セキュリティ研究者が、攻撃者がシステム防御を回避し、ロックされたコンピュータのドライブの内容に数分でアクセスできる可能性のある Thunderbolt の脆弱性を発見しました。Windows および Linux の Boot Camp インストールは、この攻撃の影響を受ける可能性があります。
Intelによって開発・保守されているThunderboltは、Apple Macを含む数百万台のコンシューマー向けPCに搭載されている一般的なポート規格です。しかしながら、Thunderboltインターフェースの特定の機能は、長年にわたりセキュリティ専門家の間で懸念を引き起こしてきました。
日曜日、アイントホーフェン工科大学のセキュリティ研究者、ビョルン・ロイテンベルグ氏は、「Thunderspy」と名付けた新たな脆弱性に関する詳細を公開した。この脆弱性を悪用すれば、わずか数分間の物理的アクセスと数百ドルで簡単に購入できる機器があれば、たとえコンピューターがロックされ、ハードドライブが暗号化されていたとしても、攻撃者はコンピューターのセキュリティメカニズムを回避できる可能性がある。
Ruytenberg 氏は、YouTube ビデオで、攻撃者が Thunderbolt 標準のセキュリティ レベル機能を無効にできる Thunderspy の脆弱性の概念実証を Lenovo Thinkpad で実演しました。
このプロセスには、ノートパソコンのバックプレートを外し、Thunderboltコントローラーをシングルボードコンピューターに接続し、コントローラーのファームウェアを書き換えてセキュリティ機能を無効化することが含まれます。このエクスプロイトにより、Ruytenberg氏はわずか5分でデバイスのパスワードロック画面をバイパスすることができました。
これは、セキュリティ専門家が「悪意あるメイド攻撃」と呼ぶ、ホテルの部屋に放置されたノートパソコンなど、デバイスへの物理的なアクセスを必要とするタイプのハッキングを指す好例だ。
この脆弱性はソフトウェアによる修正が不可能で、2019年以前に製造されたThunderbolt搭載PCすべてに影響を及ぼしますが、macOSデバイスは「部分的にしか影響を受けない」とされています。これは、AppleのmacOSが、デバイスホワイトリスト、IOMMU仮想化、カーネルダイレクトアクセスメモリ(DMA)保護など、独自のセキュリティメカニズムを使用しているためです。
IntelのThunderboltコネクタ規格における脆弱性は目新しいものではなく、研究者たちは長年、システムメモリへのより直接的なアクセスといった高速化機能について懸念を抱いてきました。2019年初頭、研究者たちは「Thunderclap」と呼ばれる脆弱性を公開しました。この脆弱性により、USB-CまたはDisplayPortデバイスがMacやその他のPCシステムに侵入する恐れがありました。
この脆弱性を受けて、研究者らは、ユーザーに対し、Intel のセキュリティ機能「セキュリティ レベル」を活用することを推奨しました。これは、Thunderspy によって攻撃者が回避できるメカニズムそのものです。
インテルは昨年この脆弱性に対処したと主張しているが、Wired は同社のセキュリティ修正がまだ多くのマシンに広く実装されていないことを発見した。
ルイテンバーグ氏は、WindowsとLinux向けの「Spycheck」というツールも開発しました。このツールを使えば、ユーザーは自分のマシンに脆弱性があるかどうかをテストできます。脆弱性がある場合、脆弱性を軽減する唯一の現実的な方法として、Thunderboltポートを完全に無効にすることを推奨しています。
Thunderbolt 3プロトコルもUSB4に追加される予定であり、今後発売されるコンピューターやアクセサリがThunderspyの影響を受ける可能性があります。しかし、Ruytenberg氏は、これを確実にするためにさらなるテストが必要だと指摘しています。
ThunderspyがMacユーザーにとって何を意味するのか
現実的には、ユーザーがBoot Camp経由でWindowsやLinuxではなくmacOSを実行している限り、攻撃者はデバイスに物理的にアクセスした場合のようにmacOSのロック画面を無効化したり、その他の攻撃を実行したりすることはできません。しかし、Boot CampでWindowsやLinuxを実行しているMacは、他のPCと同様に脆弱です。
Thunderboltの脆弱性により、macOSデバイスは依然として、Appleの周辺機器ホワイトリストに登録されているデバイスのIDを攻撃者のデバイスに複製するといった、いくつかのセキュリティ回避策に対して脆弱な状態にあります。これは、悪意のあるUSBデバイスによって実行される一連のポートベースの攻撃であるBadUSBに類似した、他の種類のエクスプロイトへの道を開く可能性があります。
macOSの脆弱性を悪用するには、依然としてデバイスへの物理的なアクセスが必要です。また、Appleのソフトウェアでは組み込みの保護機能により攻撃範囲が限定されているため、平均的なmacOSユーザーはWindowsやLinuxユーザーよりもリスクが低くなります。懸念されるのは、既にリスクの高いユーザーのみでしょう。
ほとんどの macOS ユーザーは、この脆弱性による影響のほとんどからほぼ安全ですが、信頼できない周辺機器やストレージ デバイスを接続することは避け、デバイスへの物理的なアクセスを制御することが依然として最優先事項です。
