ハードウェアに小さなスパイチップを埋め込むコストはわずか200ドル

WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。

ブルームバーグ・ビジネスウィーク誌が、AppleやAmazonを含む大手IT企業が使用するサーバーに搭載されているSupermicro製マザーボードに、米粒大のチップが密かに埋め込まれ、中国のハッカーがネットワークの奥深くまでスパイ活動を行うことが可能だったという衝撃的な主張で、サイバーセキュリティ界を揺るがしてから1年以上が経った。Apple、Amazon、Supermicroはいずれもこの報道を強く否定し、NSA（米国国家安全保障局）は誤報として一蹴した。ハッカー会議「デフコン」は、この報道に対し「最も誇張されたバグ」と「最も壮大な失敗」の2つのPwnie賞を授与した。そして、この主張を裏付ける続報はまだない。

しかし、この件の真相が未だ確認されていないにもかかわらず、セキュリティコミュニティは、そこに記されているサプライチェーン攻撃の可能性は極めて現実的であると警告している。内部告発者エドワード・スノーデンのリークによると、NSAは長年にわたり同様の行為を行ってきた。現在、研究者たちはさらに踏み込み、検出が困難な小型スパイチップをいかに容易かつ安価に企業のハードウェアサプライチェーンに埋め込むことができるかを明らかにしている。さらに、ある研究者は、国家が支援するスパイ機関さえも必要とせず、適切なアクセス権とわずか200ドル相当の機材を持つ、やる気のあるハードウェアハッカーさえいれば、この攻撃を実行できることを実証した。

今月末に開催されるCS3sthlmセキュリティカンファレンスで、セキュリティ研究者のモンタ・エルキンス氏は、自宅の地下室でハードウェアハッキングの概念実証版を作成した様子を披露します。彼は、スパイ、犯罪者、あるいは破壊工作員でさえ、たとえ最低限のスキルしか持たず、わずかな予算で企業のIT機器にチップを埋め込み、いかに簡単にステルス性の高いバックドアアクセスを実現できるかを実証するつもりです。（情報開示：私も同カンファレンスで講演します。このカンファレンスは私の旅費を負担し、参加者には近日出版予定の著書のコピーを提供しています。）エルキンス氏は、150ドルの熱風はんだ付け工具、40ドルの顕微鏡、そしてオンラインで購入した2ドルほどのチップだけで、シスコのファイアウォールを改造することに成功しました。彼によると、ほとんどのIT管理者は気付かない程度に改造したにもかかわらず、リモート攻撃者には高度な制御権が与えられてしまうとのことです。

「こういうのは魔法みたいに思えるけど、実はそんなに難しいことじゃないんです」と、産業用制御システムセキュリティ企業FoxGuardで「チーフハッカー」を務めるエルキンズ氏は語る。「ハードウェアを見せることで、もっと現実的なものにしたかったんです。魔法じゃないし、不可能じゃない。自宅の地下室でできるんです。私より賢い人がたくさんいて、ほとんどお金をかけずにできるんです」

ファイアウォールの爪

エルキンス氏は、2ドルのDigispark Arduinoボードに搭載されていた、約5ミリメートル四方のATtiny85チップを使用しました。米粒ほどの大きさではありませんが、小指の爪よりも小さいサイズです。このチップにコードを書き込んだ後、エルキンス氏はDigisparkボードからチップをはんだ付けし、Cisco ASA 5505ファイアウォールのマザーボードに半田付けしました。追加の配線を必要とせず、チップがファイアウォールのシリアルポートにアクセスできるように、目立たない場所に設置しました。

下の画像は、ファイアウォールの複雑なボードの中で、たとえASA 5505が6インチ×7インチという比較的小型のボードであっても、チップを見つけるのがいかに困難であるかを示しています。エルキンス氏は、さらに小さなチップを使用することもできたものの、プログラミングが容易だったためATtiny85を選んだと述べています。また、悪意のあるチップをボード上の複数の無線周波数シールド「缶」の1つに隠すなど、さらに巧妙に隠すこともできたと述べていますが、CS3sthlmカンファレンスでチップの配置を見せたかったのです。

エルキンス氏は、標的のデータセンターでファイアウォールが起動するとすぐに攻撃を実行するよう、この小さな密航チップをプログラムした。このチップは、セキュリティ管理者になりすまし、そのコンピュータを該当のポートに直接接続することでファイアウォールの設定にアクセスする。そして、このチップはファイアウォールのパスワード回復機能を起動し、新しい管理者アカウントを作成してファイアウォールの設定にアクセスできるようにする。エルキンス氏によると、実験にシスコのASA 5505ファイアウォールを使用したのは、eBayで見つけた最も安価なものだったからだ。しかし、パスワード紛失時に同様の回復機能を提供するシスコのファイアウォールであれば、どれでも機能するはずだという。「当社は透明性を重視しており、研究者の調査結果を調査中です」とシスコは声明で述べた。「お客様が認識しておくべき新たな情報が見つかった場合は、通常のチャネルを通じてお知らせいたします。」

エルキンス氏によると、悪意のあるチップがこれらの設定にアクセスできるようになると、攻撃者はファイアウォールの設定を変更してハッカーにデバイスへのリモートアクセスを許可し、セキュリティ機能を無効化し、デバイスが認識したすべての接続のログにハッカーがアクセスできるようになる。これらのログはいずれも管理者に警告されることはない。「基本的に、ファイアウォールの設定を変更して、望む動作を何でもさせることができるのです」とエルキンス氏は語る。エルキンス氏によると、もう少しリバースエンジニアリングを進めれば、ファイアウォールのファームウェアを再プログラムして、被害者のネットワークをスパイするためのより高度な機能を備えた足掛かりにすることも可能だという。ただし、今回の概念実証ではそこまでには至っていない。

一粒の塵

エルキンス氏の研究は、ブルームバーグがサプライチェーン・ハイジャックのシナリオで説明したハードウェアハッキングを、はるかに正確に再現しようとした過去の試みに続くものだ。昨年12月のカオス・コンピュータ・カンファレンスで発表された研究の一環として、独立系セキュリティ研究者のトラメル・ハドソン氏は、ブルームバーグの記事で説明された中国人ハッカーの手法を模倣しようと試みたスーパーマイクロ製マザーボードの概念実証を構築した。これは、スーパーマイクロ製マザーボードの一部に、ベースボード管理コントローラ（BMC）（リモート管理を可能にするコンポーネント）へのアクセスを可能にするチップを埋め込むことを意味した。これにより、ハッカーは標的のサーバーを深く制御できるようになる。

かつてサンディア国立研究所で働き、現在は自身のセキュリティコンサルタント会社を経営するハドソン氏は、スーパーマイクロの基板上に、小さな抵抗器を独自のチップに置き換えてBMCに出入りするデータをリアルタイムで書き換えられる箇所を発見した。これはまさにブルームバーグが説明したような攻撃手法である。そして、いわゆるフィールド・リプログラマブル・ゲートアレイ（カスタムチップ設計の試作に用いられる再プログラム可能なチップ）を、悪意ある傍受コンポーネントとして利用した。

ハドソン氏のFPGAは2.5ミリ平方未満で、スーパーマイクロのボード上で置き換えた1.2ミリ平方の抵抗器よりわずかに大きいだけだ。だが、真の概念実証スタイルとして、彼は実際にそのチップを隠そうとはせず、配線とワニ口クリップでボードに接続したと述べている。しかしハドソン氏は、カスタムチップを製造するリソース（おそらく数万ドルの費用がかかるプロセス）を持つ実際の攻撃者であれば、同じBMC改ざん機能を実行し、抵抗器よりもはるかに小さなフットプリントに収まるチップを製造するという、はるかにステルス性の高いバージョンの攻撃を実行できたはずだと主張する。その結果、1平方ミリの100分の1ほどの大きさ、ブルームバーグの米粒よりもはるかに小さいチップが製造される可能性があるという。

「これに金を費やしたい敵対者にとって、これは難しい仕事ではなかっただろう」とハドソン氏は言う。

スーパーマイクロは声明で「1年以上前の虚偽の報告についてはこれ以上コメントする必要はない」と述べた。

しかしエルキンス氏は、彼のファイアウォールベースの攻撃は、それほど洗練されていないものの、カスタムチップを全く必要とせず、2ドルのチップだけで済むと指摘する。「チップ製造工場が必要だと思ってこの攻撃を軽視しないでください」とエルキンス氏は言う。「基本的に、電子工作が好きな人なら誰でも自宅でこれと似たような攻撃を実行できます。」

エルキンス氏とハドソン氏は共に、自らの研究が、デバイスに埋め込まれた小さなチップを使ったハードウェアサプライチェーン攻撃が蔓延しているというブルームバーグの記事を裏付けるものではないことを強調している。彼らは、それが実際に頻繁に発生する攻撃である可能性が高いとさえ主張していない。両研究者は、従来のソフトウェア攻撃でも、必ずしもステルス性は劣るものの、ハッカーに同様のアクセス権限を与えることができる場合が多いと指摘している。

しかし、エルキンス氏とハドソン氏は共に、サプライチェーンの乗っ取りによるハードウェアベースのスパイ活動は技術的には現実であり、世界のセキュリティ管理者の多くが認識しているよりも容易に実行できる可能性があると主張している。「皆さんに認識していただきたいのは、チップ埋め込みは空想上の話ではないということです。比較的簡単に実行できます」とエルキンス氏は言う。「私がこれを実行できるなら、何億ドルもの予算を持つ誰かがずっと前からこれを実行しているはずです。」

WIREDのその他の素晴らしい記事