あらゆるPC/Macから情報を盗める5ドルのラズパイ・デバイス 対抗手段はUSBポートをセメントで固めること

あらゆるPC/Macから情報を抜き取れる5ドルのラズパイ・デバイス

対抗手段はUSBポートをセメントで固めること 

 

このところ、コンピュータやiPhoneから情報を抜き取ってしまう、いや「盗む」とんでもないデバイスについての報告が目に付きましたので、どなたかに詳しい説明をして頂けたらと願いつつ簡単な紹介をしたいと思います。

 

まずは、Raspberry Pi Zero (ラズパイゼロと呼ばれているようです)という、元々の値段は5ドルという低価格の簡単なコンピュータを使って作られた、どんなPCからも、情報を盗み出すことが可能なデバイスです。Poison Tap と名付けられています。

                

Samy Kamkar氏のサイトに掲載されている「Poison Tap

」

ハッカーのSamy Kamkar氏がこのデバイスを作りソースコードも公開しています。英語ですが、かなり分り易く書かれています。日本語ではPCWatch に掲載されていますので、それをお読み頂ければと思います。このデバイスをPCのUSBポートに差し込むだけでそのPCの情報を盗み取れる能力を持っているそうです。

つまり、Samy Kamkar氏のサイトからコードを読み取って、自分のデバイスを作れば、誰でも他人のPCから情報を盗めるという、恐ろしい環境ができてしまったということです。しかもコストはたったの5ドル。

 

どんな仕組みなのか、そしてどのようなステップを踏んで情報が盗み出されるのかは技術的に結構難しいので、「工場長」さんに御登場頂ければ幸いです。

 

このデバイスを使っての被害に遭わないためにSamy Kamkar氏が勧めているのは、例えば、コンピュータを使っていないときには必ずブラウザーを閉じること、USBを使えないようにすること、スリープ状態になるときには暗号を使ってメモリーを開くようにしておくことです。しかし最終的には、USBポートにセメントを流し込んでポートが使えないようにするという、半分ジョークのような解決方法が示されています。御丁寧に、Amazonのセメント売り場までのリンクも貼られています。また、単にコンピュータにロックを掛けておくだけでは効果がないことも説明されています。

 

それで思い出したのが、1980年に当時MITのコンピュータ科学研究所の所長だったマイケル・ダートゥーゾス教授に伺った話です。『顔を持ったコンピュータ』にもインタビューが載っています。「ネットワークの一部になっているコンピュータを守るための究極的な手段は、物理的にそのコンピュータをネットワークから切り離すことだ」という考え方なのですが、それは今も生きているようです。

 

それ以上に心配しなくてはならない技術も開発されています。Wi-FiにつながっているスマホやPCから、仮に暗号化されていても入力時に情報を盗む技術です。それは次回に。

 

[お願い]

文章の下にある《広島ブログ》というバナーを一日一度クリックして下さい。

  

コメント

まず、この警告は一般ユーザー向けというよりは、サーバーなどに対するもので、スパイ映画やSF映画でも端末のパソコンやサーバーのUSBにチップを差し込んで情報を盗んだりサーバーを乗っ取るシーンがありますが、まさにそうしたことへの警告です。

USBは非常に利便性の高いものですが、それゆえのリスクもあり、サーバーはもちろん、端末になるパソコンでもUSBの使用を禁止している組織は多く、セメントで固めるまでもなく、物理的あるいはソフト的にロックされているケースも少なくありません。

こうしたセキュリティの専門家にとっては常識的なことがネット専業銀行では行われていても、大手地銀などでは全く無視されており、４年前のSNSに「某銀行とバトル」として書いたことがあります。

一般的なパソコンの利用者としては、こうしたものより、日常的なネット上のリスク、例えばＪＲのホームページを見ただけでウィルス感染するというようなことがあり、それを防ぐのはセキュリティ対策ソフトよりOSのアップデートですが、Windows10の強制的なアップデートが大きな問題になったほど、WindowsユーザーやAndroidユーザーにはアップデートに対する拒否反応が強く、理由があることとはいえ、Apple以外のパソコンやスマホのメーカーには悩ましい問題です。

また、Mac（Apple社のパソコン）の最新機種にはUSBポートは存在しませんし、公開されたソースコードはx86PCに対するものだったと思うのでiOS（iPhoneやiPad）は対象外のはずです。USBポートに差し込むだけで物理的にPCを破壊するというものも50ユーロで販売されていますが、MacBookは壊せないということでした。

ちなみに私が使っているパソコン（Mac）は、私が指紋認証したiPhoneと繋がっているAppleWatchによって制御されるようになっており、私がパソコンから離れればロックされ、パソコンの前に座ればロックが解除されるようになっています。

投稿： 工場長 | 2016年11月19日 (土) 09時00分

「工場長」様

コメント有難う御座いました。ユーザー側として心配しなくてはならない点を主に解説下さり、いつものことながら勉強になります。

ちょっと心配になったのは、Samy Kamkar氏の「Poison Tapに対する安全対策」のところでは、最初に「サーバー側の安全対策」次に「Desktop側の安全対策」と二つに分けられていて、「Desktop側の安全対策」には、本文中に列挙したようなことが掛かれている上に、例えば「コンピュータを離れる際にはいつもブラウザーを閉じる。しかしそれは実行するのが難しいだろう」というようなコメントが付け加えられていたことです。

人の情報を盗める装置を自分で作っておいて、しかもそのコードまで公開し、さらには、それに対する対策としてこんなことを書くのは、倫理的に問題があると思います。しかし、それに対する防衛策は私たちの方で取らざるを得ませんので、どのレベルの脅威にどう対応するのかについて、常に勉強しておく必要があるのだと思います。

そのために、「工場長」さんが何時も適切な情報や対策を提供して下さることに心から感謝しています。

投稿： イライザ | 2016年11月19日 (土) 16時50分

今回のソースコードの公開が罪だと思うのは、これを真似して使ってみようとする人達が決して少なくないだろうと思われることです。

Raspberry Pi Zeroは１年前に発売され世界的にも話題になったシングルマザーコンピュータで、一時期は入手も難しいほど売れましたが、一通り遊んで、次に使い途もなく、次に行うことを探していたマニアも多くいます。

そうしたところに、こうした「使い途」が提示されれば、喰いつくマニアは少なくないはずです。

パソコンを自作し、プログラミングまで出来るようなマニアが身近にいる人は、しばらくは注意を怠らないようにした方が良いかも知れません。アカウントに簡単には分からないパスワードを付けて、離れる時はブラウザーを閉じてロックすることは、それほど難しいことではないと思います。

投稿： 工場長 | 2016年11月19日 (土) 19時29分

「工場長」様

再度のコメント有り難う御座いました。

できるだけパソコンから離れないこと、離れる際には、電源を切り、再起動にはパスワードか指紋認証を使うといった習慣をつけておくことも大切なのかもしれません。

投稿： イライザ | 2016年11月21日 (月) 08時13分

コメント

まず、この警告は一般ユーザー向けというよりは、サーバーなどに対するもので、スパイ映画やSF映画でも端末のパソコンやサーバーのUSBにチップを差し込んで情報を盗んだりサーバーを乗っ取るシーンがありますが、まさにそうしたことへの警告です。

USBは非常に利便性の高いものですが、それゆえのリスクもあり、サーバーはもちろん、端末になるパソコンでもUSBの使用を禁止している組織は多く、セメントで固めるまでもなく、物理的あるいはソフト的にロックされているケースも少なくありません。

こうしたセキュリティの専門家にとっては常識的なことがネット専業銀行では行われていても、大手地銀などでは全く無視されており、４年前のSNSに「某銀行とバトル」として書いたことがあります。

一般的なパソコンの利用者としては、こうしたものより、日常的なネット上のリスク、例えばＪＲのホームページを見ただけでウィルス感染するというようなことがあり、それを防ぐのはセキュリティ対策ソフトよりOSのアップデートですが、Windows10の強制的なアップデートが大きな問題になったほど、WindowsユーザーやAndroidユーザーにはアップデートに対する拒否反応が強く、理由があることとはいえ、Apple以外のパソコンやスマホのメーカーには悩ましい問題です。

また、Mac（Apple社のパソコン）の最新機種にはUSBポートは存在しませんし、公開されたソースコードはx86PCに対するものだったと思うのでiOS（iPhoneやiPad）は対象外のはずです。USBポートに差し込むだけで物理的にPCを破壊するというものも50ユーロで販売されていますが、MacBookは壊せないということでした。

ちなみに私が使っているパソコン（Mac）は、私が指紋認証したiPhoneと繋がっているAppleWatchによって制御されるようになっており、私がパソコンから離れればロックされ、パソコンの前に座ればロックが解除されるようになっています。

投稿： 工場長 | 2016年11月19日 (土) 09時00分

「工場長」様

コメント有難う御座いました。ユーザー側として心配しなくてはならない点を主に解説下さり、いつものことながら勉強になります。

ちょっと心配になったのは、Samy Kamkar氏の「Poison Tapに対する安全対策」のところでは、最初に「サーバー側の安全対策」次に「Desktop側の安全対策」と二つに分けられていて、「Desktop側の安全対策」には、本文中に列挙したようなことが掛かれている上に、例えば「コンピュータを離れる際にはいつもブラウザーを閉じる。しかしそれは実行するのが難しいだろう」というようなコメントが付け加えられていたことです。

人の情報を盗める装置を自分で作っておいて、しかもそのコードまで公開し、さらには、それに対する対策としてこんなことを書くのは、倫理的に問題があると思います。しかし、それに対する防衛策は私たちの方で取らざるを得ませんので、どのレベルの脅威にどう対応するのかについて、常に勉強しておく必要があるのだと思います。

そのために、「工場長」さんが何時も適切な情報や対策を提供して下さることに心から感謝しています。

投稿： イライザ | 2016年11月19日 (土) 16時50分

今回のソースコードの公開が罪だと思うのは、これを真似して使ってみようとする人達が決して少なくないだろうと思われることです。

Raspberry Pi Zeroは１年前に発売され世界的にも話題になったシングルマザーコンピュータで、一時期は入手も難しいほど売れましたが、一通り遊んで、次に使い途もなく、次に行うことを探していたマニアも多くいます。

そうしたところに、こうした「使い途」が提示されれば、喰いつくマニアは少なくないはずです。

パソコンを自作し、プログラミングまで出来るようなマニアが身近にいる人は、しばらくは注意を怠らないようにした方が良いかも知れません。アカウントに簡単には分からないパスワードを付けて、離れる時はブラウザーを閉じてロックすることは、それほど難しいことではないと思います。

投稿： 工場長 | 2016年11月19日 (土) 19時29分

「工場長」様

再度のコメント有り難う御座いました。

できるだけパソコンから離れないこと、離れる際には、電源を切り、再起動にはパスワードか指紋認証を使うといった習慣をつけておくことも大切なのかもしれません。

投稿： イライザ | 2016年11月21日 (月) 08時13分