オフラインでもハッキングできちゃう技術がヤバい:677th Lap
インターネット経由で情報が盗まれるのならば、いっそオフラインにすればいい。もう、この方法すら役に立たない時代になりそうだ。“オフライン端末も”狙える新たなハッキング手法が発見された。
ハッキングやフィッシングなどサイバー攻撃は後を絶たない。インターネットに接続しているPCやスマホは、常に脅威にさらされていると言ってもいいだろう。
しかし、インターネットに接続していないPCやスマホからでもデータを盗み取れる技術が明らかになり、ユーザーのみならずセキュリティ業界もおびえを隠せない状況だ。オフラインのデバイスからどうやってデータを盗むというのか。
インターネットにつながっていないPCやスマホをハッキングできる手法が発見された。セキュリティ系Webメディア「The Hacker News」が2022年8月23日に掲載した記事によると、その手法は「GAIROSCOPE」と呼ばれ、イスラエルのネゲヴ・ベン=グリオン大学のモルデカイ・グリ(Mordechai Guri)博士によって発見されたという。
GAIROSCOPEを使えば、エアギャップ、つまりインターネットから物理的に隔離されたPCやスマホからでもデータを盗み出すことができるという。しかし、オフラインのデバイスからどうやってデータを盗み出せるというのか。そこで使われるのが「超音波」だ。
まず、盗み出すデータを超音波に変換し、「MEMS(Micro Electro Mechanical Systems)ジャイロスコープ」が共振する周波数で発信する。MEMSジャイロスコープというのは、一般的なスマホにも内蔵されている部品で、スマホの向きや角度などを計測するために使われる。2010年に「iPhone 4」に搭載されて以降、今ではほとんどのスマホに搭載されている。
現在市販されているスマホなら、GAIROSCOPEに対応したアプリさえ用意すれば超音波を受診してデータを盗み取れる。データを盗み取る手口は次の通りだ。攻撃者のスマホのMEMSジャイロスコープは、ターゲットとするスマホから発信された超音波に共振し、エラーを起こす。そのエラーを専用アプリで分析することで、送られて来たデータを復号することが可能になるという。
データを読み取ったスマホがインターネット経由で悪意ある第三者に解析した情報を送信することでハッキングが完了する。なお、データを読み取るスマホは、エアギャップに置かれたPCやスマホから8メートル以内であれば超音波の受信が可能だという。つまり、インターネットにつながれていないエアギャップ状態のスマホでも、GAIROSCOPE対応アプリをインストールしたスマホさえ持ってターゲットに近づけば、データの奪取が可能になるわけだ。
だが、エアギャップにあるPCやスマホからどうやって超音波を発生させるのか。それがGAIROSCOPEの重要なポイントだ。情報を超音波に変換するためのマルウェアをPCやスマホに“感染”させる必要がある。そうすることで、自由自在に情報の奪取が可能となる。情報を盗む側が、わざわざ自分のスマホを持ってターゲットのPCやスマホに近づく必要はない。GAIROSCOPEの受診役をするマルウェアを仕込んだスマホを誰かに持たせればいいだけだ。
これはあくまで研究上の理論であり“実用化”しているわけではないが、こうした手段によるハッキングは不可能ではないということだ。グリ博士は実際にGAIROSCOPEを使ってハッキングする模様を「YouTube」で公開している。
超音波を発信するマルウェアにさえ感染しなければ被害はゼロだ。油断さえしなければ、きっと大丈夫……なはずだ。
上司X: ネットにつながっていないPCやスマホをハッキングする手法が公表されてこれはタイヘン、という話だよ。
ブラックピット: GAIROSCOPEですか。超音波でねえ。
上司X: 何だ、その微妙なリアクションは?
ブラックピット: エアギャップ状態、つまりネットにつながっていないPCにマルウェアを仕込む隙というのはなかなか訪れにくいと思うんですけど。
上司X: だからこそ「エアギャップ」なんだよ。でも、どこかで隙が生まれるかもしれん。
ブラックピット: それは、拾ったUSBメモリをうかつに差し込んじゃった、みたいな話ですか。
上司X: そうそう。あえてエアギャップ状態にしているPCはおそらく重要な機密データを抱えているはずだからな。何らかの目的がある攻撃者にとってはリスクを冒してでも狙う価値があるってことだろう。
ブラックピット: まあ確かに、インターネットから隔離されていて攻撃を受けない、という安心感が油断を生むこともあるかもしれませんね。最近のサイバー攻撃の発端は人為的なミスであることが多いみたいですし。
上司X: 送られて来たメールの怪しいリンクを踏んじゃったり、偽サイトにだまされちゃったりってことな。この件は技術的にはすごい話だけど、人間の手が入らない限りは起こり得ないわけで……。結局個人のセキュリティ意識を高めなければね、という話だよ。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.