出典:Wavebreak Media Premium(Alamy Stock Photo経由)
BYOD(私物端末持ち込み)脅威は拡大し続けており、研究者たちは、出勤時に運転する車でさえ企業ネットワークへの初期侵入経路となり得ることを実証しました。
10月18日のBSides NYCで、ThreatlightのCTO兼共同創業者であるTim Shipp氏は、駐車中の車から始まり、企業のLinuxサーバーやESXiハイパーバイザーに至るまでのPoC(概念実証)攻撃チェーンを詳述しました。これをBYOC、つまり「自分の車を持ち込む」攻撃と呼びます。そして必要だったのは、いくつかの安価なガジェットだけでした。
鍵(ダジャレです)はドライバーのスマートフォンでした――車を使ってスマホにアクセスし、スマホを使って会社のネットワークにアクセスするのです。
「すべての組織が未来的な攻撃や次世代のソリューションを探している今こそ、攻撃者は簡単で手に入りやすいものを狙うということを思い出すことが重要だと思います」と、ThreatlightのCEO兼共同創業者であるLisa Landau氏は言います。「簡単で安価なものが確実に(攻撃の)対象になることを忘れてはいけません。」
車を妨害してスマホをハッキング
最近、Shipp氏は高度なサイバーセキュリティ体制を持つ後期スタートアップ企業でレッドチーム業務を行っていました。優れたEDR(エンドポイント検知・対応)、熱心なSOC(セキュリティ運用センター)など、万全の体制です。特権システムにアクセスできても、すぐに排除されてしまいました。最終的に彼は「もっと監視されていない、目立たない別の経路から侵入しようとした」と振り返ります。
彼が見つけた別の経路は駐車場にありました。特権社員向けに貸与された社用テスラの車両群です。テスラ自体は会社のネットワークとは無関係ですが、車両に接続されたドライバーのスマホは関係していました。
つまり、車を使ってスマホにアクセスし、スマホから企業ネットワークに侵入するという発想です。そのためには、ターゲットの車と、スマホを接続しようとするドライバーの間に自分を割り込ませる必要がありました。
物理ケーブルでなくても、スマホと車はBluetoothで接続します。通常、ドライバーが車に乗り込んだ直後に発生します。エンジンをかけ、スマホをヘッドユニットとペアリングし、Spotifyを再生して出発する――この間にペネトレーションテスターが作業できる短い隙間が生まれます。
Shipp氏のアイデアは通常の車両ハッキングとは逆の発想でした。ドライバーのスマホを偽装してヘッドユニットに接続するのではなく、車のBluetooth信号を偽装してスマホに接続するのです。
その容易さを示すため、彼は安価な携帯型ガジェットを使いました。まず、名刺サイズのマイコン「cardputer」(1台30ドル)を用意。NRF24トランシーバーモジュール(1個15ドル)を接続し、テスラのBluetooth信号を妨害できました。
車両から切断されたドライバーは、AndroidスマホのBluetooth設定を開き、手動で再接続しようとします。Shipp氏はFlipperZero(200ドル)のハッキングマルチツールから自分の信号を発信し、テスラのBluetoothデバイス名を偽装して、ドライバーが何も疑わずに接続するよう仕向けました。
車から企業サーバーへ
Shipp氏はFlipperZeroの「BadUSB」モードを使い、USBキーボードを模倣してスマホにあらかじめ用意した悪意あるコマンド列を送り、自作のAndroidパッケージ(APK)ファイルを転送できるようにしました。このAPKはMetasploitシェルを確立し、彼のC2(コマンド&コントロール)インフラに接続しました。
このシェルは不安定でした。Android 15では開発者向けに「フォアグラウンドサービスのタイムアウト」が導入され、アップロード・ダウンロード・同期など「短時間」サービスには特に厳しい3分の制限があります。セキュリティの観点では、長時間ダウンロードやデータ流出を行うサービスは悪意あるものと見なされる可能性があるためです。
Shipp氏のシェルが起動すると、端末はカウントダウンタイマーを割り当てました。しかし、あらかじめエクスプロイトをプログラムしていたため、root化は数秒で完了。続いてAndroid Debug Bridge(ADB)を無線で有効化し、リモート接続を許可するよう設定し、オープンソースのターミナルエミュレータアプリ「Termux」で足場を固めました。
このようなアクセス権だけでも、企業に多大な被害をもたらす可能性があります。上級社員のスマホを乗っ取れば、機密データの流出や、社員への脅迫、さらなる標的型フィッシング攻撃のための情報収集も可能です。被害者のスマホを使って同僚にメールやSMSを送ることさえできます。
しかし今回、Shipp氏は攻撃者が最も好む企業システムへの最短経路を探していました。社員が出社してスマホが社内ネットワークに接続された瞬間、彼はドメインコントローラーやESXiハイパーバイザーに到達するためのラテラルムーブメント(横展開)を実行しました。
BYOC対策は自分で用意すべきか?
Shipp氏の攻撃チェーンを阻止・遅延させるサイバー対策はいくつか考えられます。スマホ上で動作し、不審な挙動を監視するセキュリティプログラム、全社的なモバイルデバイス管理(MDM)戦略、入念なネットワーク分割などです。
どの企業がどのようにモバイルサイバーセキュリティ計画を実施するにせよ、Shipp氏が強調するのは「私たちが目にする大半の攻撃で侵害を引き起こすのは、大掛かりで巧妙なトリックではない」という点です。「最高のCVEやゼロデイ脆弱性が使われることはほとんどありません。古くて目立たない、あるいは保護されていないプラットフォームが放置されているだけです。誰もが見逃していた隙間なのです。」
Landau氏は、特定のシステムの弱点よりも「システム間の隙間」こそがShipp氏に侵入経路を与えたと強調します。「人々は自分たちのスタックを見て『これはEDRで守っている、あれには別の対策がある』と言いがちです。しかし(それらのシステムが)互いに連携していないのです。結局、2つの間の“接着剤”がないために侵害されてしまうのです。」
「『このポリシーをモバイル端末に適用しましょう』と言うことはできます」と彼女は言います。「しかし(重要なのは)個別の問題ごとに解決策を当てはめるのではなく、より包括的な視点でセキュリティを考えることです。そうしないと、見落とされた隙間から問題が生じてしまいます。」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/car-byod-risk
