USBのセキュリティ問題、解決策はエポキシ樹脂にあり?

USBのセキュリティ問題、解決策はエポキシ樹脂にあり? 1

まだ完全な解決案ではありませんが。

先週、2人のハッカーが、全てのUSB機器に含まれているセキュリティ脆弱性を利用したマルウェアのコードを公開しました。彼らの狙いは、マルウェアの拡散でも何でもなく、誰かに解決策を探してもらうということでしたが、今週になって自らの手で部分的な方法を生み出しました。それはUSBをエポキシ樹脂でコーティングするというものです。

7月にWiredが全てのUSB機器にはセキュリティ上の根本的な欠陥があると報じたことで明らかになった今回の問題は、USBデヴァイスの基本的機能をコントロールしているファームウェアを検知されることなく改ざん出来る方法があるというものでした。

セキュリティ研究者のKarsten NohlさんとJakob Lellさんが欠陥を発見し、この弱点を利用するマルウェアBadUSBを作り上げました。BadUSBをインストールしたUSBドライヴがあれば、PCを完全に乗っ取ったり、メモリースティックからインストールされたファイルをユーザが知らない間に変えたり、ユーザがインターネットを通してやりとりしているデータをリダイレクトすることさえできます。二人はマルウェアの脆弱性の危険性を考慮してコードを公開しませんでした。

しかしセキュリティ研究者Adam CaudillさんとBrandon Wilsonさんは脆弱性をリバースエンジニアリングすることで、マルウェアのコードを洗い出し、Githubで公開しました。二人はまた不完全なパッチもリリースしました。Githubに投稿されたパッチは、ファームウェアのリプログラムを可能にする「ブートモード」を無効にできるものの、最新ヴァージョンのUSBコードにしか対応しないため、古いヴァージョンのUSBでは問題解決に至っていませんでした。

そこで出てきたのがエポキシ樹脂を使用する案です。この方法ならば、ハッカーが直接USBを入手してピンをショートさせないない限り、USBがリプログラムされることはありません。Wiredは

ドライヴをコンピュータに差し込み、同時に導電性の高い金属を、コントローラチップとUSBのサーキットボードを接続している2~3本のピンにかませます。これを行うことで、ファームウェアのリプログラムが可能になってしまいます。
と説明しています。

ですので、CaudillさんとWilsonさんは、エポキシ樹脂でUSBドライヴの中身をコーティングすることを提案しています。

しかし結局のところ、これらは応急処置にすぎません。この問題の根幹はファームウェアがウィルスが検知されることなく改ざんされてしまうことにあります。

しかし、Wiredによれば、セキュリティ研究者らがこれを解決することも時間の問題になるそう。解決策がきちんと確立されるまでは、安全な使用を心がけたいですね。

image by You can more/Shutterstock

Source: Wired

Sarah Zhang - Gizmodo US[原文

(Tomo)