「Thunderbolt」は PC などに周辺機器を接続するための汎用バス規格の 1つです。同様の汎用バス規格の技術としては USB があります。Thunderbolt は Apple と Intel が共同開発した規格であり、特に Apple の Mac OS を搭載した PC で利用されています。セキュリティリサーチャーの Trammel Hudson氏らは、この Thunderboltポートに接続された周辺機器のファームウェアを書き換えて感染させる「Proof-of-concept(PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード)」を 2014年12月に公開しました。彼らが「Thunderstrike」と名付けたこの PoC が実証した攻撃は非常に危険なものであり、不正プログラムに感染した PC は永続的に遠隔操作を受ける恐れがありました。これに対して、Apple は2015年1月に修正プログラムを公開し、問題は解決したかに見えました。しかし、Hudson氏らは今回また新たな PoC である「Thunderstrike 2」を公開して、まだすべての脆弱性が解決されていないこと、Thunderbolt を狙う脅威はまだ過ぎ去っていないことを実証しました。
■「Thunderstrike」
「Thunderstrike 2」の説明をする前に、2014年12月に公開された「Thunderstrike」についておさらいしましょう。「Thunderstrike」ではファームウェアを不正に書き変えられた Thunderbolt の周辺機器が物理的に PC に接続されることにより感染が広まります。感染した Thunderbolt周辺機器を接続したまま PC が起動されると、PC のファームウェアが書き変えられ感染します。そして感染PC に、オプションROM を使用する Thunderbolt周辺機器を接続すると、そのすべてに感染します。これは PC の世界では MS-DOS の時代に流行した、フロッピーディスクを媒介に感染するシステム感染型ウイルスを彷彿とさせる攻撃と言えます。
■「Thunderstrike 2」
今回 Hudson氏らが公開した「Thunderstrike 2」と以前の「Thunderstrike」には大きな違いが 1つあります。それは、「Thunderstrike 2」では拡散に物理的なアクセスを必要としないことです。「Thunderstrike2」ではこの PoC がフィッシングメールや不正な Webサイトを介して、遠隔から実行可能なことが実証されました。これらの感染経路から脆弱性を利用する不正プログラムが PC にダウンロードされ実行されると、PC に接続されている Thunderbolt周辺機器のファームウェアが書き変えられ、感染します。この感染した周辺機器が次回起動時に PC に接続されたままになっていると、PC側のファームウェアが書き変えられ感染します。
■ファームウェアを狙う「Thunderstrike」の危険性と緩和策
「Thunderstrike」の攻撃が危険なのは、ファームウェアを攻撃するからです。通常のセキュリティ対策製品ではファームウェアは監視対象ではないため、そこに感染してしまった不正プログラムは、検知することも、削除することもできなくなります。攻撃への対策としては、ファームウェアの書き換えを未然に防ぐ必要があります。この問題を解決するための修正プログラムは、2015年7月23日にすでに Apple から公開されていますが、Hudson氏は、この修正は問題の一部しか解決せず、完全に根絶するためには、まだ同社が修正すべき脆弱性が複数あると主張しています。脆弱性が解消されていない場合、「Thunderstrike」の攻撃から PC を守るには利用者の注意が必要です。感染した Thunderbolt周辺機器から PC へ感染するタイミングは PC の起動時のみです。Thunderbolt周辺機器を PC起動時にポートから外しておけば、PC が侵害されることはありません。
■サイバー犯罪者は Apple製品も攻撃対象に
Apple製品は他の製品より安全だと考えている古くからのユーザは多いのではないでしょうか。しかし正確には、より多数の利用者がいる他のプラットフォームにサイバー犯罪者の注目が集まっていただけであり、攻撃が発生する可能性に大きな違いはないと言えます。「サイバー犯罪者は利用者の少ないプラットフォームを狙わない」という考えは、すでに通用しなくなってきています。サイバー犯罪者は、より多くの利益を得るために、攻撃の範囲を拡大し続けています。また、より多くのユーザや企業が Apple製品を使用するようになり Mac OS を搭載する PC がますます人気になればなるほど、サイバー犯罪者の攻撃対象になりやすくなります。
ユーザは、どのようなプラットフォームを利用していたとしても、保護されるべきです。サイバー犯罪者から狙われないだろうと考えることは、安全を保つ方法ではありません。「Thunderstrike 2」では、電子メールや Web経由で侵入した不正プログラムが攻撃を実行します。このような攻撃に対し、セキュリティ対策製品のインストールや、適切なセキュリティ対策の実践、インターネットの安全な使用など基本的な対策の実行が、Mac OS の PC においても必要不可欠となるでしょう。
■トレンドマイクロの対策
トレンドマイクロ製品ではクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、脅威から利用者を防護します。Mac向け総合セキュリティ対策製品として「ウイルスバスター クラウド 10」を提供しています。Mac上で実行される不正プログラムについては「ファイルレピュテーション」技術により、検出対応しています。また、不正プログラムの侵入経路となる不正メールや不正Webサイトに関してはそれぞれ、「E-mailレピュテーション」技術や「Webレピュテーション」技術によりブロックに対応しています。
参考記事:
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)
記事構成:岡本 勝之(セキュリティエバンジェリスト)