こんにちは！またはこんばんは！

NOPにて社内外でサイバーセキュリティの啓蒙を行っておりますサンガワです。

前回同様、Black Hat USA 2024 の講演を紹介したいと思います。

今回は「脆弱性」に特化した講演を2つご紹介します！

1つはOT用機器（PLCおよびHMI）、もう1つはAndroid端末に関する脆弱性と、その攻撃例、対策に関する内容となります。

また今回も、講演内容から考えられる私の見解も併記したいと思います。

＜過去の Black Hat USA 2024 に関するブログは下記を御覧ください！＞

▲ 　こちらは、Black Hat USA 2024 とDEFCON32の速報レポートです。

▲ 　 こちらでは、「AI」「LLM」に関する講演を特集して紹介しております。

OTセキュリティの実態：PLCとHMIハッキングの実例

原題：From Exploits to Forensics Evidence - Unraveling the Unitronics Attack

講演者：Noam Moshe  |  Vulnerability Researcher, Claroty Team82

この公演の要約：
＜PLCとHMIに対する攻撃実例＞

・プレゼンターであるノアム氏は、様々なIoT機器の脆弱性を発見し公表する脆弱性研究者であると自己紹介。

・とある水道施設にある某海外メーカーのPLCとHMIがハッキングされ「YOU HAVE BEEN HACKED」と表示させるリバースエンジニアリングが行われた実例を紹介。

・ただ、この攻撃の目的は水道施設へのテロや身代金要求ではなく、施設に対し恐怖とパニックを植え付けることが目的だったと解説。

＜攻撃手法の解読とフォレンジック＞

・今回攻撃が行われたPLCとHMI間の通信は暗号化されておらず、弱いレベルの認証しか行われていませんでした。

・機器のデフォルトパスワードがすぐに推測できる文字列だったり、更に古いバージョンではパスワードが全くかかっていない事もあるなど、容易に侵入が可能となっていました。

・一方、PLCのようなイベントログや外部制御を持たない組み込みシステムからフォレンジックの証拠を抽出する事は容易ではなく難しいと指摘しました。

＜フォレンジックツールの開発と応用＞

・そこでノアム氏はPLCとHMI間で使われているPCOM(TCP)プロトコルを研究し、機器間のメッセージをスニッフするためのツールを開発し、可視化させました。

・その結果、フォレンジック証拠の抽出に必要となるメッセージや法則などが理解できました。（講演内では、具体的なメッセージや法則性も紹介）

・また、結果として「パスワードリセット命令を行える脆弱性」を発見し、パスワード保護されたPLCを突破できました。

・PLC内部のシグネチャログには、攻撃者のIPアドレスや接続文字列など、フォレンジックに必要な情報が見つかりました。今回のツールを用いることで、PLCのフォレンジックや攻撃者特定に役立てることができると解説。

まとめ：

・2024年の今日においても、PLCやHMIは脆弱性を持ったままだったり、弱レベルの認証でしか守られていないケースが多々あります。

・また一般的にはPLCやHMIから攻撃者を特定するようなフォレンジックを取得することは困難です。

・PLCやHMIへの攻撃の解析は、専用のプロトコルへの理解が重要となります。

■ 今回紹介されていた Noam氏によるPCOM-Toolsはこちら
https://github.com/ClarotyICS/PCOM-Tools

サンガワ的見解：

OT・IoT機器は、導入後に定期的にメンテナンスをしづらかったり、脆弱性管理や対応が難しい環境が多々あるのは日本国内でも同様かと思います。それらの機器の脆弱性や脅威を正確に検知・防御し、さらにアセットメントとしての機器管理まで網羅できる仕組みが、標的型攻撃が凶悪化する昨今求められています。

なお講演内容自体は、実にBLACKHATらしい技術的研究結果発表のサマリーとなっており見ていて面白かったです。

AndroidにおけるGPU脆弱性とその対策

原題：The Way to Android Root: Exploiting Your GPU on Smartphone
講演者：
Xiling Gong  |  Security Engineer, Google
Xuan Xing  |  Manager of Android RedTeam, Google
Eugene Rodionov  |  Technical Leader of Android RedTeam, Google

この公演の要約：

・Google社のAndroid向けレッドチームによる、Android向けGPUに含まれていた脆弱性の詳細、攻撃手法とその緩和策について解説しています。

＜GPUドライバに攻撃が集中する理由＞

・「Android向けチップセットで発見された脆弱性：CVE-2024-23380」を例に、Qualcomm チップセットのGPUに含まれた脆弱性により、root化が可能となる事例を紹介しています。

・従来Androidでは、特権ユーザーでなくてもGPUドライバにアクセスすることが可能でした。また、GPUドライバは非常に複雑でありバグを含む可能性がありました。

・Qualcomm社の公表するセキュリティ情報を分析したところ、四半期ごとに一定割合でセキュリティの問題が公開されており、しかもそのほとんどが比較的簡単なアクションで悪用可能なものでした。

＜GPUドライバーアーキテクチャと、脆弱性の悪用例＞

・GPUドライバーにおける「仮想バッファ・オブジェクト（VBO）」等、複雑性を伴うアーキテクチャを紹介。ただ、複雑な分、脆弱性を孕む可能性があります。

・結果として、CVE 2024-23380ではGPUの仮想アドレスを通じ、カーネルの空き物理ページにアクセスが可能となり、ヒープスプレー、カーネル空間へのミラーリング攻撃に悪用される事を技術的に詳しく解説していました。

＜今後どのようにこのような脆弱性を防げるか＞

・Google社内では手作業によるコードレビューやパッチ解析など、様々な方法で脆弱性を発見する努力をしているが、GPUドライバの想定外な脆弱性は、ハードウェアの依存関係・複雑な条件分岐などの問題から発見が困難となります。

・よって現在は、GPUドライバーインタフェースをサンドボックス化したり、攻撃を妨害するレイヤーを追加するなど、GPUドライバーのセキュリティを向上させる解決策を議論しています。

・「Rust」のようなメモリ安全性を実装したプログラミング言語は開発の助けになるかもしれないが、まだ発展途上であると所感を述べていました。

まとめ：

・Androidに搭載されるGPUドライバーは複雑な分、脆弱性を含む可能性があります。

・CVE 2024-23380のように、脆弱性が悪用された場合、メモリ空間を悪用され、Root化されるなどの懸念があります。

・Google社でもこの問題を解決するために、開発やレビューの見直しなど様々な工夫をしています。

サンガワ的見解：

モバイルデバイスは働き方の選択が増えるにつれビジネス用途でも普及が進んでいますが、そのデバイス自身もWindowsやLinuxとは異なる脆弱性が発生し、ゼロデイ攻撃の原因になりかねません。これはAndroid/iOS問わず起こりうることで、対策としてはMDMによる脆弱性管理に加え、ネットワークレベルや振る舞いレベルでの検知も可能な体制が求められるかもしれません。

最後に

以上、Black Hat USA 2024から、講演を一部ご紹介いたしました。次回ブログではまた別の講演を取り上げる予定ですので、ご期待ください。

脆弱性を突いたゼロデイ攻撃は年々巧妙かつ凶悪化しており、更に管理対象となるデバイスもPCのみならず、モバイル端末やIoT、OTレイヤーなど幅広くなっております。

弊社としましても、事例にあったような脅威情報や対策手法に関するキャッチアップを継続的に行い、新たなバリューの提供・価値創造に繋げていきたいと思います。

本記事の内容が、ご覧いただいた皆様のお役に立っておりましたら幸いです。

▲おまけ：ラスベガス初日、移動でくたくたの筆者。代え難い経験ができました！

■関連記事