ハードウェアの開発や製造の専門家が、高度な技術を持つ攻撃者を育成する土壌となり得るある詐欺を紹介した。誰もが引っかかる可能性があるその詐欺の内容は。
2025年4月、サイバーセキュリティに関する年次イベント「Black Hat Asia 2025」において、バニー・ファン氏が講演した。『The Hardware Hacker: Adventures in Making and Breaking Hardware』の著者であるファン氏は、ハードウェアの開発や製造に精通する「ハードウェアハッカー」だ。講演では、Appleも被害にあったある詐欺の手口が明らかになった。同氏が警鐘を鳴らすその詐欺の手口と危険性とは。
保証詐欺は、製品/サービスの販売店やメーカーが提供する修理、交換といったサービスを悪用して利益を得る行為だ。ファン氏は、比較的単純な手口である保証詐欺が、高度な攻撃を仕掛ける技術を持つ人材を生み出していると主張した。ソフトウェアの脆弱(ぜいじゃく)性を悪用する犯罪行為は複雑で時間がかかる。一方、ハードウェアを使った保証詐欺は即時的に収益を得られるため、攻撃者にとってはソフトウェアを使った攻撃よりも魅力的だという。
ファン氏は講演で、ハードウェアを使った保証詐欺の手口について説明した。その手口は、製品に共通する製造上の欠陥を特定し、その欠陥に関連するエラーコードを発生させる方法を学ぶ。次に、容易に入手できる廃品から欠陥を再現するハードウェアを組み立て、それを販売店やメーカーに送って新品と交換させるというものだ。
講演でファン氏は、Appleのスマートフォン「iPhone」やタブレット「iPad」に表示される「エラー53」を例に挙げた。エラー53は、Apple以外のサードパーティーベンダーの部品を使って指紋認証機能「Touch ID」を修理したとき、iPhoneやiPadが使えなくなった場合に表示されるエラーだ。同氏によると、攻撃者はエラー53が表示されたiPhoneを入手し、Appleに修理を依頼する。修理から戻ってきたiPhoneを売り、差分から利益を得る。
この不正で得られる利益は1回につき1000ドル程度だ。保証詐欺によってAppleが被った損失は数十億ドルに上るとの報告もある。「1つの手口を使った保証詐欺の被害額は、一部のランサムウェア攻撃で獲得できる収益に匹敵する場合がある」と同氏は強調した。
「iPhoneに手を加えた人物と修理を依頼した人物は異なる場合があり、そこには仲介者が介在している」とファン氏は述べた。この手口を支える背景として、同氏は中国に存在する修理市場を例に挙げた。そこには、廃棄されたハードウェアから回収された部品が並ぶ店舗が軒を連ねる地区がある。同氏はそこに存在する、あらゆるものから最大限の価値を引き出す姿勢を挙げて、「市場が電子廃棄物を金鉱に変えた」と述べた。
ファン氏は、ハードウェアの改造、修理、再利用を繰り返すことで、攻撃者は脆弱性を深く理解すると説明する。「修理をする技術者は、製造上の欠陥を特定して悪用する絶好の立場にいる」と同氏は述べる。偽造したmicroSDや、ラベルを貼り替えた「FPGA」(Field Programmable Gate Array:書き換え可能な集積回路)を例に挙げ、偽造品や粗悪品が容易にサプライチェーンに侵入する可能性も示唆した。
「ハードウェアに関連する脅威は常に変化し、局所的に発生する」とファン氏は警告する。同氏によると、ハードウェアを使った攻撃は不規則に起こり、攻撃者の素性をつかみにくい場合があるため、攻撃を検出することは簡単ではない。これらの攻撃を検出するには、同じ時期に製造された製品群の全製品を検品する必要がある。
こうした攻撃への対処として、ファン氏は「IRIS」(Infra-Red, In Situ:赤外線によるシリコンのその場検査)を紹介した。IRISは、短波赤外線(SWIR:Short Wavelength Infrared)を使用して、組み立て後の製品を破壊せずに内部を検査する手法だ。
ファン氏はIRISに関する研究を実施し、成果をオープンソース化しようとしている。その理由について、同氏は「脅威が発生した際の対抗手段があることを周知するためだ」と説明した。続けて、「400ドル程度の予算を使って工作できる環境があれば、ハードウェアの設計図の原本とハードウェアを比較して、初期段階の脅威を検出できる」と述べた。
ファン氏は、保証詐欺が悪質な内容へと変化する可能性にも言及した。ハードウェアのラベルを貼り替えるといった単純な作業から、暗号回路への検出が困難な改変まで、チップに対するさまざまな攻撃について概説し、「サプライチェーンの攻撃者がチップを狙い始めたらどうなるだろうか」と問いかけた。
ファン氏は、保証詐欺対策の強化、マクロ経済の変化、「持続的標的型脅威」(APT:Advanced Persistent Threat)がきっかけとなり、攻撃の手法が増加したり、強度が高まったりする可能性があると指摘した。国家が主体となり、高度なスキルを持つ攻撃者を取り込んで利用する危険性についても警告した。「誰かがある人物にUSBメモリを渡すだけでも大きな影響を与える恐れがある。小さな行動の力を甘く見てはいけない」(同氏)
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
