fossBytesに7月25日(米国時間)に掲載された記事「Hacking Unattended Laptop In Under 5 minutes: Researcher Shows How」が、物理的にノートPCにアクセスできる状況であれば、5分以内に改悪したファームウェアをインストール可能だと指摘した。セキュリティファームEclypsiumの研究者が公開した動画「Evil Maid Attack Demo」に基づいて攻撃方法を説明している。
-
タイマーを押して分解作業を開始 - 資料: Evil Maid Attack Demo
-
デバイスを接続して書き込み開始 - 資料: Evil Maid Attack Demo
-
書き込みが完了したので組み直し作業を開始 - 資料: Evil Maid Attack Demo
ファームウェアの書き込みに使われているデバイス(SF600 SPI Flash IC Programmer)は300米ドル弱で販売されている。また、UEFI向けのバックドアもオープンソース・ソフトウェアとして公開されており、やろうと思えば誰でもこうした攻撃を実施できることが指摘されている。
サイバー攻撃としてはソフトウェアをベースとした攻撃に関する報道が多いが、実際にはこうした物理的な攻撃も行うことが可能。さらに、こうした物理攻撃に対しては対策を取ることが極めて難しいと説明がある。
