現代のマイクロチップでは、一部のトランジスタが新型コロナウイルス感染症(COVID-19)ウイルスの10分の1以下にまで縮小されており、あらゆるコンピューティングの基盤となる0と1の役割を果たす微小な電荷を操作するのに、それほどの労力はかかりません。迷い込んだ光線から数個の光子が飛び込んでくるだけで、これらの電子の位置がずれ、コンピューターのプログラミングに不具合が生じる可能性があります。あるいは、同じ光学的な不具合は、より意図的に、例えば非常に正確に狙いを定め、タイミングよくレーザーを照射することで実現できます。今、物理法則を覆すようなコンピューター操作の技術が、これまで以上に多くのハードウェアハッカーの手に渡りつつあります。
来週ラスベガスで開催されるサイバーセキュリティカンファレンス「Black Hat」で、セキュリティ企業NetSPIのハッカー、サム・ボーモント氏とラリー・“パッチ”・トロウェル氏は、「RayV Lite」と名付けた新型レーザーハッキングデバイスを発表する予定です。設計とコンポーネントリストはオープンソースとして公開される予定で、このツールは、誰でもレーザーを使った難解なトリックを使ってチップをリバースエンジニアリングし、脆弱性を突いて秘密を暴くことを可能にすることを目指しています。こうした手法は、これまで資金力のある企業、学術研究室、政府機関の研究者しか利用できませんでした。
RayV Lite。ターゲットチップが搭載されていない状態。上部の円形の開口部からレーザーとレンズが見える。写真:NetSPI提供
Riscure Laser Stationのような、光を使ったハッキング技術のための最先端の市販ツールは、通常15万ドルにもなり、低予算版でも1万ドル近くします。しかし、ボーモント氏とトロウェル氏は、3Dプリント、汎用部品の選択、そして巧妙な物理学的トリックを組み合わせることで、500ドル未満でこのツールを開発しました。
この超安価なチップハッキングガジェットの設計図を作成し公開する目的は、レーザーベースのエクスプロイト技術(レーザーフォールトインジェクションまたはレーザーロジックステートイメージングとして知られる)が、多くのハードウェア設計者(ボーモント氏とトロウェル氏がNetSPIでセキュリティテストを依頼するクライアントを含む)が考えているよりもはるかに実現可能であることを明らかにすることだと彼らは述べている。これらの手法がいかに安価に実行可能であるかを実証することで、世界中のDIYハッカーや研究者に新たなツールを提供すると同時に、ハードウェアメーカーに対し、あまり知られていないものの驚くほど実用的なハッキング手法から自社製品を守るよう促したいと考えている。
「クライアントに『あなたのチップはレーザーフォールトインジェクションに対して脆弱です』と言うと、『そんなのは実現不可能だしコストもかかりすぎるから、誰もできない』と言われます。でも、私たちは実際にはそうは思っていません。だから、私たちは改良を始めました」とボーモント氏は言う。「レーザーをこのように使っている人が既にいるという意味で、何か新しい発見があるわけではありません。私たちは低コストでこれを実現することで、人々が自宅で使えるようにしているのです。」
ボーモント氏は、RayV Liteを「ツールの国産化」と呼ぶ大きなトレンドの一環だと説明する。ChipWhispererやHackRFといったデバイスのおかげで、電磁波や無線を使ったハッキング技術は格段に安価で利用しやすくなった。彼女は、RayV Liteがレーザーにも同様の効果をもたらすことを期待している。「これは重要な意味を持つ」と、長年のハードウェアハッカーであり、現在は電気自動車充電会社Alpitronicで製品セキュリティ責任者を務めるアダム・ローリー氏は語る。ローリー氏はボーモント氏とトロウェル氏のレーザーハッキング研究をレビューした。「ツールを、超高額な学術機関や国家機関のプラットフォームから、真に独創的なことが生まれるガレージへと移行させるのだ」
RayV Liteの開発にあたり、ボーモント氏とトロウェル氏は2つの異なるレーザーハッキング手法に注目した。1つはレーザーフォールトインジェクション(LFI)で、短時間の光を照射してプロセッサのトランジスタの電荷を操作し、ビットを1から0へ、あるいはその逆へと反転させる。場合によっては、このビット反転を巧みにトリガーすることで、はるかに大きな効果を発揮する。例えば、ボーモント氏がテストしたある車載チップでは、特定のタイミングでレーザーでチップにグリッチを発生させることで、チップのファームウェアを保護状態にするセキュリティチェックを回避できる。これによりチップは保護されなくなり、難読化されたコードをスキャンして脆弱性を発見できる。
ボーモント氏とトロウェル氏によると、多くの暗号通貨ウォレットもLFI(Language Injection:不正侵入)の脆弱性を抱えているという。例えば、所有者の資金にアクセスするための暗号鍵を解除するためにPINの入力を求めている瞬間にチップに不具合が生じるといった脆弱性だ。「暗号通貨ウォレットからチップを取り外し、適切なタイミングでレーザーを照射すれば、ウォレットはPINを持っていると認識します」とトロウェル氏は言う。「指示に従って操作するだけで、鍵が返されるのです。」
2つ目のレーザーハッキング手法は、レーザーロジックステートイメージングと呼ばれ、チップのアーキテクチャと動作をリアルタイムで監視することに重点を置いています。レーザー光をチップに反射させ、その結果を(カメラや顕微鏡のように)キャプチャし、分析します。ボーモント氏とトロウェル氏の研究では、この手法は機械学習ツールの助けを借りて行われることが多かったです。レーザー光はシリコンの電荷に応じて反射の仕方が異なるため、この手法によってハッカーはプロセッサの物理的なレイアウトだけでなく、トランジスタに保存されているデータもマッピングできます。つまり、チップを生体解剖することで、処理されているデータやコードに関するヒント(機密情報を含む可能性もある)を引き出すことができるのです。
RayV Liteの最初のバージョンでは、ボーモント氏とトロウェル氏は、2種類のレーザーハッキング手法それぞれに対応する2つの異なるバージョンのツール設計を構築しています。現在はレーザーフォールトインジェクションモデルのみをリリースしており、数ヶ月以内にレーザーロジックステートイメージングバージョンを発表する予定です。
どちらも基本的なコンポーネントは同じで、DIYによるコスト削減策も同じです。例えば、ツール本体はオープンソースの3Dプリント可能な顕微鏡モデル「OpenFlexure」をベースにしており、3Dプリント可能なPLAプラスチックの柔軟性を利用してレーザーの正確な照準を実現しています。ターゲットチップは、プリントされたプラスチックレバーに固定されたシャーシに搭載されています。レバーはステッピングモーターによってわずかに曲げられ、3次元的に微小かつ正確な動きを可能にします。ボーモント氏とトロウェル氏によると、このプラスチック曲げ技術とレンズを通して集光されたレーザーにより、RayVはトランジスタ(あるいはトランジスタのグループ)をナノメートルスケールまでターゲットにすることができます。(ボーモント氏もPLAプラスチックは消耗することを認めています。しかし、RayV Lite本体全体を数ドルで簡単に再プリントできることも指摘しています。)
ボーモント氏とトロウェル氏がRayV Liteのコストを大幅に削減することを可能にしたもう一つのイノベーションは、ロンドン大学ロイヤル・ホロウェイ校の研究者グループが独自の低コストレーザーフォールト注入ツールを開発し、レーザーベースのチップハッキングがこれまで考えられていたよりもはるかに安価なレーザーで実行可能であるという発見でした。これは、低出力レーザーをチップに長時間照射することで(それでもミリ秒単位で測定できるほど高速ですが)、高出力レーザーを短時間照射した場合と同等の効果が得られるという点が一因です。これは、従来のカメラでフィルムに少ない光をより長い時間照射することで、同じ露出を実現できるのと同じです。
3Dプリントされたシャーシの上に搭載された回路基板にターゲットチップが取り付けられたRayV Lite。写真:NetSPI提供
この認識により、ボーモント氏とトロウェル氏はRayV Liteに20ドル未満のレーザーを搭載することができました。これにより、レーザー駆動に必要な機器と電力を大幅に節約できます。「誰もが巨大なレーザー機器を所有しているわけではありません」とボーモント氏は言います。「しかし、レーザーポインターを使えば同じことができます。実際、私たちは今まさにそれを実践しています」(ボーモント氏とトロウェル氏は、低出力のレーザーを使用する際は、必ず目の保護具を着用するよう警告しています)。
実際、RayV Lite の最も高価なコンポーネントは、比較的安価なレーザーを焦点に合わせるために使用されるレンズと、タイミング メカニズムとして機能する FPGA チップで、それぞれ約 100 ドルかかります。また、RayV Lite を制御およびプログラムできる 68 ドルの Raspberry Pi ミニコンピューターもあります。
トロウェル氏が言うように、「レーザーはクールだ」という一般的な認識とは別に、より手軽なレーザーハッキング技術に関する研究がますます増えていることが、彼女とトロウェル氏がRayV Liteを考案するきっかけとなった。同時に、その手軽さと、レーザーを使ったハッキングの難しさに対する顧客の時代遅れの認識との間に乖離を感じたことも、彼女とトロウェル氏を駆り立てた。産業用制御システム、自動車、医療機器などに使われる非常に繊細なデバイスの中には、レーザーによるロジック状態イメージングへのフォールト・インジェクションの脆弱性を持つものがあると彼らは指摘する。そして、これらの重要なデバイス内部のチップをレーザーでハッキングするという考えは、彼らが考えているほど難解でも手の届かないものでもないことを、メーカーは理解する必要がある。
「難読化によるセキュリティは、特に重要なインフラストラクチャを扱っている場合や、文字通り私たちの家や心の中にあるデバイスを扱っている場合には、長期的には頼りにできるものではありません」とボーモント氏は言う。
もっと実用的な面では、RayV Liteは彼女自身の仕事、そして間違いなく彼女の光学式エクスプロイトツールキットを使う多くのハードウェアハッカーの仕事を大幅に楽にしてくれるだろうと彼女は言う。「利己的に言うと、とても便利です」と彼女は言う。「特に経費精算書を作らないといけない時は助かります」
