USBに設計上の致命的な脆弱性が発見され、そのコードが公開される

PCの接続端子として不動の地位を確立したUSBに設計上の致命的な脆弱性が見つかり、この脆弱性を突くハッキング手法「BadUSB」が2014年8月に開催された開発者会議Black Hat 2014 USAで発表されていました。BadUSBについて公表した技術者は有効な対策のない脆弱性の危険性を勘案してコードを公開しませんでしたが、DerbyCon 4.0の講演でBadUSBのコードが別の技術者によって公開されてしまいました。

SRLabs-BadUSB-BlackHat-v1.pdf
(PDFファイル)https://srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf

The Unpatchable Malware That Infects USBs Is Now on the Loose | WIRED
http://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/

USB has a huge security problem that could take years to fix | The Verge
http://www.theverge.com/2014/10/2/6896095/this-published-hack-could-be-the-beginning-of-the-end-for-usb

セキュリティ研究者のカルステン・ノール氏とヤコブ・レル氏は、USBのファームウェアに検出不能な状態でマルウェアを送り込める脆弱性があることを発表し、これを悪用するハッキング手法を「BadUSB」と命名しました。BadUSBについて説明する様子は以下のムービーで確認できます。

BadUSB - On Accessories that Turn Evil by Karsten Nohl + Jakob Lell - YouTube


すべてのUSB端子を利用する端末には専用チップとファームウェアがあり、ファームウェアによって端末を認識できるようになっています。ノール氏とレル氏はこのUSBのファームウェアに設計上の脆弱性があり、この脆弱性を悪用することでファームウェアを書き換えられることを発見しました。ファームウェアを改変すれば、例えばUSBメモリにマルウェアをこっそり送り込んだり、USBストレージのデータを改竄したり、USBキーボードを無断で操作したりできるとのこと。

ノール氏によるとBadUSBの脆弱性はUSBの設計上の問題であり、これを修正することは不可能で、ファームウェア回りにセキュリティ対策を施すには新しいUSB規格を最初から作り直す必要があるとのこと。新しい規格を一から作るのは数年かかると予想され、USB端子が世界中で普及している状況に鑑みれば与える影響が大きすぎることから、ノール氏とレル氏はBadUSBのコードを公開しないことにしました。

しかし、2014年9月24日から開催されたセキュリティ会議Derbyconで、アダム・コーディル氏とブランドン・ウィルソン氏が、BadUSBをリバースエンジニアリングしたと発表し、コードをGitHubに公開した上で脆弱性を突いた悪用法としてユーザーのUSBキーボードをハックして好きにキーを入力するデモを行いました。

adamcaudill/Psychson · GitHub
https://github.com/adamcaudill/Psychson

なお、コーディル氏とウィルソン氏の講演は以下のムービーで見ることができます。

t510 Making BadUSB Work For You Adam Caudill Brandon Wilson - YouTube


コーディル氏とウィルソン氏は、BadUSBのコードを公開した理由を「USBハードウェアメーカーにプレッシャーをかけるため」としています。BadUSBが公開されないままではメーカーはこの問題の解決に本腰を上げないはずで、より真剣な対策を要求するには危険をあえて公開する方が良いはずだ、との信念に基づくようです。

コーディル氏はBadUSBハッキングはすでにNSAのような政府機関に悪用されているかも知れないと話し、「現状ではBadUSBハッキングを実行できるのはNSAなどの巨額の資金を持つ組織に限られています。BadUSBのコードを公開して誰でも使える状態にすることだけが、メーカーに『この脆弱性は修正しなければならない』というプレッシャーを与えられるのです」と語っています。