イービルメイド攻撃
イービルメイド攻撃 とは何ですか?
イービルメイド攻撃攻撃者が無人の端末に短時間アクセスし、ファームウェアやブートローダー、ハードウェアを改ざんして後から秘密情報を窃取する物理攻撃。
イービルメイド攻撃は 2009 年に Joanna Rutkowska が提唱した概念で、電源を切った端末に短時間だけ物理アクセスできる攻撃者が、認証情報の窃取や永続的なバックドアの埋め込みを行うシナリオを指します。古典的な手口は、フルディスク暗号化されたノート PC のブートローダーを改造して、次回ロック解除時に入力されるパスフレーズを記録するものです。発展形ではハードウェアキーロガー、ファームウェアインプラント、汚染された周辺機器も使われます。信頼の起点が検証されないブートコードにあるため、ソフトウェアのみのディスク暗号化では防げません。対策にはメジャードブート、TPM 連動鍵、セキュアブート、改ざん検知シール、ホテル・国境・カンファレンスで端末を放置しない運用などがあります。
● 例
- 01
ホテルの部屋で攻撃者が標的のノート PC を USB から起動し、GRUB を改造して LUKS パスフレーズを盗む。
- 02
国境職員が記者のノート PC を短時間持ち去り、返却前にファームウェアインプラントを仕込む。
● よくある質問
イービルメイド攻撃 とは何ですか?
攻撃者が無人の端末に短時間アクセスし、ファームウェアやブートローダー、ハードウェアを改ざんして後から秘密情報を窃取する物理攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
イービルメイド攻撃 とはどういう意味ですか?
攻撃者が無人の端末に短時間アクセスし、ファームウェアやブートローダー、ハードウェアを改ざんして後から秘密情報を窃取する物理攻撃。
イービルメイド攻撃 はどのように機能しますか?
イービルメイド攻撃は 2009 年に Joanna Rutkowska が提唱した概念で、電源を切った端末に短時間だけ物理アクセスできる攻撃者が、認証情報の窃取や永続的なバックドアの埋め込みを行うシナリオを指します。古典的な手口は、フルディスク暗号化されたノート PC のブートローダーを改造して、次回ロック解除時に入力されるパスフレーズを記録するものです。発展形ではハードウェアキーロガー、ファームウェアインプラント、汚染された周辺機器も使われます。信頼の起点が検証されないブートコードにあるため、ソフトウェアのみのディスク暗号化では防げません。対策にはメジャードブート、TPM 連動鍵、セキュアブート、改ざん検知シール、ホテル・国境・カンファレンスで端末を放置しない運用などがあります。
イービルメイド攻撃 からどのように防御しますか?
イービルメイド攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
イービルメイド攻撃 の別名は何ですか?
一般的な別名: メイド攻撃, 放置端末の改ざん。
● 関連用語
- attacks№ 082
BadUSB
USB デバイスのコントローラーファームウェアを書き換え、キーボード・ネットワークアダプター・ストレージなど悪意ある別の身分として認識させる攻撃の総称。
- attacks№ 1192
USB Rubber Ducky
Hak5 が販売する USB デバイスで、接続された端末にキーボードとして認識され、事前に書かれたキー入力をマシン速度で送り込む。
- malware№ 117
ブートキット
MBR、VBR、UEFI などの起動プロセスを感染させ、OS より前に動作して持続的かつ高権限の制御を獲得するマルウェア。
- malware№ 097
BIOS ルートキット
レガシー BIOS ファームウェアに感染し、OS より前に実行されることで OS 下層に深く持続化するルートキット。