Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

閉域網の古いOSを狙う攻撃

セキュアUSBを狙う新たな攻撃リスクについてPalo Altoによって公表されました。

japan.zdnet.com 

 セキュリティ企業の米Palo Alto Networksは、重要インフラシステムや制御システムの保守などに利用されるセキュアUSBメモリマルウェアを混入させる攻撃を報告した。

 

 攻撃の全容は判明していないものの、攻撃グループは、セキュアUSBメモリを管理するコンピュータに何からの方法でトロイの木馬を含む正規のソフトウェアを通じて、「SymonLoader」というプログラムをインストールさせる。SymonLoaderは、管理コンピュータのOSがWindows XPもしくはWindows Server 2003は動作を継続し、Windows 7などのより新しいOSである場合は動作を停止する

 SymonLoaderが動作を継続する場合は、管理コンピュータで「device monitor」という隠しウィンドウを実行して、コンピュータに接続されるストレージデバイスを監視する。デバイスが接続されるとドライブの種類や製造元などの情報を確認し、SymonLoaderが標的としているセキュアUSBメモリだった場合は、特定の領域に未知の実行形式ファイルなどが書き込まれる仕組みだった。

 

◆キタきつねの所感

USBメモリを使った攻撃と言えば、Stuxnetが有名ですが、この攻撃手法では、USBメモリを人がセキュア領域に移動しPC等に差し込ませる事、つまり人の脆弱性を突く必要がありました。

今回の攻撃手法は不審なUSBは接続させないように教育、あるいはディバイスロックを使う、といった従来の手法では防げない攻撃を狙っているところが危ないかも知れません。

攻撃全容がかかれてない(意図的かも知れませんが)ので、いつも通り推測が多分に混じりますが、記事を見る限り、セキュアUSBメモリが元々マルウェアトロイの木馬)を仕込んでおいたもであるのが、最初のポイントのようです。

5-6年前だったかと思いますが、中国製のPCが工場出荷時に既にマルウェアが入っていた・・といった事が報道されており、最近ではスマホにこうした仕込がシフトしていたのですが、このセキュアUSBメモリ版なのかも知れません。

pc.watch.impress.co.jp

だとすれば、対応策の1つとして考えられるのは、セキュアUSBメモリは信用できるメーカー(出来れば国産)の製品を使う事と言えそうです。

 

2つめの防御ポイントとして考えられるのが、

攻撃グループは、セキュアUSBメモリを管理するコンピュータに何からの方法でトロイの木馬を含む正規のソフトウェアを通じて、「SymonLoader」というプログラムをインストールさせる

この外部からのプログラムをインストールさせる部分かも知れません。特に閉域網に管理端末があるのであれば、インターネット(不審なサイト)から不審なプログラムをダウンロードさせる部分については検知できる可能性があるかと思います。(逆に言えば、管理用PCが普通にインターネット接続している場合は、不審なファイルダウンロードの検知は非常に難しくなりますので注意が必要かも知れません)

 

最後の防御ポイントは、古いOS(サポート切れOS)をなるべく早く更新する事でしょうか。それが難しいので閉域網にしている、という企業も多いかと思いますが、今回のPalo Altoの発表内容から考えると、古いOSが故に、アンチウィルスソフト等々では検知できない脆弱性を突いている攻撃と思われますので、OSのサポート期間に合わせたシステム更新を考えていく事も、難しい場合が多いとは思いますが、重要であるといえます。

 

ウイルスに感染したUSBメモリのイラスト

 

更新履歴

  • 2018年7月1日AM(予約投稿)