ワイヤレスマウスやキーボード経由で乗っ取りを受ける脆弱性「MouseJack」が報告される


PC周辺はどうしてもケーブルが這い回りがちなので、マウスやキーボードをワイヤレスのものにすることで、すっきりした作業環境にしているという人もいると思いますが、複数のメーカーのワイヤレスマウスやキーボードを乗っ取り可能な脆弱性があることが報告されています。

MouseJack Technical Details | Bastille Networks Internet Security
https://www.bastille.net/technical-details


How Hackable Is Your Wireless Keyboard and Mouse?
https://www.technologyreview.com/s/600864/how-hackable-is-your-wireless-keyboard-and-mouse/

Widespread Flaw Could Allow Hackers To Hijack Your Wireless Mouse Or Keyboard - Consumerist
http://consumerist.com/2016/02/23/widespread-flaw-could-allow-hackers-to-hijack-your-wireless-mouse-or-keyboard/

脆弱性を明かしたIoTセキュリティ企業のBastilleによると、これは2.4GHz帯無線を使用するワイヤレスマウスやキーボードの、PC側に取り付けるレシーバー(USBドングル)に存在するもので、Windows・OS X・LinuxのいずれのOSにも影響します。

脆弱性を突くのに必要なのはわずか15ドル(約1700円)のUSBドングルと数行のコードだけ。対象となるコンピューターの100m以内に近づけば、攻撃者は対象のマシンで任意のコマンドを実行することが可能になります。

MouseJackによる犯行のイメージ映像も作られています。

MouseJack - YouTube


登場したのはハッカーのイヴ。


喫茶店でターゲットを見つけ、自分のPCにあやしげなデバイスをセット。


その視線の先にいるのは……


ノートPCで作業中のおじさん。ターゲットはこの人。


おじさんは「Lo……」と書かれたレシーバーをノートPCのUSBポートにセットし、ワイヤレスマウスを使用。


しかし、電話がかかってきてPCから視線をそらしました。イヴにとってチャンス到来です。


ハッキングにかかる時間はわずか。PCの前には本来の持ち主がいるかのように……


ハッカーはそのPCにフルアクセス可能です。


2つ目の事例では、ハッカーのチャックは対象のPCから30mほど離れたところにいます。


ちょうど、作業中の男性がコーヒーをいれるべく離席したところでした。


このPCもワイヤレスマウスを使っていたため、USBドングル経由でハッカーの侵入を許してしまいました。見ていない間にルートキットを仕掛けられ、PCの前に戻ってきても、気付かないバックグラウンドでハッカーに好き勝手されてしまうかも……。


Bastilleは脆弱性によって影響を受けるデバイスのリストを公開していますが、「非Bluetooth接続のドングルにはほとんど存在する脆弱性」と言われるように、Amazon・Dell・Gigabyte・HP・レノボ・Logitech(ロジクール)・Microsoftと幅広いメーカーが含まれています。

MouseJack Affected Devices | Bastille Networks Internet Security
https://www.bastille.net/affected-devices


レノボやロジクールはファームウェアアップデートを公開、他メーカーも順次対策を発表するはずですが、当面はワイヤレスキーボードやマウスの使用を避けたほうがよいかもしれません。

・関連記事
地球の裏側にあるニッサン車をアプリの脆弱性を突いて乗っ取りに成功するムービー - GIGAZINE

ブートローダー・Grub2にバックスペースキーを28回押すと発動する脆弱性が発覚 - GIGAZINE

Dellが脆弱性を指摘されたルート証明書「eDellRoot」の削除ツールを公開 - GIGAZINE

Facebookに脆弱性を指摘して報奨金を得た技術者の調査が行き過ぎだとFacebookとトラブルに - GIGAZINE

216

in ハードウェア,  動画,  セキュリティ, Posted by logc_nt