最近の自動車には、高度な電子機器が多数搭載されており、あらゆるセンサー、処理装置、電子制御ユニットを接続するケーブルの全長は 1 km を超えるほどです。車両自体が大型のコンピュータのようになっており、これまでの歴史が示しているとおり、コンピュータがあれば必ず攻撃の対象として狙われます。車載ネットワークを通じて自動車を攻撃することの現実性については、過去数年間にいくつかの研究が行われています。大半の研究は、完全に物理的なアクセスによって自動車を攻撃する方法に終始していますが、なかには外部の攻撃経路を調査した研究もあります。
自動車に対して物理的なアクセスが可能な場合、攻撃者は CAN(コントローラエリアネットワーク)システムや OBD(車載診断)システムなどにもアクセスできますが、ブレーキに細工する、車両自体を盗むなど、ほかにも悪質な行為を行うことも可能です。一方、自動車に対するデジタルな改変操作を事後に証明することは、物理的な行為より困難な場合があります。このような攻撃は、リモートコード実行の余地がある他の攻撃と組み合わせることも可能であり、ペイロードの実証と捉える必要があります。
物理的にアクセスせずに車載システムに侵入する経路は、タイヤ圧監視システム、TMC(交通メッセージチャネル)のメッセージ、GSM 接続や Bluetooth 接続など、いくつかあります。車両の一部の機能を制御できるスマートフォン向けアプリを開発し始めたメーカーもあり、それも新しい攻撃経路として利用される可能性が出てきました。また、特別に細工した音楽ファイルを USB ドライブに潜ませ、車載システムの一部を乗っ取ることができたというケースも確認されています。
DARPA のプロジェクトに研究員として携わっているチャーリー・ミラー(Charlie Miller)氏とクリス・バラセク(Chris Valasek)氏は、車両に乗り込んだ場合にどの程度まで CAN をハッキングできるかを研究しています。DEFCON カンファレンス向けプレゼンテーションのプレリリース版ビデオによると、自動車の機能はほぼすべて制御またはトリガーすることができ、たとえばライトをすべて消灯する、エンジンを停止する、ブレーキを無効にする、一分ハンドル操作を行う、クラクションを鳴らす、システムディスプレイを操作することが可能です。これが深刻な事故につながりうることは容易に想像できます。悪質なファームウェア更新やシステム変更を利用すれば、このような改変を恒久的に、かつ見つからないようにすることも不可能ではありません。もちろん、ラップトップとモデムをグローブボックスに入れても同様の攻撃は可能ですが、この方法に比べれば発覚しやすいでしょう。攻撃者がこの研究と同じ手口を使ったしても、後部座席に攻撃者のラップトップがあるのに気づけば、きっと怪しむはずです。
自動車メーカーもこうした課題に気づいており、車載ネットワークのセキュリティについて何年間も改善を続けています。リモート攻撃の経路については特に、解析と保護対策が必要です。シマンテックでも、今後の改善に向けてこの分野の研究に注目しています。ミラーとバラセクの両氏の研究では、自動車が攻撃者にとって格好の標的になることが実証されていますが、運転中にハッカーに乗っ取られるよりもはるかに大きなリスクがすでに存在しています。個人的には、運転中にスマートフォンを操作している人がいることに脅威を感じます。少なくとも当面の間、自動車事故という点では、このほうがはるかに大きなリスクでしょう。運転は、どうぞ安全第一で。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
セキュリティ業界の各企業は以前から、現在のシステムよりも確実にマルウェアを検出し特徴付ける方法を探り続けています。そのようなシステムがあれば、マルウェアとそれが引き起こす損害に対処しなければならないすべての人々にとって、大きなメリットとなるでしょう。現在でも、ごく基本的なものから高度なものまで、マルウェアの検出には多種多彩なテクニックが使われていますが、マルウェアを完全には特徴付けていないという点で、その大半は不十分です。
その多くは手動で分解と解析を行うか、または実環境または仮想マシン(VM)環境でサンプルを実行したうえで、システムに生じる変化を記録しマルウェアの副作用として報告するかのいずれかの手段に拠っており、そのどちらにも長所と短所があります。手動による解析は時間と手間の掛かる作業であり、人的エラーも発生しがちです。副作用の自動照合は高速で、人的介在もほとんど不要、あるいはまったく不要ですが、残念なことに有用な情報が欠けていたり不完全だったりすることも少なくありません。要するに、マルウェアの自動解析は解決の難しい問題だということです。自動解析で期待どおりの結果が得られない理由は、以下の要因にまとめられます。
- 条件付きコード: 多くのマルウェアには、特定の条件が満たされたとき、たとえばユーザーがボタンをクリックしたときや所定の Web サイトにアクセスしたときにのみ起動するコードが組み込まれています。コマンド & コントロールサーバーからのコマンドを待っている場合もあります。そうした条件が満たされなければ、マルウェアは何も活動しないこともあります。
- 仮想マシンの検出: セキュリティベンダーがマルウェアのランタイム解析に仮想マシンを使用していることは、マルウェアの作成者にも知られています。ランタイム解析を避けるために、マルウェア作成者は仮想マシンの存在を確認する機能を実装して、仮想マシンを検出するとマルウェアの動作を停止してその機能を隠そうとします。それと異なる動きをするマルウェアのひとつが、W32.Crisis ワームです。このマルウェアは、仮想マシン環境でも十分に機能するほか、VM ファイルがあるかどうかを積極的に検索し、それにも感染しようとします。
- 時間: 一部のマルウェアは、一定時間が経過してから悪質な動作を開始します。自動解析システムでは毎日何万というサンプルを実行するので、時間が障壁になります。各サンプルを自動解析してデータを収集する時間はごく短く、すぐに次のサンプルの解析が始まります。つまり、すぐに悪質な機能が実行されない場合は、自動解析システムで見逃されてしまいます。たとえば、あるトロイの木馬がすべてのドライブ上のすべての .doc ファイルを削除する機能を持っていても、C ドライブ上の一部のファイルを削除する時間しかなかったとしたら、自動解析システムではそれしか報告されません。
- コンテキスト: 自動解析システムによる報告で欠けていることが多いのは、コンテキストです。たとえば、あるサンプルがドライブ上のファイルを改変し始めた場合、多くの自動解析システムは、ファイルの改変を報告するだけで、どのような改変があったかまでは指摘しません。改変はウイルスコードの感染であったり、ファイル内容の消去や暗号化であったりするかもしれません。あるいは、何らかのテキストコンテンツがファイルに挿入された可能性もあります。しかし、ほとんどの自動解析システムでは改変内容まで報告されません。コンテキスト情報が欠けているもうひとつの例が、ネットワーク接続に関する報告です。特定の URL にアクセスするマルウェアが報告されるとき、その URL の目的までは指摘されません。別のマルウェアをダウンロードするのか、命令を受信するのか、それとも盗み出した情報をアップロードするのか、単に感染を通知するのかまでは示されないのです。そのような情報を知ることは重要ですが、自動解析システムに実装するのはきわめて困難です。
- モジュール化: 最近のマルウェアのほとんどは、独立した単一のコードとして存在するのではなく、それぞれが異なる機能を備えた複数のファイル群でモジュール化されています。このようなモジュールはたいてい、インストーラを使ってパッケージ化されてはいません。そのため、最初はインストーラが拡散して、次にインストーラが実行されると、他のコンポーネントのダウンロードを試みます。ときには、追加コンポーネントのダウンロードがリモートの攻撃者によって直接制御されている場合もあり、この攻撃者は侵入先のコンピュータの状況を伺ってから、次にダウンロードするものを判断します。インストーラ自体はたくさんの機能を持っているわけではないので、自動解析ではほとんど何も報告されません。同様に、個々のモジュール自体もコードライブラリに過ぎず他のコードで呼び出される必要があるため、実行されてすぐにその機能が判明することはありません。
これらの要因がすべて絡み合って、マルウェア自動解析機能が制限されます。
そのような状況を受けて、セキュリティ研究者であるジョシュア・サックス(Joshua Saxe)氏が Black Hat で発表するのが、オープンソースとクラウドトレーニングを利用してマルウェアファイルの機能を識別できるマシンラーニングツールです。このツールは、特定のネットワークプロトコルを利用する機能やデータを盗み出す機能など、マルウェアの機能のリストを生成できるとされています。検出された機能について、適切な場合に確率スコアを示すという機能は注目に値します。断定できないマルウェアや見かけで特定できないマルウェアでも、スコアがあれば機能の有無を予測できるからです。このツールを作成するプロジェクトは、DARPA の Cyber Fast Track プログラムから資金提供を受けており、使われているアルゴリズムについても今回のプレゼンテーションで詳しく紹介される予定です。興味深いプレゼンテーションになることは間違いないでしょう(訳注: Black Hat カンファレンスでの発表はすでに終了しています)。
ちなみに、シマンテックセキュリティレスポンスでも、マルウェアサンプルを収集してその情報と機能を照合する多くの自動システムが運用されています。これらのシステムは、マルウェアサンプルの統計とランタイム解析を実行し、その副作用を記録できます。この情報をシマンテックの他のデータや遠隔測定ソースと組み合わせて、独自のマルウェアレポートサービスを通じてお客様に提供しているので、お客様がマルウェア攻撃を予防し、マルウェアの被害から回復する際に有益な情報となっています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
As everyday items become increasingly computerized and Internet-connected, the convenience and efficiency of our lives has improved more than we could have imagined. Like something out of the Jetsons, we are seeing numerous technological advancements applied to kitchen appliances and other everyday household items to optimize our experience. Refrigerators, thermostats, cars and more are connecting Read more…
As everyday items become increasingly computerized and Internet-connected, the convenience and efficiency of our lives has improved more than we could have imagined. Like something out of the Jetsons, we are seeing numerous technological advancements applied to kitchen appliances and other everyday household items to optimize our experience. Refrigerators, thermostats, cars and more are connecting Read more…
Today we are going to talk to those of you who use Bitcoin digital currency to pay for a variety of goods and services – along with a warning about yet another source of Bitcoin miners – the sharing services. You may think that if you avoid cracks and keygens while browsing the web you […]
Today we are going to talk to those of you who use Bitcoin digital currency to pay for a variety of goods and services – along with a warning about yet another source of Bitcoin miners – the sharing services. You may think that if you avoid cracks and keygens while browsing the web you […]
Somehow the word ‘stalking’ has folded into the teen (and even adult) vernacular to mean someone who is annoying on social media but really isn’t a threat. ‘Stalker’ has gradually become more of a lighthearted term to describe someone online who pays ‘extra special’ attention to your social profiles and at worst, is annoying. Its Read more…
スマートホームに対するハッキングが実に簡単であることを、フォーブス誌のカシミール・ヒル(Kashmir Hill)記者が報じています。記事によると、「Google でごく単純な言葉を検索するだけ」で、ある有名企業のオートメーションシステムを備えた住宅のリストが表示されたといいます。「(オートメーション)システムは、検索エンジンでクロールされていた」とヒル記者は書いています。現在は停止していますが、それまでのシステムはユーザー名やパスワードを設定しなかったため、検索エンジンの結果をクリックすれば、システムを完全に制御できてしまいました。記者はオンラインで発見した住宅のうち 2 軒に連絡し、許可を得たうえで照明の点灯と消灯が可能であることを実演しています。また、住宅にある各種の機器も制御できたということです。これは、ホームオートメーションシステムに潜むセキュリティ上の問題の一例にすぎません。
ホームオートメーションとは、照明、暖房、ドアや窓の施錠、監視カメラなどを自動化するシステムです。比較的新しいシステムですが、市場は急成長しており、米国だけでも 150 億ドルに達します。ただ、どのような新技術でも同じですが、潜在的なセキュリティリスクは避けがたいものです。
ホームオートメーションシステムのセキュリティ脆弱性については、Black Hat 2013 セキュリティカンファレンスでセキュリティ研究者が個別に 2 つのプレゼンテーションを行う予定です。1 つは、プロプライエタリな無線プロトコルの Z-Wave における脆弱性についてのプレゼンテーションです。Z-Wave は、ホームオートメーションの制御パネル、セキュリティセンサー、防犯システムなどの組み込みデバイスで幅広く利用されています。これには欠陥があり、暗号化された Z-Wave デバイスの通信を傍受すると、他の Z-Wave デバイスを無効にすることができてしまいます。「Home Invasion 2.0」と題された、もうひとつのプレゼンテーションは、いくつかの人気ホームオートメーションシステムで判明した脆弱性に関するものです。「約 10 種類の製品を調査しましたが、侵入を果たせなかったのは 1 つか 2 つで、大部分は何のセキュリティ対策も講じられていませんでした」と SpiderLabs のダニエル・クローリー(Daniel Crowley)氏は述べています。多くの機器では、アプリをモバイルデバイスにダウンロードし、それを使ってリモートでオートメーションシステムを制御できるようになっています。システムの多くは、モバイルデバイスとホームシステムの間で通信するときに何の認証も使われていないため、悪質な攻撃者による制御を許してしまうことがわかったと研究者は指摘しています。
米国の住宅におけるホームオートメーションシステムの普及率はまだ 3% 程度ですが、この数字は増加する傾向にあり、一部のアナリストによれば今後数年間に倍増するという予測もあります。
新旧を問わず技術の導入を急ぐときには、その技術に伴うセキュリティがともすると軽視されがちです。今回のケースのように脆弱性が露見することで、堅固なセキュリティの重要性が再認識されることを期待します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
McAfee has been monitoring and reporting extensively on one-click-fraud malware for Android in Japan this year. These attacks, primarily on Google Play, have become more active recently. We have found about 400 fraudulent apps in July alone. We consistently report these issues to Google, which promptly revokes the apps, but the scammers never stop uploading Read more…
Would you like a sneak-peek into avast! Mobile Security version 3, avast! Anti-Theft and the debut of a new product, avast! Backup? We are looking for advanced users to participate in the avast! Mobile Security Beta test starting today. This Beta test will run for a full week in which time you can give us valuable feedback that we can […]