インテルが自社チップのハッキングを試みる研究室の内部

「悪意あるメイド」攻撃は、サイバーセキュリティの典型的な問題です。ホテルにコンピューターを放置しておくと、従業員に扮した攻撃者が部屋に侵入し、ノートパソコンにマルウェアを仕込み、痕跡を残さずに抜け出す可能性があります。デバイスへの物理的なアクセスを許してしまうと、多くの場合、ゲームオーバーになってしまいます。しかし、世界中で何百万台ものデバイスに搭載されるプロセッサを製造しているのであれば、そう簡単に諦めるわけにはいきません。

そのため、インテルは5年前、Intel Security Threat Analysis and Reverse Engineering（iSTARE）と呼ばれるハードウェアハッキング専門グループを立ち上げました。現在、約20名のiSTARE研究者が、イスラエル北部の都市ハイファと米国にある特別設備を備えた研究所で研究を行っています。彼らはそこで、インテルの次世代チップを分析・攻撃し、PCやMRI装置に搭載されるずっと前に強化できる弱点を探しています。

「セキュリティへの影響を必ずしも完全に理解しているわけではなく、物理的な攻撃はそれほど重要ではないと感じる人もいるかもしれません」と、インテルの製品保証およびセキュリティ部門の主任エンジニアであるスティーブ・ブラウン氏は言います。「しかし、これはプロアクティブなアプローチです。ライフサイクルの早い段階でこれらすべてを阻止できればできるほど、より良い結果が得られます。」

ハッカーが脆弱性を悪用してデータを盗んだりマルウェアを仕掛けたりする場合、通常はソフトウェアの欠陥、ミス、あるいはコードの記述方法における論理的な矛盾を悪用します。一方、ハードウェアハッカーは物理的な行動に頼ります。iSTAREの研究者たちは、コンピューターのケースをこじ開け、マザーボードに新しい回路を物理的にはんだ付けし、プロセッサを流れる電子の挙動を変化させるために戦略的に電磁パルスを照射し、発熱や振動といった物理的特性がデバイスの動作に関する情報を偶発的に漏洩させていないかを測定します。

空港のセキュリティチェックの列を想像してみてください。身分証明書を持っていなければ、システム内でうまく立ち回り、身分証明書をチェックするTSA職員を巧みに操り、通過させてもらうことも可能です。しかし、代わりに物理的なアプローチを取ることも可能です。見落とされがちな通用口を見つけ、身分証明書チェックを完全に回避できるのです。新しいインテル製チップの初期設計図やプロトタイプに関しては、iSTAREは世界一周航海者が利用しようとする可能性のあるルートを積極的に遮断しようとしています。

「私たちは基本的にハッカーの真似をして、攻撃から何を得ようとするのかを推測しています」と、iSTAREのグループマネージャーであり、Intelの製品保証およびセキュリティ部門のシニアセキュリティアナリストでもあるUri Bear氏は語る。「私たちの任務は、セキュリティ上の脆弱性を見つけることだけではありません。次世代の攻撃と防御を開発し、次に来るものへの備えを万全に整えることも私たちの任務です。市場に出る前に、事前に修正を加えているのです。」

ハードウェアハッキングの驚くべき点は、ソフトウェアも関与し得ることです。例えば、物理ベースの「Rowhammer」攻撃は、小さなソフトウェアプログラムを何度も繰り返し実行することで、コンピューターのメモリに電流を流すことで有名です。この戦略的なグリッチは、ハッカーがシステムへのアクセスをより容易にできるよう、データを物理的に改変します。これは、iSTAREの研究者たちが予見しようとしているパラダイムシフトの一例です。

「物事を壊す楽しさがあるんです」とベアは言う。「ブロックされていたり、設計当初の想定外だったりするハードウェアの使い方を見つけ、新しい使い方を模索する。ハッカーがいなかったら、何もかもが古臭くて、まあまあといったところでしょう。ハッカーは既存の技術に挑戦し、デザイナーたちにより良いものを作るよう迫るんです。」

iSTAREは、特殊な機器がぎっしり詰まった狭い研究室で、回路図やその他の初期設計資料を精査する。しかし、最終的にこのグループが最も効果を発揮するのは、完成品から逆算してリバースエンジニアリングを行う時だ。その目的は、攻撃者がプロトタイプや仮想レンダリングを用いて行うのと同じ条件下で、電子顕微鏡などのツールを用いてプロセッサ内部の仕組みを覗き込み、チップの脆弱性を探ることだ。iSTAREは、ほとんどのデジタル詐欺師や犯罪的ハッカーが利用できない最先端の分析機器を利用できる一方で、ベア氏は、多くの高度な分析ツールのコストが下がっており、特に国家の支援を受けた攻撃者をはじめとする、意欲的な攻撃者は必要なものを何でも入手できると強調する。

iSTAREはインテル社内のコンサルティンググループとして運営されています。インテルは、設計、アーキテクチャ、開発の各チームに対し、開発プロセスの早い段階でiSTAREに監査とレビューを依頼することを推奨しています。そうすることで、発見事項に基づいて変更を加える時間を確保しています。インテルの製品保証およびセキュリティエンジニアリング部門のセキュリティリサーチ担当バイスプレジデントであるイサウラ・ガエタ氏は、iSTAREには処理しきれないほど多くのリクエストが寄せられていることを指摘しています。そのため、ガエタ氏とブラウン氏の仕事の一部は、一般化可能な発見事項やベストプラクティスが明らかになった時点で、インテル内の各部門や開発グループに伝えることです。

Rowhammer以外にも、業界全体のチップメーカーは、コアとなる概念設計のセキュリティにおいて、近年、他の様々な問題に直面しています。例えば2016年以降、Intelをはじめとするメーカーは、「投機的実行」という予期せぬセキュリティ上の弱点への対応に追われ始めました。これは、プロセッサが基本的にユーザーが次に何を要求されるかを推測し、そのタスクが既に進行中か、必要に応じて完了している状態になるように先回りして処理を進めるという、速度と効率性を向上させる戦略です。このプロセスから、たとえ最も安全なチップであっても、膨大なデータを盗み出す可能性のある攻撃手法に関する研究が急増し、Intelなどの企業は適切な修正プログラムを迅速にリリースするのに苦労しました。最終的に、このリスクに対処するために、チップを根本的に再構築する必要がありました。

研究者が最初の投機的実行攻撃に関する知見をインテルに開示したのとほぼ同時期に、同社は社内の既存のハードウェアセキュリティ評価グループを再編し、iSTAREを設立しました。SpectreとMeltdownの投機的実行攻撃の暴露を受けて、業界全体のチップメーカーは、監査プロセス、脆弱性開示プログラム、そして社内外のセキュリティ研究への資金提供を大幅に見直す必要に迫られました。

「数年前、いや10年前くらいまでは、ベンダーはソフトウェアと同様、ハードウェアにもバグが含まれることを認めようとせず、顧客が使用する製品にそれらのバグが存在しないことを確認しようと努めることに今ほど消極的ではありませんでした」とオーストリアのグラーツ工科大学の研究者ダニエル・グルス氏は言う。

グルス氏は、SpectreとMeltdownを発見した初期の学術チームの一つに所属していました。彼によると、近年、彼の研究室であるグラーツ工科大学のセキュアシステムグループの博士課程の学生の一部にインテルが資金提供を行ってきたとのことですが、現在、彼の学生はインテルから資金提供を受けていません。

「脆弱性を見つけるのは、ある程度創造的な仕事です。ハードウェアとソフトウェアについて、他の人が考えていないような視点で考える必要があります」とグルス氏は言います。「ベンダーがこうしたチームを作ったり、規模や予算を増やしたりするのは、必要なステップだったと思います。しかし、レッドチーム1つで雇える人材よりもはるかに多くの頭脳を持つ、学術界の膨大な創造性に取って代わることはできません。」

iSTAREチームは、最終的にインテルのあらゆる場所に搭載されるチップとなるプロジェクトに携わる責任を痛感していると語る。そして同時に、欠陥や脆弱性が常に見逃されてしまうという現実も受け入れなければならない。

「フラストレーションを感じることもあります」とブラウンは言う。「研究者の立場からすれば、最善を尽くしたいと思っても、それが十分ではなかったり、途中で前提が変わってしまい、製品に必ずしも考慮されていなかった別の脆弱性や弱点が生じてしまうこともあります。しかし、そうしたことが明らかになるにつれて、私たちは次の製品をより良くするための知識を深めることができます。ですから、時にはネガティブな側面もあるかもしれませんが、前向きに捉えようと努めています。」

組み込み機器セキュリティ企業Red Balloonの創業者で、独立系ハードウェアハッカーのアン・クイ氏は、iSTAREのようなグループは、あらゆる産業や政府機関のコンピューティングを支える製品を製造している大手チップメーカーにとって不可欠だと述べています。「このようなグループは、人類が初めてペーパークリップを使ってコンピューターにバグを起こさせた頃から存在しています」と彼は言います。しかし、メーカーの経済的インセンティブは一般的に最大限のセキュリティとは相容れないため、iSTAREのようなグループにとって、この状況を克服するのは容易ではないと彼は主張します。

「チップベンダーは、新しくて魅力的な製品を市場に売り出すために、追加機能やオプション機能を追加しなければなりません。その結果、チップ上のトランジスタ数は数十億個も増えることになります」とCui氏は語る。「つまり、この非常に複雑なハードウェアに既知および未知の脆弱性が追加され、防御チームが対処しなければならないものがますます増えていくのです。」

将来を見据えた研究の成果を共有することに関しては、iSTARE は遠慮しない、とブラウン氏は語る。

「かなり敵対的になることもあります。問題を発見したのが自分なのに、プロダクトオーナーが別の人だと、ある種の争いになることもあります」とブラウン氏は言います。「しかし、私たちは、自分たちもチームの一員であり、彼らと同じくらい大きな責任を負っているという意識で臨むようにしています。ただ単に彼らの製品の欠陥を指摘するだけではありません。」

セキュリティとプライバシーの監査人は、大規模な組織では歓迎されないカサンドラのように、常に些細なことにこだわり、全員の負担を増やすような問題を見つけ出すことがあります。ベア氏も、iSTAREの仕事の一部は、こうした力学を理解し、調査結果を巧みに伝えることだと同意しています。

「解決策は、問題を見つけて誰かに押し付けることではありません」と彼は言います。「一緒に解決策を探していくことです。それが、解決すべき問題を受け入れる上で非常に重要なのです。」

ガエタ氏は、iSTAREがセキュリティ問題を早期に発見し、修正する時間があることで、インテルとその顧客のコスト削減と、システム全体のセキュリティ脆弱性に起因する評判の失墜を防いでいると強調する。まさにこの点で、インテルのような巨大テクノロジー企業と、iSTAREのようなチームに必要な、創造的で飽くなき好奇心を持ち、厄介者でもあるハッカーたちの利害が一致するのだ。

「数ヶ月ごとに、取り組んでいるテーマを頭の中で完全に変えています」とベアは説明する。「新しい技術、新しいプロセッサタイプ、新しいコマンドセット、新しい製造技術、そして面倒な細かい作業がたくさんあります。だから、楽しくやらなければなりません。セキュリティ研究者は本来、楽しみのためにやっているのですから。私は他人のおもちゃを壊すことで給料をもらっているんです。そう説明すればいいんです。」

WIREDのその他の素晴らしい記事

• 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
• Telegramがいかにして反Facebookになったのか
• AIが3Dで視覚化できる新たな技術
• 折りたたみ式スマホは定着しそうだ
• テクノロジー業界の女性たちは「セカンドシフト」を担っている
• 超高速バッテリー充電は電気自動車を救うことができるか？
• 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
• 💻 Gearチームのお気に入りのノートパソコン、キーボード、タイピングの代替品、ノイズキャンセリングヘッドホンで仕事の効率をアップさせましょう