パスワードを忘れた? アカウント作成
11925203 story
ストレージ

KasperskyがHDDのファームウェアに感染して情報収集を行うマルウェアを発見したと発表 72

ストーリー by hylom
どういう原理なんだ 部門より
Printable is bad. 曰く、

Kaspersky Labが、Western DigitalやSeagate、東芝、IBM、Micron、Samsungといった主要メーカー製のHDDのファームウェアに感染して情報収集を行うマルウェアを発見したと発表している(GIGAZINE)。

このマルウェアの作者は「The Equation group」とよばれる大規模な組織で、イラン、ロシア、パキスタン、アフガニスタン、中国、マリ、シリア、イエメン、アルジェリアなどの30か国で、感染が確認されているという。

HDDのファームウェアに感染したマルウェアはセキュリティソフトで検出・削除することが理論上不可能だそうだ。

また、このマルウェアが米国家安全保障局(NSA)によって使われていたという話も出ている(Register)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年02月19日 17時46分 (#2764154)

    カスペルスキーの文書に載ってますが、感染ルートは

    PCにスパイウェア感染
    →自身を隠ぺいし駆除させないように
     HDDのファームウェアをマルウェア汚染させる。
    のルートのようです。

    またOSの0day脆弱性を発覚のだいぶ前から
    使っていた形跡があるのが恐ろしい。

    翻訳
    http://blog.livedoor.jp/intel_news_reports/archives/42825974.html [livedoor.jp]

    セキュmemoさんにもまとめてあります。
    http://www.st.ryukoku.ac.jp/~kjm/security/memo/2015/02.html#20150218_E... [ryukoku.ac.jp]

    • >またOSの0day脆弱性を発覚のだいぶ前から
      >使っていた形跡があるのが恐ろしい。

      NSAレベルの国家機関の組織の関与が示唆されてるというのは、これがあるからでしょうね。
      OSの脆弱性を未公開の時から使えるというのは、それなりのマンパワーが必要ですからね。
      最低でも商業的な動機で腕のある技術者を百人単位で雇ってるマフィア・黒組織でしょう。

      そもそも、そのゼロディ脆弱性は、意図的に組み込まれたものかも知れませんしね。WIndowsに米国政府向けのバックドアがある(あったの間違いかも)と同じようなもので。

      --
      --暮らしの中に修行あり。
      新しいblogはじめました。 [hateblo.jp]
      親コメント
  • by iwakuralain (33086) on 2015年02月19日 17時29分 (#2764133)

    ネットワーク経由とかなら、感染時にソフトで防げそうな気がしないでもないが。

  • by Anonymous Coward on 2015年02月19日 16時51分 (#2764105)

    http://japan.zdnet.com/article/35060498/ [zdnet.com]
    の文末の編集部注

  • by Anonymous Coward on 2015年02月19日 17時12分 (#2764112)

    データの改ざん、破壊、以外に、どうやったら有用データを流出させることができるのだろうか。
    データファイルを偽装してすり替える?
    実行ファイルに寄生改竄して何らかの手段でethernet等のデバイス(ハード)にアクセスし送信する?
    OSに依存するコードか、デバイスドライバ(=OSの一部)に適応しないと意図した動作は出来ないだろうし、
    そのような高度なコードがファームウェアを格納しているROM中に、本来の機能を損なわないで
    共存して存在できるのはどうしても製造側(HDDベンダ)の協力が無いとできなそうだし
    (でないとファームのリバースengから始めることになる>>>糸目をつけずやっているのかもしれないが)

    政治的、技術的に極めて高度な内容を含んでいて、にわかに信じられない。
    まるでMissionImpossibleのガジェットの様だ。

    • by 90 (35300) on 2015年02月19日 17時52分 (#2764163) 日記


      実は、HDDのファームウェアが書き換えられるというのは新しい話でもなんでもなくて、2013年にはHDDのコントローラ基板上へuClinuxが移植されています。
      これをやった人の話では、高度な処理用らしきCPUとモータ管理などの基本機能のCPUなど複数のMPUが搭載されていて、ものによってほとんど遊んでいるそう。
      例えば上位モデルには暗号化機能があるが、下位モデルではプログラムだけが省かれている、といった場合には、実はCPUの処理時間は余っていたり、落としても
      気づかれないような処理しかしていないのかもしれません。また、HDDには大量のストレージ(何せそれ自体がストレージですし)もあれば、CPUに不釣り合いな
      大容量の高速(キャッシュ用)メモリもあります。昔の「パラレル信号に反応してヘッドを右や左へ動かす」というHDDならともかく、現代のHDDはモーターのついた
      Raspberry Piのようなもの、なんですね。

      ディスクだけを買ったつもりがRasPiがプロキシとして強制的についてくると考えれば、そこでできることは多岐に渡るでしょう。実際に、移植の前段階として
      書き込んだファイルを差し替えるとか、改竄したデータを返すといったこともできているようです。アイディアとしてはSATAからDMAでEthernetを叩くというのも
      見かけはしましたが、そこまでしなくとも、例えば変更したパスワードが元に戻されるとか、メールで受け取ったコマンドに基づいて書き換えられるとかでも
      十分脅威だし、可能ではないかと思います。Eye-FiやFlashAirと同じでしょう。

      # 個人的にはこれで ニョガーン してほしい

      親コメント
      • by Anonymous Coward

        ご連絡先

      • by Anonymous Coward

        > SATAからDMAでEthernetを叩く
        ATAのプロトコルはデバイスからホストのメモリやI/Oを叩けるように拡張されたんですか?

      • by Anonymous Coward

        昔話になるが、ドライブ側のCPUと聞いて思い出すのはPC-8001/PC-8801シリーズ。
        直接いじったことはないが、サブCPUにプログラム転送して走らせる小技があったような。
        # こいつらの5'FDDはドライブ側にもZ80積んでたインテリジェント仕様。
        # I/Fはただの8255、後に本体にFDD内蔵されてもわざわざCPU間で通信してた。

        # 一方富士通FMシリーズは最初からキーボードと画面VRAMがサブCPU制御。
        # YAMAUCHIコマンドでサブ側にプログラム置いて走らせるのは定石だった。

        • by Anonymous Coward

          誰もドライブ側のCPUの話なんてしてませんがな。

      • by Anonymous Coward

        ということは
        乗っ取られたHDDが突然
        「オ〜マ〜エ〜ハ〜ア〜ホ〜カ〜」
        とやりだす恐れがあるのか?
        トーキングHDD
        それはそれで怖いな。

    • ま、BadUSB [nikkeibp.co.jp]の例もありますから何ができても不思議はないわけで。
      SATAインターフェースの向こうにキーボードデバイスが繋がってキーボードって認識されたり・・・するんか?

      --
      **たこさん**・・・
      親コメント
    • by Anonymous Coward on 2015年02月19日 17時33分 (#2764139)

      高度な機能ガーはHDDが記録メディアであることを失念してるんじゃ無いか

      親コメント
      • HDDにウイルスをコピーしつづけるってできそうですよね。
        親コメント
      • by Anonymous Coward

        ファームの非管理エリアにデータ置くのならなおさらのこと、仕様に精通していないといけない。
        => 内通者アリだな

        • ロイターの記事だと、メーカーにスパイを送り込む場合のほか、米国で政府系機関に納入する際にソースコードの提出を含む製品の監査を受けることがあり、場合によってNSAが受け持つとか。中国が同じようなことを言って反発を受けていたような…

          親コメント
          • by Anonymous Coward

            ふむふむ、それなら何でもアリですね。
            これやられると、OS構成ファイルをいくら調べても検出できない。
            定型的で、判りやすいすり替え対象としてはソフトのUpdateチェックなんて使えそうだから
            もしかすると、ベンダ(MSetc)もグルかもしれない。

            たとえば、データの横取りに使うとすると、
            1.ドメイン名(ip-adrs)で自機の所在を認識、(東側諸国とか)
            2.SPAMに見せかけたトリガでアクティブ化
            3.重要キーワードを含む対象ファイルをコピー、圧縮、暗号化
            4.アップデートチェック時等に混入させて配送...

            アンチウイルスの定義ファイル更新時にPCからも大量にナニカ送っていませんか?

            もしかすると細胞内のリボソームを操るようなアナロジーで、よりウイルスっぽいかもしれないなぁ
            OSは正直に宛先へデータを配送するだけ…

    • by Anonymous Coward

      SATAだと改ざんしたコードが実行されるのを待つことしかできなさそうだけど、
      PCIe接続のSSDなら結構アクティブに悪さをできそうな気がする。

      ストレージの中の人としては、内部情報なしに仕様の分からないHWを叩くなんて難しいと思うけど、
      それでもロシアなら…、ロシアならきっと何とかしてくれる。

      • by Anonymous Coward

        やってみると分かりますが物理アドレスだけでOSをゴニョゴニョするのはそんなに簡単じゃないです。
        MSRやCR3が読めればなぁと思う事がしばしばあります。

  • 感染能力のないウイルスはウイルスとは言わないか。
    どうやって感染するのか興味ある

  • by Anonymous Coward on 2015年02月19日 16時50分 (#2764104)

    検出すらできないようなウイルスがどこから感染するんだよ。

    工場出荷前しか可能性無いよね?

    • Re:ところで (スコア:3, 参考になる)

      by Anonymous Coward on 2015年02月19日 17時43分 (#2764148)

      リンクのpdfを流し読みしたところでは
      今時のセキュアな造りのOSであっても、穴のあるドライバなんかが入り口にできるそうですよ
      例えばCloneCDに付いて来るElbyCDIO.sysなんかには
      カーネルモードで悪さのできる穴の空いた奴が存在するんだとか
      無論、全てのElbyCDIO.sysでそういう訳ではないでしょうし
      他にも公に認知されていない穴あきドライバは存在するのでしょう

      今後の発展性を妄想してオロオロしても始まりませんが
      重要なのは、技術的には十分可能であり、実績も積んでいること、具体的に流通もした痕跡があること、
      って辺りでしょうか

      親コメント
    • by Anonymous Coward on 2015年02月19日 17時18分 (#2764119)
      いや、ユーザーがファームウェアアップデートできるHDDなら、いくらでもやり様あるでしょ

      Seagate 製品のファームウェア更新 [seagate.com]
      親コメント
      • by Anonymous Coward

        Windows稼働中には無理っぽいけど。
        純正アップデートもリブートしてDOS経由でやるよ。
        そりゃそうだ、リソース専有せずにファームの書き換えなんてできっこないす。
        エンジン止めずにオイル交換やるようなものだ。
        すくなくとも、ユーザーに悟られずにWindows等稼働中に裏でやるのは不可能と思う。

        • by 90 (35300) on 2015年02月19日 17時54分 (#2764165) 日記

          ものによっては、HDD上の隠し領域からファームや設定を読んでいるディスクがあるとかないとか。バッドセクタ情報とか。

          親コメント
        • by Anonymous Coward

          >Windows稼働中には無理っぽいけど。

          ツールによっては出来るはず。
          IntelのSSDなんぞもWindows上からファームウェアのアップデートが出来たし、HP ProLiantのHDDのファームウェアアップデートもWindows上からやった記憶が。

          • by Anonymous Coward

            稼動時はキャッシュRAMにファームが全部乗ってたりするから事前に考慮してあれば普通に出来ますね。
            特にHDDだとファームはROMにはブートストラップのみで残りはプラッタ上に存在してる場合が。

        • by Anonymous Coward

          リソース占有しなくても更新に失敗したら攻撃対象のHDDを起動不能にさせるだけじゃないのかね

        • by Anonymous Coward

          そりゃそうだ、リソース専有せずにファームの書き換えなんてできっこないす。
          エンジン止めずにオイル交換やるようなものだ。
          すくなくとも、ユーザーに悟られずにWindows等稼働中に裏でやるのは不可能と思う。

          OSがフリーズしたふりをして行うことは可能だと思うよ。
          すべてを正常系でファームを書き換える必要はないんだから。
          多少粗っぽいことをしても、目的はかなえられるでしょう。

          フリーズしてる最中に再起動すると、ファームの書き換えに失敗して
          二度と立ち上がらない可能性があるけど、
          それすら、ただ単に故障しただけだと思い、
          何ら疑いも持たないでしょう。

          • by Anonymous Coward

            ぁ、chkdsk.exeに仕込んでもいいかも。

      • by Anonymous Coward

        ユーザーがファームアップデートできるHDDって
        ファームに対して、
        書き込み権限はあるけど
        読み取り権限はないんですかね?

        書けるんなら検出もできるんじゃないの?

        • Re:ところで (スコア:2, 参考になる)

          by Anonymous Coward on 2015年02月19日 18時55分 (#2764196)

          大抵のMCUには読出しプロテクトがあります。
          まあ簡単なIDチェックですから読出しは不可能じゃない。
          対して書込みプロテクトは余り聞いたことがない。
          乗っ取りを排除するには二度と読み書きできなくなるようなヒューズを使うか、署名済みファームしか書き込めないような仕組みが必要かと思う。

          親コメント
          • by Anonymous Coward

            IDEのころにあったようなジャンパピンでいいのでは?

            ジャンパを抜いた状態でライトプロテクト。
            販売時はこの状態。

            ファームを書き換えたい人はどこかからジャンパピンを入手する。

            • by 90 (35300) on 2015年02月19日 23時13分 (#2764308) 日記

              書き込むべきROMは基板上に露出してるので無駄だし、どこかから入手できるジャンパでは改竄した後で取り外しておけば分からないので、プロテクトになりません。据え置きゲーム機や携帯のような署名チェックを入れ、改竄ファームで起動しないようにすべきでしょう。

              元コメの人が言ってるように、大抵のマイコンには読み出し禁止機能があって、設定すると読み出しできなくなり、いったん消去しなければ書き込みもできなくなります。でもこれは模造品対策機能で、今回のように書き込むべきファームウェアが用意できる場合には無力なんですよね。

              親コメント
              • by 90 (35300) on 2015年02月20日 10時54分 (#2764458) 日記

                12種類のSSD/HDD向けの毒入りファームウェアを作って、それを世界で二例しか見つからない程度にコントロールしている人たちだそうです。そういう人たちの実在を信じるなら、物理的に触れないことだけに頼るのでは意味がないでしょう…

                # 90年代から活動していて、RC5の独自実装を書き、USBメモリでバケツリレーするネットワークを作らせ、"DRINKPARSLEY" "STRAITACID"みたいな
                # 二単語のコードネームを使い、政府機関や航空宇宙、石油関係の情報だけを狙う謎のグループ…いったい何ational Security Agencyなんだ…

                親コメント
              • by 90 (35300) on 2015年02月20日 21時30分 (#2764905) 日記

                そりゃ、向こうから歩いて繋ぎに来るだけですから。守る側がそんな人たちの関心を惹く存在だとしてですが。
                気紛れに出かけて時価で新品HDDを買っても、自分が買う棚の一番上の在庫だけ細工されているとかがあり得るので、ジャンパでは意味がないです。
                まあそういう心配をしてみたいものですが、機会はないでしょう :p

                親コメント
    • それ以前に、検出できないものをどうやってカウントしたのか、しかも30か国にもわたって。
      親コメント
      • by 90 (35300) on 2015年02月20日 14時38分 (#2764620) 日記

        HDDに感染しているツールが見つかったのは二例だけのようです。改竄に気付けないのはそこから起動するOSの方で、ユーザがおかしいと気付けばばらしてROMを読んだりプラッタを外して読み出したりして発見することは、理論上できます。

        親コメント
    • by Anonymous Coward

      NSAが出荷輸送中のルータのファームを書き換える例がスノーデン文書にあったような

  • by Anonymous Coward on 2015年02月19日 17時57分 (#2764168)

    ファームウェア再初期化とかできないの?

    • by Anonymous Coward

      メーカー修理に出せばいいかと
      データも消してくれると思いますが

  • by Anonymous Coward on 2015年02月19日 22時20分 (#2764281)

    Western DigitalやSeagate、東芝、IBM、Micron、Samsung
    HDDメーカ内部にも協力者がいるとすれば、WD、Seagete、東芝に集約されたHDD業界の場合、どれを買ってもアウトってことだよね。
    東芝はもしかしたらWDから受け継いだ3.5インチHDDだけで、2.5インチHDDは安全かもしれないけど。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...