ある研究者グループは、Macintoshの起動ファームウェアの改変が検知されずに残り、周辺機器を介して他のコンピュータに拡散する仕組みを解説しています。また、別の研究者が1か月前に発表した研究は、ユーザー権限の隠された昇格を通じてアドウェアをインストールするという、実環境で発見されています。どちらも恐ろしい話に聞こえますが、実際にはどちらも見た目ほどではありません。
特権を下げろよ
1か月前、iOSの脆弱性を発見したセキュリティ研究者、ステファン・エッサー氏が、Appleに事前に警告していなかったOS Xの脆弱性を文書化しました。Yosemite以降、OS Xではソフトウェアが任意のファイルにエラーを記録できるようになりました。エッサー氏は、この脆弱性を悪用することで、本来ルートユーザーのみがアクセスできるファイルに書き込みを行える可能性があることを発見しました。彼はこの脆弱性を利用して、権限を昇格させ、管理者権限やルート権限を持たない一般ユーザーが任意のソフトウェアを実行できるようになることを実証しました。
発表当時、この問題を取り上げなかったのは、以下の3つの理由があります。第一に、ゼロデイ(すぐに悪用可能でパッチ未適用)のセキュリティ欠陥を、ソフトウェアのアップデートを担当する企業や組織に報告するという業界標準に従わない研究者に注目したくなかったからです。深刻な場合は、リスクと軽減策について人々に知らせる必要があるため、これは避けられません。
ゼロデイ脆弱性の公開は、企業への不満を表明する代わりにエンドユーザーを傷つけることになります。あるいは、単に気にしない人にとっては、自らの行動に倫理観の欠如を示すことになります。Appleなどの企業のセキュリティ欠陥への対応に不満を抱いている場合、ソフトウェアメーカーが真に問題を回避しているのであれば、最初の脆弱性が修正されないまま60日後、あるいは数ヶ月後に公開することで、同様に効果的に主張を訴える研究者もいます。5月に発生したNetUSBの脆弱性はまさにその例です。この脆弱性は数百万台のルーターに影響を与えましたが、影響を受ける企業の一部だけが対策を講じました。
Flickr: ミスターシンクタンク インターネット上のどこかからソフトウェアをインストールしないでください。
2つ目の理由は、この脆弱性を悪用するには、ソフトウェアをローカルユーザーとして実行する方法が必要だということです。そのためには、トリガーとなる別のゼロデイ脆弱性、あるいはAppleや既知のサードパーティ開発者のサイトではなく、ランダムなサイトからソフトウェアをインストールするユーザーの無知さに頼る必要があります。
この欠陥は軽微なものではなく、非常に危険で深刻なものです。しかし、この脆弱性を悪用するには、ユーザーが既に極めて危険な行動をとることがほぼ確実に必要となるため、権限昇格自体は、ダウンロードサイト、トレント、その他の信頼できないソースからソフトウェアをインストールし、管理者パスワードの入力を求められたときに入力するよりも深刻ではありません。
第三に、これはOS Xの深くネストされた部分で新たな配管工事が必要になるようなものではなく、些細なエラーなので、すぐに修正されるだろうと思っていました。実際、Appleはエッサー氏の発表よりずっと前に報告を受けており、すでに問題解決に取り組んでいました。
残念ながら、Appleが修正を行う前に、今週、アドウェアインストーラーにマルウェアが潜伏しているのが発見されました。アドウェアインストーラーとは、正規のソフトウェアのインストーラーでありながら、アフィリエイトプログラムによってアドウェアを追加するものです。これらの悪意のあるインストーラーは、コンピュータをハッキングするのではなく、配布者に収益をもたらすものです。
Appleによると、10.10.5の最新開発者ベータ版にはこの修正が含まれているとのことで、エッサー氏も数日前にこれを認めました。OS X 10.11 El Capitanではこの機能への対応方法が異なっており、この脆弱性の影響を受けていません。10.10.5のリリース日は明らかにされていません。
Flickr: 人生は不思議 「Appleはあの欠陥をもう修正したの?もう隠すのをやめてもいい?」
この脆弱性を悪用するアドウェアインストーラーは、署名済みの開発済み証明書を使用していましたが、Appleはすでにこの証明書を失効させています。Appleはさらに、マルウェア対策データベースであるXProtectに署名を追加しました。このデータベースは、本稿執筆時点で更新されているはずです。これにより、オリジナルのインストーラーや類似のコードを使用しているインストーラーの実行が阻止されるはずです。
エッサー氏が、Appleがシステムの欠陥を修正するペースのばらつきに不満を抱くのも無理はない。Appleは時に電光石火の速さで対応し、時には何ヶ月、あるいはそれ以上も問題を放置する。しかし、Appleが問題を無視していると確信しない限り、このような開示方法を支持するのは難しい。なぜなら、事前の警告なしに「罰せられる」ことでAppleが実質的な損害を被ることはないからだ。むしろ、ユーザーこそが損害を被る。
それを蹴飛ばす
また今週、研究者らはAppleのブートローダーソフトウェアであるEFI(Extensible Firmware Interface)に脆弱性を発見したと発表しました。EFIは、OS X、Windows、Unix系OSなど、あらゆる現代のパーソナルコンピュータで広く利用されています。EFIはファームウェア内に常駐し、コンピュータの電源投入時または再起動時に起動し、ハードウェアを初期化してオペレーティングシステムをロードします。(それほど昔のことではありませんが、PCの世界ではBIOS(基本入出力システム)が使用されていましたが、EFIはBIOSに取って代わりました。)
Flickr: マイケル・ゴルツカ 「CAT を押しながら起動すると、すべてから安全になります」とこの猫は言います。
2人の研究者のうち1人は今年初め、Thunderstrikeのデモンストレーションを行いました。これは、Thunderboltハードウェアを介してEFIファームウェアを改変する方法で、内蔵オプションROMを介してファームウェア拡張機能に相当する機能を持つことができます。オプションROMは、特定のハードウェア機能をサポートするためにEFIを拡張するように設計されており、EFIの名前に「拡張可能」という言葉が付けられているのはそのためです。悪意のあるソフトウェアの実行とEFIへのパッチ適用を防ぐための十分なチェックが行われていませんでした。10.10.2アップデートにより、Thunderstrikeを動作させる脆弱性は修正されましたが、研究者のTrammell Hudson氏は数ヶ月前に、Macに物理的にアクセスできれば他の脆弱性が残ると指摘しました。
彼とゼノ・コヴァは、今週ラスベガスで開催されるコンピュータセキュリティカンファレンス「Def Con」でThunderstrike 2のデモを行う予定です。この亜種は、同種の攻撃に対して異なるアプローチを採用しており、さらに懸念されるのは、感染したデバイス間でワームとして拡散する可能性があることです。しかし、それでも目的を達成するには複数のステップが必要です。
ワームを配布するには、物理的なアクセス(感染デバイスを持つ悪意のある、または無実の第三者による)か、別のエクスプロイトをインストールしたり、前述のエスカレーション脆弱性のようにユーザーを説得する手段が必要です。マルウェアが読み込まれると、マルウェアは接続された他のThunderboltデバイスのオプションROMに自身をコピーします。これには、Thunderboltギガビットイーサネットアダプターのような単純な周辺機器も含まれます。
Flickr: トリスタン・シュムル 「ここに虫はいますか?いらないよ。」
感染したオプションROMを搭載したMacを次回再起動すると、悪意のあるソフトウェアがEFIファームウェアに追加され、新たな感染経路となります。感染した周辺機器をMacから別のMacに移すと、マルウェアが拡散します。Appleはファームウェアアップデートをインストールする前に整合性をチェックしていますが、それ以外の時点ではオプションROMやEFIファームウェアの整合性チェックを行っていません。
Appleによると、Kovah氏とHudson氏が予定しているデモは、6月にリリースされた10.10.4以降、使用されているベクトルにパッチが適用されているため動作しないとのこと。Hudson氏はメールで、水曜日に自身のサイトに掲載されたアップデートを紹介してくれた。そのアップデートでは、攻撃経路の一つは遮断されたものの、オプションROMを使ってワームを拡散させるなど、他の経路は依然として残っているとされている。Appleは、報告されている他の脆弱性についても調査中だと述べている。
しかし、研究者たちの研究から、脆弱性を単に埋めるのではなく、より根本的な変更を加える必要があることは明らかです。2か月前、新たなEFIの脆弱性が発見され、Appleは10.10.4リリースの一環として迅速に修正しました。
ファームウェアの整合性については、Appleだけでなく、より広範な視点から再考する必要がある。2人の研究者は、EFIブートローダーにおいて業界全体に広がる問題を発見した。2か月前に指摘したように、周辺機器のファームウェアは既に国家安全保障機関によって悪用されているようで、犯罪者の標的となる可能性も高い。この種の攻撃は理論上のものではなく、単なるデモでもありません。コンピューターベンダーは、ファームウェアのリスクという新たな状況に対応していく必要がある。
