ハードウェアの開発や製造の専門家が、高度な技術を持つ攻撃者を育成する土壌となり得るある詐欺を紹介した。誰もが引っかかる可能性があるその詐欺の内容は。
2025年4月、サイバーセキュリティに関する年次イベント「Black Hat Asia 2025」において、バニー・ファン氏が講演した。『The Hardware Hacker: Adventures in Making and Breaking Hardware』の著者であるファン氏は、ハードウェアの開発や製造に精通する「ハードウェアハッカー」だ。講演では、Appleも被害にあったある詐欺の手口が明らかになった。同氏が警鐘を鳴らすその詐欺の手口と危険性とは。
保証詐欺は、製品/サービスの販売店やメーカーが提供する修理、交換といったサービスを悪用して利益を得る行為だ。ファン氏は、比較的単純な手口である保証詐欺が、高度な攻撃を仕掛ける技術を持つ人材を生み出していると主張した。ソフトウェアの脆弱(ぜいじゃく)性を悪用する犯罪行為は複雑で時間がかかる。一方、ハードウェアを使った保証詐欺は即時的に収益を得られるため、攻撃者にとってはソフトウェアを使った攻撃よりも魅力的だという。
ファン氏は講演で、ハードウェアを使った保証詐欺の手口について説明した。その手口は、製品に共通する製造上の欠陥を特定し、その欠陥に関連するエラーコードを発生させる方法を学ぶ。次に、容易に入手できる廃品から欠陥を再現するハードウェアを組み立て、それを販売店やメーカーに送って新品と交換させるというものだ。
講演でファン氏は、Appleのスマートフォン「iPhone」やタブレット「iPad」に表示される「エラー53」を例に挙げた。エラー53は、Apple以外のサードパーティーベンダーの部品を使って指紋認証機能「Touch ID」を修理したとき、iPhoneやiPadが使えなくなった場合に表示されるエラーだ。同氏によると、攻撃者はエラー53が表示されたiPhoneを入手し、Appleに修理を依頼する。修理から戻ってきたiPhoneを売り、差分から利益を得る。
この不正で得られる利益は1回につき1000ドル程度だ。保証詐欺によってAppleが被った損失は数十億ドルに上るとの報告もある。「1つの手口を使った保証詐欺の被害額は、一部のランサムウェア攻撃で獲得できる収益に匹敵する場合がある」と同氏は強調した。
「iPhoneに手を加えた人物と修理を依頼した人物は異なる場合があり、そこには仲介者が介在している」とファン氏は述べた。この手口を支える背景として、同氏は中国に存在する修理市場を例に挙げた。そこには、廃棄されたハードウェアから回収された部品が並ぶ店舗が軒を連ねる地区がある。同氏はそこに存在する、あらゆるものから最大限の価値を引き出す姿勢を挙げて、「市場が電子廃棄物を金鉱に変えた」と述べた。
ファン氏は、ハードウェアの改造、修理、再利用を繰り返すことで、攻撃者は脆弱性を深く理解すると説明する。「修理をする技術者は、製造上の欠陥を特定して悪用する絶好の立場にいる」と同氏は述べる。偽造したmicroSDや、ラベルを貼り替えた「FPGA」(Field Programmable Gate Array:書き換え可能な集積回路)を例に挙げ、偽造品や粗悪品が容易にサプライチェーンに侵入する可能性も示唆した。
「ハードウェアに関連する脅威は常に変化し、局所的に発生する」とファン氏は警告する。同氏によると、ハードウェアを使った攻撃は不規則に起こり、攻撃者の素性をつかみにくい場合があるため、攻撃を検出することは簡単ではない。これらの攻撃を検出するには、同じ時期に製造された製品群の全製品を検品する必要がある。
こうした攻撃への対処として、ファン氏は「IRIS」(Infra-Red, In Situ:赤外線によるシリコンのその場検査)を紹介した。IRISは、短波赤外線(SWIR:Short Wavelength Infrared)を使用して、組み立て後の製品を破壊せずに内部を検査する手法だ。
ファン氏はIRISに関する研究を実施し、成果をオープンソース化しようとしている。その理由について、同氏は「脅威が発生した際の対抗手段があることを周知するためだ」と説明した。続けて、「400ドル程度の予算を使って工作できる環境があれば、ハードウェアの設計図の原本とハードウェアを比較して、初期段階の脅威を検出できる」と述べた。
ファン氏は、保証詐欺が悪質な内容へと変化する可能性にも言及した。ハードウェアのラベルを貼り替えるといった単純な作業から、暗号回路への検出が困難な改変まで、チップに対するさまざまな攻撃について概説し、「サプライチェーンの攻撃者がチップを狙い始めたらどうなるだろうか」と問いかけた。
ファン氏は、保証詐欺対策の強化、マクロ経済の変化、「持続的標的型脅威」(APT:Advanced Persistent Threat)がきっかけとなり、攻撃の手法が増加したり、強度が高まったりする可能性があると指摘した。国家が主体となり、高度なスキルを持つ攻撃者を取り込んで利用する危険性についても警告した。「誰かがある人物にUSBメモリを渡すだけでも大きな影響を与える恐れがある。小さな行動の力を甘く見てはいけない」(同氏)
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
ランサムウェア攻撃は、生成AIを活用してますます巧妙化している。このような中で有効なのが、ゼロトラストセキュリティの原則に基づいた防御の戦略だ。本資料では、その戦略を5つのステップで解説する。
多くのセキュリティ担当者は、日々進化するサイバー脅威と複雑化するIT環境のはざまで対応を迫られている。本資料ではその現状を、ITおよびセキュリティのプロフェッショナルへの調査で明らかにし、打開策を考察する。
フィッシング攻撃は日々高度化し、特に生成AIの活用による偽装技術の向上や攻撃手法の巧妙化が進んでいる。本資料では、フィッシング攻撃のトレンドや事例を紹介するとともに、防御のベストプラクティスについて考察する。
従来のセキュリティ製品は、境界やエンドポイントの保護に重点を置いており、ネットワークレイヤーの保護は難しい。ハッカーはこの“ギャップ”を悪用するため、ネットワークトラフィックに潜む異常をリアルタイムに検知することが重要だ。
大企業のIT部門を対象に行ったセキュリティ対策に関する調査によると、未知の脅威への検知対策を行っているものの、その対策に不安を感じている企業は少なくないという。大企業はどのようなセキュリティの課題を抱えているのか。
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
