「やっぱり三河屋さんは頼りになるわぁ〜さぶちゃん」
私みたいなC級専門家でも「Win10端末使ってれば安心なんでしょ?」と,聞かれることも多い昨今,ちょっと小耳に挟んだネタがございますので,与太話をおひとつ.
彼の国では,某国製ネットワーク機器にバックドアあるのではということで,国内市場から締め出す政策を始めるとの報道①②が出ました・・・(正確には,そんなことは言っていないですよね〜)
他方,調達の観点からも選択肢が狭まる可能性もございますので,欧州豪州は同盟国とは言え選択肢を残しているよう③④ですね.
この手の議論はサイバーセキュリティの枠を超えているのかもしれませんが,いわゆるサプライチェーンリスクという観点に立てば,以前より様々指摘されているように,サイバーセキュリティにおいても大きな課題として注目されてきております.こちらのIPAの資料はサイバーセキュリティにおけるサプライチェーンリスクについて整理されており参考になります.
サイバーセキュリティ経営ガイドライン(H27年12月策定)に「経営者が認識すべき3原則」の一つに明記されたこともあり,一般事業者の経営者の皆さんにおかれましても,これを機会にサプライチェーンリスクについてに再考されている方も多いかと思います.
さて,私みたいなC級専門家に結構知られていない話として,一部のPC端末には,PC端末が盗まれた際,PC端末の追跡や保護する目的の,通称,LoJack(※1)という優れもののソフトウェアが入っていることがございます.スマフォなどのモバイルだと,MDM(Mobile Device Management)とか呼ばれている類のものです.
(※1)元々「LoJack」は,米国LoJack社が開発した盗難車追跡装置のことでここでいうLoJackとは別物です.ここでは,AbsoluteSoftware社のComputraceサービスを指しています.
LoJackは,MDMとは別物ですが,「UEFI/BIOSモジュール」として実装され,PC端末の盗難後,遠隔から様々な操作を可能とするサービスとして利用されるそうです.OEM製造されているモバイルPC端末などのファームウェアにプリインストールされており,その利用者によってアクティブ化されることにより,サービスが利用できようになっています.LoJackは,その本来の目的のため,盗難後,OSを再インストールしようとする試みやストレージデバイスが交換される脅威にも耐えるように設計されています.
つまり,LoJackがアクティベートされると,設計上,その目的の遂行を阻止するのが簡単でないということです.
ここまで読んで頂いたセキュリティ上級者の皆さんなら勘付いたことでしょう.このソフトウェアに脆弱性がありそれを悪用される場合(※2),とんでもなく怖いことになるわけです.
(※2)「脆弱性がある」=「攻撃可能」という訳ではありません.ついでに言うと,LoJack自体はウィルスではありませんのでご注意くださいね.
そんな中,Sednitというグループによりその悪夢が現実のものになったと,昨年(2018年)の秋頃に話題になりました.
こちらのホワイトペーパーによりますと,Sednitは,少なくとも2004年から活動をするグループで,APT28, Sofacy, Strontium や Fancy Bearとも呼ばれているそうで,これまでに標的とされた組織は一般企業のみならず,米国行政機関やフランスのテレビ局などいくつかあるそうです.
それ以前にも,Security Analyst Summit 2014で,Kaspersky Labの研究者らによるデモがあったそうですが,実戦投入されたのはSednitグループによるものが最初であり,ESETの解析チームにより,「LoJax」と名付けられたのことでした.
「LoJax」のおおよその動きは以下の通りです.詳細は,ESETのホワイトペーパーをご参照ください.ドキュメントが私にはかなり難しく,間違っていたらごめんなさい.
- Read Write Everythingという正規のツールを用いて管理者権限でUEFIイメージ(RwDrv.sys)を書き換えを試みる
- UEFI ファームウェア保護が適切に設定されている場合,VU#766164(CVE-2014–8273)を悪用
- 上の2つのいずれかで既存の UEFI イメージを書き換える
- 変更された UEFI イメージを UEFI ファームウェアの保存に使用されるフラッシュメモリ領域に書き戻す
(再起動) - (1)autoche.exe と(2)rpcnetp.exe ファイルをOS領域に書き込み
- 起動時に autochk.exe の代わりに autoche.exe を自動的に実行するようにレジストリを変更(autochk.exeはファイルの整合性確認ツール)
- autoche.exeが実行され,rpcnetp.exeを起動
- rpcnetp.exe がインターネットを介して攻撃者のC&Cサーバーと通信
「LoJax」に感染した端末は「PC のハードドライブを消去して、Windows OSを再インストールした場合でも、マルウェアは削除できません.」ということになります.
とあるセキュリティ専門事業者さんのブログやこちらの記事には「セキュアブートすれば大丈夫」との記述がありましたが,ESETの解析チームよりますとセキュアブートでは「LoJax」の攻撃は防げない(※3)ことが確認されているようです.ESETのホワイトペーパーにも,セキュアブートでは上の攻撃は防げないと明確に書いてあります.
(※3)比較的新しい端末では対策が取られているようです.
ただし,Bitlockerが有効になっている場合,ステップ5の処理,ファイルの挿入とレジストリの変更は失敗することが,某端末ベンダのエンジニアの皆さんにより確認されているそうです.
最近は,2018年のCPUの脆弱性(Spectre,Meltdown)などハードウェアの脆弱性の報告が目立つようになりました.
上記のLojaxの例にもあるようにハードウェアの脆弱性やその攻撃への対処は,一般的なITユーザには対応が難しいものとなります.
ITを効率的に活用すれば,ITが当たり前に動くことが全ての前提になっていくので,その前提であるITシステムに(IT利用者にとって)コントロール不能とも言えるトラブルが発生すると事業の継続に関わります.
エストニアのROCAの事例(以前書いた記事をご参照ください)は,PCの話でなくICカードの脆弱性の話でしたが,根底に同じ問題が存在し,サプライチェーンリスクについて大きな課題を提起したように思います.
今回のPC端末のケースに限って考えてみても,OS内のウイルスと違ってそう簡単に対処できる話ではなく,その手のことを事前に予期してBIOSレベルで対策をしているベンダのPC端末以外,今回のケースのような脆弱性が出た場合,どうしようもないという怖いお話でした.
他方,PC購入の調達仕様にNIST SP 800–147をすでに一部で採用している米国政府では,早くも次の対処として,NIST SP 800–155,SP 800–193などを調達基準に入れることを視野に入れた動きがあるそうです.アメリカ政府関係者のITリテラシーの高さが伺い知れます.
LojaxのケースはPC端末の話であるので,国家安全保障レベルの大きな話ではなく,企業のITシステムの調達におけるサプライチェーンリスクであり,我々の事業に直結する大きく重大なテーマと言えそうです.
エストニアの事例からも言えそうですが,サプライチェーンにおける一つの対処は,規模の大小でなく洋の東西でもはなく,この手のリスク管理も一緒に考えてくれている信頼できるベンダさんからの調達が大事なのだ言うことなのかもしれません.
サザエさん風に言うならば,「やっぱり三河屋さんが頼りになるわぁ〜さぶちゃん」というところでしょうか!?
さて,我々にとっての三河さんはどこでしょう.
2019年3月18日
