実に攻撃できる。

講演では、デバイスエミュレーションのデモが行われた。Barrall氏が自作したUSBポートに接続する小型デバイスは、DVDドライブやストレージなどあらゆるタイプのUSBデバイスとして認識させることができる。デモでは、この小型USBデバイスを接続するだけで、ノートパッドが自動的に起動して、勝手に「SPI rocks」の文字が入力され始めた。

これらのコンセプトを悪用する具体例としては、たとえば攻撃者が量販店に行き、店内のパソコンにUSBキーを差し込んで顧客情報などのデータを盗み取ることが考えられる。企業の清掃係を買収して、エグゼクティブクラスのパソコンにUSBキーを差し込ませるという例も示された。SPIによるとイスラエルのSafendの研究者は、パソコン所有者が最近アクセスしたファイルを自動的にUSBストレージに取り込むプログラムのデモに成功しているそうだ。Barrall氏曰く、「攻撃者にとって、USBデバイスはハードウエア版のトロイの木馬になる」。

今回の説明ではWindowsを使って説明が行われていたが、Windowsに限った危険性ではない。USBの利便性をフルに活用できるすべてのOSがターゲットとなり得る。

一方、一部では対策ソリューションの提供も始まっている。前述のSafendは最近、WindowsでUSBデバイスの取り扱いにポリシーを反映させられる「Safend Protector」のベータ提供を開始した。ただし、周辺機器の管理は、業界規模の取り組みが求められる分野と言える。フロッピーがパソコンに欠かせなかった時代に、病院や銀行などには、データの漏洩を防ぐためにフロッピーを省いたパソコンが納入された。USBの場合は、ストレージ以外にキーボードやマウスなど様々なデバイスを接続するため、USBポートは省けない存在だ。しかも、最近は前面にUSBポートを備えたパソコンがめずらしくない。2GBのUSBキーが存在する現在、SPI Dynamicsが指摘したような専門的な知識を要するハッキングに限らず、センシティブなデータが丸ごと盗まれる危険性はどこにでも存在する。情報保護という観点では、すべてのパソコンユーザーが周辺機器の取り扱いをより詳細にコントロールできる仕組みをOSが提供する必要がありそうだ。