Black Hat USA と Vegas Security Weekに学ぶサイバーセキュリティーの7つの教訓

記事をシェアする:

Black Hat USA と DEF CON 2019 が終了するなか、セキュリティー業界では引き続き、毎年恒例の Las Vegas Security Week の話題で持ちきりです。毎年、20,000人近くのセキュリティー専門家、研究者、エシカル・ハッカーがラスベガスに集まり、1週間にわたって最先端のセキュリティーに関するトレーニング、セッション、調査に参加します。Black Hat と DEF CON のセッションでは、モノのインターネット (IoT) (英語) に潜む衝撃的な数の脆弱性や、セキュリティーに関するベスト・プラクティス (英語) についての調査結果が発表されました。

ラスベガスにいた人も、参加できなかった人も、これらのコンファレンスの話題から、企業にとって重要なセキュリティーの最新情報を得ることができます。ここでは、Vegas Security Week から得られた、見逃せないサイバーセキュリティーの7つの教訓をご紹介します。

 

1. メール・ルームにおけるサイバー攻撃の脅威

これは事実なのですが、最新の脅威は、あなたのオフィスのメール・ルームに潜んでいる可能性があります。大規模かつ複雑なシステムに対する豊富な実績を有し、最新のグローバル・セキュリティー・インテリジェンスと高い技術力を誇るエシカル・ハッカー集団 『IBM X-Force Red』 は、彼らが「ウォーシッピング (warshipping)」と名付ける技法を実証することで、サイバー犯罪者が翌日には郵便物が配達される昨今の環境をどのように悪用している (英語) かについて調査しました。X-Force Red チームを統括する Charles Henderson は、「サイバー犯罪者が小包配送を悪用して企業のメールルームから企業ネットワークへ、あるいは個人宅の玄関から個人のホーム・ネットワークへ侵入する方法」について調査し、その結果を説明しました。

研究者達は、既製の部品に手を加え、小包の底に押し込んで被害者のメール・ルームに直接届けられる 3G のリモート対応シングル・ボード・コンピューターを作りました。これには $100 もかかりませんでした。このデバイスは目的地に到着すると、リモートからの制御で、例えば、ハッシュ・データがリモートでクラッキングされて、ターゲットのワイヤレス・ネットワークが奪われてしまう場合もあります。

Henderson は、企業と個人には「小包はあたかも訪問者であるように慎重に扱うこと」そして大企業のメールルームでは悪意のある技術を使用するデバイスを見つける「スキャン・デバイス」を検討するようアドバイスしました。

 

2. 非交流型モバイル・ハッキング

今やサイバー犯罪者は、被害者と実際に交流しなくても、モバイル・デバイスに侵入して情報を引き出すことが可能です。「Look No Hands! The Remote, Interaction-Less Attack Surface of the iPhone (英語)」というプレゼンテーションでは、セキュリティー・エンジニアの Natalie Silvanovich 氏が、SMS、MMS、Visual Voicemail、iMessage、Apple Mail を介して iOS にハッキングする、完全リモートの非交流型手法を実証しました。つまり、iOS 12.3 以前の脆弱性により、ハッカーは悪意のあるテキスト・メッセージを被害者に操作させることなく、iPhone を制御できるのです。デバイスがこのような非交流型手法により侵害されても、被害者はそのデバイスがハッキングされたということに気付きません。

これらの重大な欠陥は、デバイスが社用のものであっても個人用のものであっても、すべての Apple モバイル・デバイスを直ちに iOS 12.4 にアップデートすることの重要性を示唆しています。企業のセキュリティー専門家にとって、このような非交流型リモート・ハッキングの時代において、企業のモバイル・ワーカーを管理し、OS アップデートが提供されたらすぐにデプロイ可能にしておく必要があることは明白です。

 

3. スプーフィングされた衛星ナビゲーション

Black Hat USA で Victor Murray 氏は、「合法的な GNSS スプーフィングと自動運転車両に対するその効果 (英語)」を明らかにしました。これはつまり、グローバル・ナビゲーション・システムのデータをスプーフィングし、自動運転車を停止させたり、方向転換させたり、道路からそれさせたりする方法の実証です。Murray 氏は全球測位衛星システム (GNSS) からグローバル・ナビゲーションのデータをスプーフィングし、GPS ナビゲーション・システムの重大な脆弱性を実証しました。

Murray 氏はインタビュー (英語) において、GNSS 信号は低出力であり、偽のデータ・セットで GNSS ブロードキャストをかき消すことは難しくないと説明しました。GPS 受信側には、こうしたスプーフィングを防御できる組み込みの完全性機構が欠落しています。

この派手なハッキングは、自動運転車を所有していない人にとってほとんど影響がないように思えるかもしれませんが、Murray 氏の手法は敵対的機械学習手法 (英語) と一致します。サイバー犯罪者は、企業で機械学習に使用される本物のデータ・セットを、偽のデータ・ストリームでポイズニングまたはフラッディングできてしまいます。

 

4. 生体認証における脆弱性

Vegas Security Week 中、「Biometric Authentication Under Threat: Liveness Detection Hacking (英語, 2.8MB)」のプレゼンテーションなど、生体認証ハッキングのデモンストレーションが次々に行われました。研究者は、例えばレンズをテープで修正した眼鏡を被害者の顔に掛けるだけで突破できる認証手法もあることを示しました。

このハッキングはとても低コストですが、必ずしも大きな脅威とは言えません。この方策を成功させるには、ハッカーは、眠っているか意識のない被害者を見つけ、被害者に気付かれることなく眼鏡を掛ける必要があるからです。企業にとっては重要なリスクではないかもしれませんが、潜在的な認証の脆弱性を示す明確な例です。生体認証システム (英語) の弱点を知らなければ、スプーフィングのリスクにさらされる可能性があります。

 

5. 偽の iPhone ケーブル

出典: iStock

セキュリティー研究者 Mike Grover (MG) 氏は、DEF CON で偽の Lightning ケーブルのデモンストレーションを行いました。このケーブルは、Apple デバイスの充電用ケーブルと完全に瓜二つですが、プラグを差し込むと、スマートフォンや PC のハイジャックに使用できます。O.MG ケーブルは「正規のケーブルのように見え、同じように機能します。コンピューターでさえその違いをキャッチできません。」と MG 氏は Motherboard (英語) で話しています。

ハッカーは遠隔地からケーブルとデバイスを思い通りにハイジャックできます。これは、ケーブル入力をヒューマン・インターフェース・デバイス (HID) として検出してしまうオペレーティング・システムの欠陥によるものです。幸い、 MG 氏の試作品は広く利用されていませんが、彼は、サイバー犯罪者がマルウェアをリモートで起動することを可能にするケーブル・ハッキングは、セキュリティー調査が不十分な領域であると考えています。

 

6. スマート・ホテルのハッキング

Black Hat USA の研究者は、ヨーロッパの最高級ホテルで使用される一般的な IoT スマート・ロック (英語) の脆弱性を実証しました。ホスピタリティー・チェーンでは、カード・キーに代わって、ゲストがスマートフォンのアプリで部屋のロックを解除できるモバイル対応 IoT ロックへの切り替えが進んでいます。こうしたスマート・ロックは、IoT デバイスでは一般的な Bluetooth Low Energy (BLE) を介した通信を使用しています。研究者は、ワイヤレス・スニッフィングを使用して、ロック・システムの資格情報パケットを特定し、ホテルの部屋へアクセスしてしまったのです。

研究者は、どのホテル・チェーンが脆弱なロックをまだ使用しているかについては限定的な情報だけを開示し、善意の研究者が開示プロセス中に直面した課題について説明しました。IoT デバイスの脆弱性となると、研究者は問題をベンダー、製造者、場合によってはエンド・ユーザーに開示する必要があります。「コミュニティーと連携」が Vegas Security Week の大きなテーマであり、IoT 脅威から組織を保護する (英語) には、研究者、ベンダー、そしてサード・パーティーのセキュリティー専門家 (英語) との強力な連携が必要であることは明確です。

 

7. スティングレイの監視

5G の時代がやってきましたが、完璧ではありません。研究者は、スティングレイと呼ばれる監視デバイスの使用を停止させるために設計された新しいモバイル 5G 標準の欠陥を実証しました (英語)。スティングレイ・デバイスは、実際の携帯電話基地局とは区別がつかない偽の携帯電話基地局を作成することで、通話を傍受したり、モバイル・デバイスの移動を追跡したりするために使用されます。モバイル・キャリアの5G 実装における重大な脆弱性により、デバイスのネットワーク接続は脆弱な 4G または 3G 接続にダウングレードします。

5G 実装におけるこの欠陥を埋めるための取り組みは積極的に行われていますが、教訓は明確です。セキュリティーには特効薬のようなものはなく、新しい標準が完璧であることはまずないと考えてよいでしょう。

 

Vegas Security Week から得られるサイバーセキュリティーの教訓

IoT の脆弱性は、Black Hat USA やVegas Security Week 中の他のイベントの中でも、最もショッキングな話の 1つでした。メール・ルームに潜む潜在的なリスクや非交流型モバイル脆弱性を考えると、エンドポイントの可視化が、脅威を乗り切るための鍵であることは明確です。ネットワーク上に何があるかを把握することが、IoT とモバイル・エンドポイントの両方で重大な脆弱性から保護するための鍵となります。

 

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者紹介】

 

この記事は次の記事の抄訳です。

7 Can’t-Miss Cybersecurity Lessons From Black Hat USA and Vegas Security Week (英語)