セキュリティコミュニティはソフトウェアに依存する攻撃に重点を置きすぎて、物理的な攻撃が可能であることを忘れがちです。物理的な攻撃は、攻撃者が標的のコンピュータに物理的にアクセスし、ハードウェアを使ってコンピュータを侵害する能力を持っていると捉えられることも少なくありません。そのようなハードウェアには、例えばBashのバニーやラバーダッキーなどがあります。しかし、コンピュータを侵害するのはやはりソフトウェアです。
あまり知られていないものの、依然として存在するもう一つの可能性が存在します。それは、クロックと電圧を供給するコンピューターチップのピンを操作することです。ここで登場するのが、IntelがBlackHat USA 2022でハードウェアの一部に導入した「チューナブル・レプリカ回路(TRC)」です。
TRC とは何ですか?
TRCは、ハードウェアベースのセンサーを用いて、攻撃の結果として発生する回路ベースのタイミング障害を明示的に検出します。攻撃とは、クロックと電圧を供給するピンにおける非侵入的な物理的グリッチを指します。IntelのTRCは、電磁障害注入(EMFI)を検出する機能も備えています。
フォールトインジェクション攻撃により、攻撃者はJMP(ジャンプ)条件ではなくNOP(無操作)命令をラッチさせ、実行フローを変更することができます。また、固定機能暗号エンジンの実鍵を置き換えることも可能です。
Intel は、TRC が第 12 世代 Intel Core プロセッサー ファミリーで提供され、Intel Converged Security and Management Engine (Intel CSME) にフォールト インジェクション検出テクノロジが追加されたことを発表しました (図 A)。
図A
これは CSME ではデフォルトで有効になっており、コンピューターの所有者との操作は必要ありません。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
Intel CSME は、プラットフォーム コントローラー ハブ (PCH) に組み込まれたサブシステムであり、プラットフォームのシリコン初期化として機能し、オペレーティング システムに依存しないリモート管理機能を提供し、セキュア ブート、ディスク暗号化、セキュア ストレージ、仮想スマート カードを可能にする Intel Boot Guard や統合 TPM (Trusted-Platform Module) などの追加のセキュリティを提供するように設計されています。
インテルのシニアプリンシパルエンジニアであるダニエル・ネミロフ氏とプリンシパルエンジニアのカルロス・トクナガ氏は、発表された論文の中で、「仮想化、スタックカナリア、実行前のコード認証などによってソフトウェアの脆弱性が強化されるにつれ、攻撃者はコンピューティングプラットフォームへの物理的な攻撃に目を向けるようになりました。こうした攻撃者のお気に入りのツールは、電圧やクロックピンのグリッチによるフォールトインジェクション攻撃です。これにより回路のタイミングが狂い、悪意のある命令の実行や機密情報の漏洩などが発生します」と警告しています。
TRC はどのように機能しますか?
TRCは、特定の種類のデジタル回路の遅延を監視します。CSMEの公称動作範囲を超える電圧レベルでエラーを通知するように調整されています。TRCに起因するエラー状態は、データ破損の可能性を示し、データ整合性を確保するための緩和策をトリガーします。誤検知を回避するために、Intelはフィードバックベースのキャリブレーションフローも開発しました。
セキュリティシナリオのテストが行われ、TRCはタイミング違反が攻撃によってのみ発生するように調整できることが証明されました。これらのテストは、Intel LabsのiSTARE(Intel Security Threat Analysis and Reverse Engineering)チームによって実施されました。iSTAREはIntelのチップへのハッキングを専門とするチームです。Intelは外部テストについても言及しています。TRCの信頼性をさらに高め、フォールトインジェクションテストに関する知見を深めるため、Riscure社と契約し、クロック、電圧、EMFIテストを実施しました。Riscure社はフォールトインジェクション攻撃を成功させることはできず、「すべてのケースにおいて、実装された対策によって成功したグリッチが検出された」と結論付けました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
現実世界におけるフォールトインジェクション
現実世界で攻撃者が実際にフォールトインジェクションを試みる確率はどれくらいなのか、と疑問に思う人もいるかもしれません。このテーマに関する文献がないため、この質問への回答は困難ですが、研究者たちは、そのような攻撃は可能であり、多くの場合、1000ドル未満のインジェクションデバイスが使用されていることを示唆しています。
攻撃者の観点から見ると、フォールトインジェクションを実際に実行する最大の目的は、セキュアブートをバイパスすることです。組み込みシステムは、通常のデスクトップやノートパソコンよりもこの種の攻撃を受けやすい傾向があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
