RAMBOという攻撃手法が確認されています。
この手法は脅威アクターの活動から使用が確認されたものではなく、研究者の調査によって実現が可能であることが実証された手法です。
どのような手法なのでしょうか。
- RAMBO
RAMBOは、Radiation of Air-gapped Memory Bus for Offenseです。
名称が示す通り、この手法はデバイスのRAMから電磁放射を生成し、エアギャップコンピュータからデータを送信します。 - ターゲットはエアギャップシステム
エアギャップシステムは、通常、政府、兵器システム、原子力発電所など、極めて高いセキュリティ要件が求められるミッションクリティカルな環境で使用され、マルウェア感染やデータ盗難を防ぐためにインターネットやその他のネットワークから分離されています。
この分離によりセキュリティを確保することを狙った仕組みです。
これまでの通常の方法では、このエアギャップシステムは強いものと考えられていますが、RAMBOでは、このエアギャップシステムがターゲットとなります。 - RAMBOの仕組み
RAMBO attackを実行するには、攻撃者はエアギャップシステム内のコンピュータにマルウェアを仕掛け、機密データを収集して送信できるように準備します。
メモリアクセスパターン(メモリバス上の読み取り/書き込み操作)を操作してデバイスのRAMから制御された電磁放射を発生させ、データを送信します。
単に現地で電磁放射が発生しても、それをどう取り出すのでしょうか。
脅威アクターは現地に電磁放射を受信する機器を持ち込んで使用する必要があります。
持ち込む機器は物理的なアンテナを搭載した無線機です。
無線機で電磁放射を受信すると、元のデータに復元することが可能となります。 - RAMBOの性能
RAMBOでは電磁放射を受信するという方法が使用されます。
このため、あまりに高速にデータ取り出しを実施しようとすると分解能が不足するということになります。
現在の技術で可能なのは、最大1,000ビット/秒(bps)のデータ転送速度となっています。
これは現在のデータ容量を想定すると高速とは言えません。
1メガバイトのデータを盗み出すのに約2.2時間かかりる計算です。
このことから、RAMBOはテキスト、キーストローク、小さなファイルなどの少量のデータを盗むのに適しているといえます。
しかし、RAMBOでは、機器で動作するOSそのものの情報だけでなく、VM上の情報も持ち出すことができることが確認されています。 - 対策
この攻撃手法には、どのように対策することができるでしょうか。
物理的な立ち入りを管理する厳格なゾーン制限、ホスト型IDS、ハイパーバイザーレベルでのメモリアクセスの監視、外部での電磁放射の監視、ランダムメモリアクセスを実施することによる内部的なジャミング、外部システムによる電磁波的なジャミング、電磁波の漏出を抑止するボックスに機器を入れてしまう、などの方法が考えられます。
対策によっては実施が容易ではないと思えるものもあります。
手をつけやすいのはゾーン制限でしょうか。
新しい攻撃手法は次々に生み出されていきます。
今回の電磁波を使った方法以外に、これまでもいろいろな方法が研究されてきています。
ネットワークカードのLED、USBドライブのRF信号、SATAケーブルの電磁波、電源ケーブルの電磁波、などがありました。
ネットワーク的なセキュリティ対策のみに頼ることでは期待するセキュリティレベルを維持することはできない場合があるということになりそうです。
RAMBO: Leaking Secrets from Air-Gap Computers by Spelling Covert Radio Signals from Computer RAM
https://arxiv.org/pdf/2409.02292
| この記事をシェア |
|
|---|
