Thunderbolt経由でMacに感染するマルウェア 27
ストーリー by hylom
ハードを放置するのは危険 部門より
ハードを放置するのは危険 部門より
あるAnonymous Coward 曰く、
Thunderbolt経由でMacのブートROMに悪意のあるコードをインストールするマルウェアが作られたそうだ(CNET Japan)。
このマルウェアはファームウェアを狙い、また直接ハードウェアにアクセスして悪意のあるコードをインストールするため、既存のセキュリティソフトでは対策ができないという。さらに、OSが起動する前にインストールされたコードが有効になるため、OS起動前からのキーストロークの記録やカーネルへのバックドアの設置、ファームウェアパスワードのバイパスなども可能になり、削除も困難だという。
ハードウェアを直接操作する必要があるため、感染させるためのハードルはやや高いほか、Appleは現在この攻撃を防ぐためのアップデートの準備に取りかかっているとのこと。
Linuxは大丈夫なんかな (スコア:2, 興味深い)
Linux kernel 3.17でAppleのThunderboltをサポート [applech2.com]
まぁAppleのEFIにThunderboltポート経由でブートキットが感染する脆弱性が発見 [gigazine.net]てことは
Thunderboltの脆弱性ではなく
AppleのEFI上の問題だから
Linuxは関係ないのかな
> EFIの脆弱性によってThunderboltで接続するストレージなどのデバイスからブートキットが感染させられる恐れ
てことはPCIeブートのストレージでもあかん気もするがどうなんだろう
PCIeブートの考慮はしたがその先のThunderboltはケア漏れってことなんかな
# 電撃ショック!
Re:Linuxは大丈夫なんかな (スコア:1)
OS が起動する前の話なので関係ないでしょう。
> てことはPCIeブートのストレージでもあかん気もするがどうなんだろう
> PCIeブートの考慮はしたがその先のThunderboltはケア漏れってことなんかな
通常、PCIe は筐体の外に出ていないが、Thunderbold の場合はポートという形で外部からアクセスできるようになっている、というのが大きな違いだと思います。
ExpressCard とかなら、同じことができちゃうんじゃないでしょうか。
Re:Linuxは大丈夫なんかな (スコア:1)
その理屈で言うとUEFIを
USBメモリでアップデートできる
多くのマザーボードが脆弱ってことにならんかね
Re: (スコア:0)
今後はROM書き換えから保護するためのジャンパスイッチが必須になるかもね
Re: (スコア:0)
UEFI内から書き換えてるうちは署名チェックが走るので安全。既存Macでもちゃんとチェックされるらしい。
こいつは拡張カードのBIOSをCPUで実行する時はチェックが走らず、CPUで実行するコードは本体BIOS ROMにアクセスできるというのが問題。
既存マザーボードでもUSB-PCIブリッジとかを接続できて、かつそこから起動できる設計になってたら危険なんじゃないか?
あとはビデオカードBIOSを改竄されたらそこを踏み台にされる危険がある。
IEEE1394ふたたび (スコア:1)
...原理は違うかもだが、プラグインするハードウェアは、対策かなり難しいよね。
# とはいえ、なあ
M-FalconSky (暑いか寒い)
Re: (スコア:0)
気安くファームをいじれるMacにビックリだ
セキュアブート (スコア:0)
Mac もセキュアブートになってしまうのかな?
USB メモリにインストールした Linux とか起動するのに便利だったんだけど。
Re: (スコア:0)
セキュアブート及びドライバ署名の必須化で被害は軽減できるにしろ、そもそもの問題はThuderbolt経由のDMA攻撃 [wikipedia.org]なわけで、これだけでは根本的解決にはならいんですよね。
Re: (スコア:0)
おっと、勘違い。DMA攻撃ではなく、オプションROMを使った攻撃なのか…。これは互換性を考えると対策が難しそう。
Re: (スコア:0)
ThunderboltにつながっているところのROMを使うものでApple製品以外なら無視するんでしょうな。
既存品はあったとしても大した種類はないでしょうからROMコードの妥当性を検査するようにすればよいかと
Re: (スコア:0)
Apple製品以外でも、Thunderbolt経由で外部GPUを使う場合などに必要となるはずです、多分>オプションROM
>妥当性を検査
悪くない案ですが、新製品が出るごとにアップデートするとなると、書き換え回数が厳しいような…
PCにもCIHウィルスってのがあった気が (スコア:0)
ファームウェア改竄できるってのも怖いですけど、ケーブルに石を埋め込むとなると
いずれ石にマルウェアをハードコーディングされそうですね。
アイロンに電子タバコとか実例もありますし。
Re: (スコア:0)
PCIeブートなどBoot BIOS経由で起動する場合は
拡張カードの方には入ってますな
RAIDカードとかも
んで-○-みたいなケーブルにして
○の部分に石用意すればええんじゃないかと
その先の機器のBoot BIOSは切っておくかなしのものなら
本体から見たらBoot BIOSありの機器に見えるんじゃなかろうか
で本体のExtensible Firmware Interfaceが
Boot BIOSに全権委任しちゃったりすると
やりたい放題になるということではなかろうか
EFIハックとかも
Basic Input/Output Systemでも可能だったりするんかな
# EFIすらも脱獄
Thunderbolt 使ってる? (スコア:0)
Thunderbolt 使ってます?
外部モニタには必須だし、いつかはThunderbolt 周辺機器を使うかも知れない。
でもAppleのことだから、いつ別の規格に変わるかわからないんだよね。
さすがにUSBを切ることはできないだろ、と思って、周辺機器はUSB3.0で固めてますが、どうなるかなあ。
Re:Thunderbolt 使ってる? (スコア:2, すばらしい洞察)
1394と同じ道たどるだろうなと思ってますので。。
Re: (スコア:0)
IEEE-1394は1999年から2012年まで発表された全てのMacに標準で搭載されておりました。実は、2015年1月現在も非Retina MacBook Proには搭載されてます。Thunderboltは2011年提供開始なので、IEEE-1394と同じ運命をたどるとしたら2024年から2026年くらいまでは使い続けられるということになります。どうせ外付けPC機材は10年もたったら耐用年数超過または陳腐化でお役御免になっていますから、今ならThunderbolt機器を安心して買えるということになりますね。
Re:Thunderbolt 使ってる? (スコア:1)
Re: (スコア:0)
Mac持ってないけど、これはいいね。
Re: (スコア:0)
HDDを買ったんだけど、すぐに切れるし、USB3の方がよっぽど安定..
こんなにケーブルに相性があるとは...
Re: (スコア:0)
まだ使ってはいませんが、USBよりも短いレイテンシが実現できることを考えると、ポートに南京錠を付けてでも生き残って欲しい規格ですね。
Thunderboltと聞いて (スコア:0)
007を思い出した私はオッサンですか
Re: (スコア:0)
若い私はジュピター・サンダーボルトぐらいしか思いつきません
Re: (スコア:0)
最新のおっさんの私はフォーチュン・サンダーボルトを思いつきます
Re:Thunderboltと聞いて (スコア:1)
レシプロ飛行機好きならP-47ですね
Re: (スコア:0)
A-10ってのも...
業務用に向かない? (スコア:0)
「ホテルのルームクリーニング(に扮したスパイ)があなたのMacにスパイウェアを仕掛けるかも」と今回の実証をやった人は言ったみたいだけど、そんなプロのスパイじゃなくても身近な事例はいくらでも思いつきますね。
例えば…。
他社に引き抜きされる社員が会社で自分が使っていたMacに、この手法でスパイウェアを仕込んでおいて、退職後に企業機密を盗んで転職先へ手土産にしようと企む。
多重債務で悩んでいる社員が、残業で一人になった時に経理担当のMacにスパイウェアを仕込んでオンラインバンクの認証情報を盗む。
派遣社員が、支給されたMacにスパイウェアを仕込んでおいて、契約終了後に遠隔で機密情報を盗む。
PCショップの店員が、美人が購入するMacにスパイウェアを仕込んで、Webカメラで毎日除き見する。
最後のは業務とは関係ない例になっちゃったけど、検知も駆除もできないウィルスを仕込めるとしたら、いくらでも悪用ができて怖いですね。
企業がMacを社員に使わせるとしたら、その社員が会社を辞めた時は、そのMacは廃棄処分にしないといけないのかもね。