【イスラエル研究者、高度なデータ奪取のための「RAMBO攻撃」を発表】サイバー脅威と政策に関する重要ニュース

こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバー脅威や関連政策に関して重要なニュースを抜粋してお届けします。

以下、2024年9月9日付の韓国メディアの『dailysecu』の記事を翻訳・編集した内容になります。

에어갭 시스템 해킹해 데이터 탈취할 수 있는 RAMBO 공격 방법 발표돼

■イスラエル研究者、高度なデータ奪取のための「RAMBO攻撃」を発表

イスラエルの研究者がRAMで発生する電磁放射を悪用し、高度なセキュリティを誇るエアギャップコンピュータからデータを窃取する新しい方法を発表しました。
この攻撃はRAMBO（Radiation of Air-gapped Memory Bus for Offense）と命名され、インターネットなどのネットワークと切断されたシステムも完全に安全ではないという事実を突き付けました。

RAM（ランダムアクセスメモリ）は、コンピュータやスマートフォンなどの電子機器のデータを一時的に保存するメモリ装置です。主にCPUが実行するプログラムのデータやコマンドを素早く読み書きできるようにサポートする役割をします。

エアギャップシステムは、外部ネットワーク、特にインターネットと物理的に接続されていないコンピュータシステムを意味します。
このようなシステムは、セキュリティを最優先すべき環境で主に使用され、外部ネットワークとの断絶を通じてマルウェア、ハッキング、リモート攻撃などから保護されます。
特にエアギャップコンピュータは、外部ネットワークに接続されていないシステムのため、重要な任務が求められる政府機関、軍事施設、原子力発電所などで使用されています。
このようなシステムは隔離されており、マルウェアやデータの漏洩などから守られ安全だと考えられますが、内部スタッフの裏切りやUSBなど物理的な媒体を通じた感染の可能性は残っています。

◆RAMBO攻撃の動作原理

RAMBO攻撃は、エアギャップシステムにマルウェアを仕込み、機密情報を収集して送信するように機能します。このマルウェアはコンピュータのメモリアクセスパターン（読み書き操作）を操作し、RAMで発生する弱い電磁信号を生成します。この信号は、周囲の攻撃者がソフトウェア無線（SDR）などの低コスト機器を使用して簡単に受信できます。
RAMBO攻撃では、オンオフ変調（On-Off Keying、 OOK）方式を使用して1と0を電磁信号に変換します。
「１」は信号がオン状態、「０」はオフ状態です。研究者は、データ送信中にエラー検出と信号の同期を強化するためにマンチェスターコードを採用しました。攻撃者はこの電磁信号を捕捉して元のバイナリ情報に復元することができます。
この情報には、パスワード、暗号化キー、重要な文書ファイルなど、さまざまな機密データが含まれます。
RAMBO攻撃は少量のデータを転送するのに非常に効果的です。最大1,000bpsの転送速度を記録しました。これは1秒あたり128バイト（0.125KB / s）の速度です。
この速度はサイズの大きいファイルを奪取するには非効率的ですが、パスワード、キー入力、暗号化キーなどの重要なデータを奪取するのには十分です。
たとえば、研究者は4,096ビットRSAキーを4秒から42秒の間に引き出すことができることを証明しました。攻撃範囲は転送速度によって異なりますが、高速伝送の場合は最大3メートル（約10フィート）の範囲で動作し、遅い速度で伝送する場合は7メートル（約23フィート）まで範囲が拡張されます。
ただし、速度が速いほどエラー率が増加し、研究者は10,000bpsの速度で実験しましたが、5,000bpsを超えると信号対雑音比が低くなり伝送効率が大きく低下すると明らかにしました。

◆防御対策と挑戦課題

RAMBO攻撃は、既存のセキュリティ防御策では検出や遮断がしにくい点が特に懸念されています。この攻撃はRAMで発生する電磁信号を悪用しているため、ネットワークトラフィックやファイルシステムの改ざんを監視する従来のセキュリティツールでは把握するのが困難です。これを防ぐために、研究者はいくつかの防御対策を提案しました。
▲物理的セキュリティ強化：エアギャップシステム周辺のアクセスを制限する物理的防御を強化▲電磁妨害装置：電磁放射信号を妨害するデバイスを使って信号が捕捉されないようにする。
▲ファラデーケージ：エアギャップシステムをファラデーケージに入れ、電磁放射を外部から遮断する。
▲RAM信号の乱れ：RAM動作時の信号を妨害して電磁放射信号自体を乱す方法も提案された。

ですが、これらの対策はかなりの費用と運営上の負担を招く可能性があります。
例えば、ファラデーケージの設置は高価であり、メンテナンスが必要な環境では設置が困難です。更に、RAM信号の乱れはシステムのパフォーマンスに影響を与える可能性があるため、適用が困難です。
サイバーセキュリティの専門家は、RAMBOがサイドチャネル攻撃の精巧さを改めて確認させてくれたと述べています。RAMBOプロジェクトをリードしたモルデチャイ博士は、過去にもネットワークカード、USBドライブ、電源の信号を利用してデータを流出する方法を開発したことがあります。
博士は今回の研究を通じて、システムの物理的特性を悪用する攻撃が従来のセキュリティモデルでは見落とされやすいと警告しました。あるセキュリティ専門家は「エアギャップシステムがもはや完全に安全だとは言えない時代に入った」とし、「インターネットに接続されていないため、システムが安全であると信じるのはもう過去の話。物理的なセキュリティもネットワークセキュリティと同じくらい重要」と述べました。

専門家らは、RAMBOのデータ転送速度が遅いことに注目しています。これは大量のデータを奪取するのではなく、パスワードや暗号化キーなどのセンシティブなわずかなデータが主要ターゲットになる可能性が高いという警告です。
しかし、このような攻撃技術がさらに進化すれば、より迅速で効率的な方法でエアギャップシステムからデータを取り出す可能性も十分にあります。
RAMBOは、RAMの物理的特性を利用して、エアギャップシステムからデータを漏洩することができるサイドチャネル攻撃の新しい可能性を示しました。
転送速度は遅いですが、重要なデータをすばやく奪取する能力は非常に脅威的です。