パスワードを忘れた? アカウント作成
10038449 story
ソフトウェア

ビデオカードの中に隠されたマルウェアを見つけ出せ 21

ストーリー by hylom
いたちごっこ 部門より
あるAnonymous Coward 曰く、

「通常のセキュリティソフトでは検出できない」というマルウェアの存在が明らかになり、その脅威に対する研究も進められているという(SCMagazinePatrick Stewin氏論文本家/.)。

問題とされているのは、ビデオカードやネットワークカードといった周辺機器に常駐するマルウェア。ベルリン工科大学のPatrick Stewin氏によると、ハードウェア周辺機器で使用されるダイレクト・メモリ・アクセス(DMA)を利用する仕組みのマルウェアは、オペレーティングシステムに存在する脆弱性を悪用しなくてもシステムを損壊できる重大な脅威となるという。しかし、こうした仕組みのマルウェアは、これまでウイルスソフトの検出対象にはならなかった。

特別なハードウェアを利用することで、これらマルウェアを検出する技術は今までもあったが、同氏は一般的なPCにおいてもDMAに仕込まれた精巧なマルウェアを発見できるシステムの概念を考え出したという。それを実証するために実際に動作するマルウェアを作って検証を行っているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by goph (45653) on 2013年10月01日 10時02分 (#2469100)
    イラネーよ/捨てたら? とさんざんまわりから言われていたPermediaやVoodoo Rushなどの私のビデオカードコレクションが役に立つ時がきたわけだ!(きてない)
  • 周辺機器への感染経路はどのようなものが想定されるんだろう。
    出荷時に感染済み、というのはどうしようもないとして。
    OS上で実行されたマルウェアが自分をファームウェアとかに書き込んだりする、ということなんでしょうねぇ。

    きっと、それは周辺機器の脆弱性なわけで、
    将来、周辺機器の脆弱性が報告されてCVEの番号が振られるのが当たり前になるんでしょうか。
    • by gesaku (7381) on 2013年10月01日 10時11分 (#2469106)

      ルータとかはバックドア仕込まれて外からいたずらされる可能性がありそうですね。
      あとarduinoの類も、ROM容量が増えてくると脅威になるかも。
      スケッチ自体は無害でも、IDEが汚染されていてブート領域が怪しいプログラムに
      入れ替わっていてもユーザーは気づきにくいですし。

      #プログラミング可能なマッサージチェアとか出てきたら殺人事件が起きたりしてgesaku

      親コメント
    • by Anonymous Coward

      ドライバがファームウエアをロードするようなものは沢山あるから、ファームウエアの配布バイナリに感染させておけばいいですね
      初期コードを持つタイプでも、生産用バイナリに感染できれば出荷時から感染済み。
      そういえばUSBメモリの工場出荷イメージが感染していたというのが何度かありましたね。

    • by Anonymous Coward

      中古品とかやばそうだな、オークションサイトも

  • by Anonymous Coward on 2013年10月01日 7時22分 (#2469019)

    > それを実証するために実際に動作するマルウェアを作って検証を行っているとのこと。

    1990年代に噂された都市伝説、
    「コンピュータウィルスを作っているのは、実はウィルス対策製品の開発会社」
    ってのを思い出した

  • by wakatonoo2 (30019) on 2013年10月01日 7時31分 (#2469021) 日記

    キツネ(北米)とタヌキ(中国)のばかしあいってとこか。
    俺がやってるんだから、おまえも信じられないというジャイアニズムかも

    『Windows 7』の「バックドア」に関する噂、Microsoft が否定 [internet.com]

    Windows 7 がリリースされたことを受けて、NSA は Microsoft とともにセキュリティ構成の指針を作成したとも Schaeffer 氏は述べている。
    一方、Microsoft は、噂されているような事実関係を強く否定している。
    「Microsoft は、これまで Windows に『バックドア』を仕掛けたことも、またこの先仕掛けることもない」と、同社広報は取材に対し Eメールで声明を寄せた。

    Windowsにはバックドア(裏口)が用意されていて、NSAがその気になればいつでものぞき見可能(英文) [beforeitsnews.com]

    国家安全保障局(NSA)は、連邦法施行に従ってwindows 95のリリース以来すべてのウィンドウズ・ソフトウェアに秘密にアクセス可能です。セキュリティ専門家はそのドライバを ADVAPI.DLL であると確認しました。このドライバは C:\\Windows\systemに位置していて2個の異なるキーを含んでいます。
    1つはウィンドウ中の暗号機能をコントロールするために使われ、もうひとつのキーがNSAに属しています。ウィンドウズの内部の秘密鍵を持てばNSAは一瞬に簡単に不正なセキュリティプログラムをロードして、あなたのWindowsをコントロール下に置くことができると言います。

    米政府、HuaweiとZTEの通信インフラを導入しないよう推奨 [ascii.jp]

    「われわれの重要なシステムに入り込むバグ、ビーコン、バックドアなどはすべて、破壊的、壊滅的なシステムダウンのドミノ効果につながるリスクがある。レポートが示すように、HuaweiとZTE、および2社が共産主義の中国政府とのつながりについて、われわれは深刻な懸念を抱いている。中国はサイバー諜報活動の主要な犯人がいる場所として知られており、今回の重要な調査の後も、HuaweiとZTEに対してわれわれが抱く深刻な懸念を払拭することができなかった」と記している。

    • by T.Sawamoto (4142) on 2013年10月01日 10時08分 (#2469104)

      # 情報元のセキュリティ専門家氏が間違えているかどうかまでは分からないのですが……。

      なんで "ADVAPI.DLL" なのかなあ、と。
      これ、少なくとも Windows 95 の時点で既に "ADVAPI32.DLL" のはずです。
      (64ビット版 Windows でも相変わらず "ADVAPI32.DLL"。Win16 時代はどうだったかな?)
      「ヤバいかも」というDLLを挙げるのに、ファイル名を間違っちゃいかんでしょう。

      しかもこの "ADVAPI32.DLL"、重要なAPIを含んだライブラリではあっても、ドライバとは言い難いような……。
      (少なくともデバイスドライバではない)
      DLL の説明は "Advanced Windows 32 Base API"ですし。

      親コメント
  • by Anonymous Coward on 2013年10月01日 9時12分 (#2469067)

    ネットワークボードやグラフィックボードのように着脱式の場合、調子が悪くて機器を取り外し、調子が戻るケースは、ボードの故障として処理される訳で、今までもウィルスが悪さをしていたケースが在るのか無いのか、気になる。
    つい先日、ネットワーク関連で気になるトラブルがあったので。

  • by Anonymous Coward on 2013年10月01日 9時57分 (#2469094)

    PCI Express を外部に伸ばしたようなバスは怖い気がする。
    悪意を持ったコードをDMA使って流し込むような液晶モニターが出来たりして。

  • by Anonymous Coward on 2013年10月01日 14時54分 (#2469317)

    中古のiPhone、iPad、iPod Touchや、Android端末も怪しいのが紛れてますね。

    日本の場合は、前に端末を使っていた人間が
    知ってか知らずか
    脱獄やroot取得後に怪しいアプリが入った状態で中古屋に売った結果のようですが、
    諸外国ではどうなっているのやら。

    • by Anonymous Coward

      とりあえずjailbreak/rootの後にswipeしてROM焼きなおせば、かなりokではないでしょーか。
      それこそ今回あるようなGPUへの感染とかも可能性はあるけど、ROMを焼いちゃえばそう簡単には動けないような。

      つまり、ROM焼きは諸国民の権利ということで。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...