事実上すべての既存の USB フラッシュ ドライブに「BadUSB」の脆弱性が発見されてから数年後、セキュリティ研究者の Mike Grover 氏は、攻撃者が一見無害な USB ケーブルをツールに変えて、デバイスをリモートからハッキングできることを実証しました。
O.MGケーブル
グローバー氏は、近くのスマートフォンからコマンドを受信し、標的のPCやスマートフォンで悪意のあるペイロードを実行できるWi-Fiコントローラーを内蔵した「O.MGケーブル」と呼ばれるUSBケーブルを製作できたと述べた。
被害者は汎用の USB ケーブルを使用していると思っているかもしれませんが、PC はケーブルをマウスやキーボードと同様にヒューマン インターフェイス デバイスとして認識し、攻撃者にシステム内で大混乱を引き起こすのに十分な権限を与えてしまいます。
ご存知のとおり、マウスやキーボードは、システムがパスワードや生体認証でロックされている場合でも、PC に接続するとすぐに使用できます。つまり、これらの周辺機器はオペレーティング システムの保護機能を回避し、すぐに一部のシステム リソースにアクセスできることになります。
デモ攻撃の仕組み
グローバー氏は攻撃を実証するため、悪意あるケーブルをMacBookに接続し、自身のスマートフォンを使ってリモート操作で偽のGoogleログインWebページにアクセスさせ、被害者の認証情報の入力を求めた。
研究者は、この攻撃はWindows、Linux、iOSデバイスにも有効であると指摘しています。攻撃者は被害者を騙してケーブルを差し込ませるだけで、ケーブルを介して配信される様々なエクスプロイトによって被害者のデバイスを乗っ取ることができます。攻撃は単一のデバイスからWi-Fiネットワーク全体、さらには携帯電話のホットスポットにまで拡大可能です。
グローバー氏は、950ドルのCNCフライス盤を用いてチップをUSBケーブルのUSB端子に封じ込め、Wi-FiコントローラーをUSBケーブル内に組み込むことに成功した。同氏は今後、より多くの人々にこの攻撃の仕組みを実際に体験してもらうため、さらに多くのケーブルを製作する予定だ。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
この新しいタイプの攻撃は、たとえケーブルであっても、USBデバイスを自分のデバイスに安易に接続してはいけないことを改めて認識させてくれます。そうしないと、ハッキングされる危険性があり、最悪の場合、デバイスが悪意を持って破壊される可能性があります。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
