研究者チームが、感染した Windows コンピュータに接続された USB スマート カード リーダーをインターネット経由で攻撃者が制御できるようにするマルウェアの概念実証版を作成した。
マルウェアは感染したコンピュータに特別なドライバをインストールし、そのコンピュータに接続された USB デバイスをインターネット経由で攻撃者のコンピュータと共有できるようにします。
USBスマートカードリーダーの場合、攻撃者はスマートカードメーカーが提供するミドルウェアソフトウェアを使用することで、被害者のカードをまるで自分のコンピュータに接続されているかのように操作できると、ルクセンブルクに拠点を置くセキュリティ監査・コンサルティング会社Itrust ConsultingのITセキュリティコンサルタント、ポール・ラスカニェレス氏は先週述べた。ラスカニェレス氏はまた、マルウェア分析・エンジニアリングプロジェクト「malware.lu」の創設者兼リーダーでもあり、このチームがこのUSB共有マルウェアを設計した。
ローカル コンピュータ上のスマート カード デバイスを乗っ取り、製造元が提供する API (アプリケーション プログラミング インターフェイス) を介してそれを使用するマルウェアの事例がすでに記録されています。
しかし、malware.luチームが開発した概念実証マルウェアは、この攻撃をさらに推し進め、USBデバイスをTCP/IP経由で「生の」形式で共有するとラスカニエレス氏は述べた。攻撃者のコンピュータにインストールされた別のドライバにより、デバイスがローカルに接続されているかのように見せかける。
ラスカニェレス氏は、11月24日にインドのニューデリーで開催されるMalConセキュリティカンファレンスで、この攻撃の仕組みを披露する予定だ。
スマートカードのセキュリティを脅かす
スマートカードは様々な用途に使用されていますが、最も一般的には認証とデジタル文書への署名に使用されます。一部の銀行は、オンラインバンキングシステムでの安全な認証のために、顧客にスマートカードとリーダーを提供しています。また、企業ネットワーク上で従業員をリモート認証するためにスマートカードを使用している企業もあります。さらに、一部の国では、国民が政府のウェブサイトで認証や様々な操作を行うために使用できる電子IDカードを導入しています。
ラスカニェレス氏とmalware.luチームは、ベルギーで使用されている国民電子IDカード(eID)と、ベルギーの銀行で使用されている一部のスマートカードを用いて、マルウェアのプロトタイプをテストしました。ベルギーのeIDは、国民がオンラインで納税申告をしたり、デジタル文書に署名したり、警察に苦情を申し立てたりすることを可能にします。
しかし、理論上はマルウェアのUSBデバイス共有機能は、あらゆる種類のスマートカードやUSBスマートカードリーダーで動作するはずだと研究者は述べている。
多くの場合、スマートカードはPINやパスワードと併用されます。malware.luチームが設計したマルウェアのプロトタイプには、ユーザーがキーボードから入力した認証情報を盗むキーロガーコンポーネントが搭載されています。
しかし、スマートカードリーダーにPINを入力するための物理的なキーパッドが搭載されている場合は、この種の攻撃は機能しない、とラスカニエレス氏は述べた。
研究者らが作成したドライバは有効な証明書でデジタル署名されていないため、Windows 7 の 64 ビット版など、インストールするドライバに署名が必要な Windows のバージョンにはインストールできません。ただし、実際の攻撃者は、このようなマルウェアを配布する前に、盗んだ証明書でドライバに署名する可能性があります。
さらに、TDL4 のようなマルウェアは、オペレーティング システムが読み込まれる前に実行されるブート ステージ ルートキット (ブートキット) コンポーネントを使用して、64 ビット バージョンの Windows 7 のドライバー署名ポリシーを無効にできることが知られています。
ラスカニェレス氏によると、この攻撃はユーザーにとってほぼ完全に透過的であり、スマートカードを通常通り使用することを妨げないという。唯一の手がかりとなるのは、攻撃者がスマートカードにアクセスした際にスマートカードリーダーのLEDが点滅することかもしれない、と同氏は述べた。
