セキュリティ研究者が先日、AppleのMac用OS、OS Xを外部からコントロールできてしまう方法を見つけたという情報がSlashGearから入った。この悪意のある攻撃ツールを使えば、攻撃者はリモートでファームウェアを上書きし、デバイスを再起動することができてしまうという。そしていったん攻撃者に狙われると、再起動後は意のままにその攻撃対象のOS X搭載マシンを操られてしまうという。これは恐ろしい攻撃ツールだ。
Pedro Vilaca氏による攻撃ツールでどこにいてもOS Xマシンをリモートで乗っ取られるように。。
この攻撃ツールについてはセキュリティ研究家Pedro Vilacaのブログ記事にて詳細が語られている。この攻撃方法は持続的に、しかも物理的な接触なしにMacの低層レベルのコントロールを可能にしてしまうもので、簡単にいえば悪意のあるハッカーが地球上どこにいたとしても、あなたのシステムを攻撃することができるということだ。
Pedro Vilaca氏による攻撃ツールの仕組み
まず、攻撃者は攻撃対象のマシンのOS Xに”root”権限が必要となる。これは当然簡単なことではないが、複雑な手順によって可能となる。Macのスリープモードが解除されたときの脆弱性を利用し、BIOS保護(FLOCKDN)を無効にする。この時点でファームウェアはアプリケーションに対してフラッシュや上書きをすることを許可されるようになる。これがセキュリティホールとなり、ハッカーはそれを利用してEFI(extensible firmware interface)を改変できるようになるという。
前出のセキュリティ研究家のPedro Vilacaによれば、「AppleのS3サスペンド・リジュームプログラムは、サスペンド・リジュームのサイクルの中で、フラッシュプロテクションを解除したままにしている。それはつまりUserlandやrootkit EFIからできているBIOSを何のトリックもなく改変できるようになることを意味している。これによってkernel extension、フラッシュROMへのアクセスやroot権限でのアクセスも可能になってしまう」という。
2014年中盤以前に発売されたOS X搭載Macはこの脆弱性を持つ
新しいMacはこのセキュリティ欠陥の影響を受けることはないが、mid-2014(2014年中盤)以前のMacは、コンピュータをスリープモードにすることは脆弱性を持つことになる。Vilaca氏は2015年よりも前のMacBook Air、MacBook Pro 8.2、MacBook Pro Retinaでこの脆弱性があることを確認している。Appleから配布されている現状最新のEFIをインストールしていたとしても。
Vilaca氏によれば、この攻撃に対する完全な対策はできないが、ユーザは少なくともOS Xの設定をスリープモードに入らないように変更することができるという。またMacユーザもそれほど心配することはないとしている。なぜならこの攻撃ツールは非常に複雑で、Vilaca氏以外の外部に漏洩されることはなく、また大きく世界に広がるようなこともないという。
画蛇添足 One more thing…
Vilaca氏によればこのツールが公開されることはないということだが、既にハッカー達に「このようなやり方がある、OS Xにはこのような脆弱性がある」というヒントを与えてしまったことは確かなので、2014年中盤以前のAppleのOS Xデバイスをお持ちの方は、できるだけ自分の身は自分で守った方がいい。というわけでできるだけスリープモードは使わないことをオススメしたい。私は今のところmid-2014のMacBook Proをメインで使っているのだが、2015年よりも前のMacでは脆弱性があるということなので、mid-2014の私のMacBook Proも恐らく脆弱性があるのだろう。。ちょっと不安。
ちなみにスリープにしない設定は、OS Xのシステム環境設定>省エネルギーを開き、
“ディスプレイを切にするまでの時間”を一番右の「しない」に設定し、”ディスプレイが切のときはコンピュータを自動でスリープさせない”のチェックボックスをオンにしておく。
電源アダプタに接続中にPower Napを入にする、もオフにしておいた方がいいかもしれない?
記事は以上。
(記事情報元:Slash Gear)