ニュース

ハードウェア攻撃は通常ニュースになりませんが、見出しを飾ることもあります。ハードウェアへの物理的なアクセスは困難ですが、不可能ではありません。結局のところ、これは企業スパイ活動、金銭の脅迫、重要文書の盗難などの手段となり得ます。以前のブログ記事を読んだ方は、 ハードウェアを保護することがなぜ重要なのかを理解したら、一般的なハードウェアの脅威とその回避方法を学ぶことに興味があるかもしれません。

サブシステムの脆弱性

データセンターとサーバーを物理的に遮断するために必要な対策をすべて講じているかもしれません。資格情報と許可を持たない人は、事実上サーバーにアクセスできません。さらに、ソフトウェアとネットワークを保護するために必要な予防措置も講じているはずです。これは、主要システムが保護されていることを意味します。

しかし、犯罪者は保護されたシステム外のサブシステムを介してサイドチャネル攻撃を仕掛ける可能性もあります。例えば、ほとんどの一般的なハードドライブは取り外して別のコンピュータに接続できるため、すべてのファイルにアクセスできるようになります。

次の戦略は、サブシステムのセキュリティを向上させるのに役立ちます。

暗号通貨の加速

暗号アクセラレーションは、ソフトウェアではなくハードウェアで暗号機能を実行する周辺機器です。これにより、暗号化はハードウェアレベルで行われ、悪用される可能性のあるソフトウェアの脆弱性が排除されます。実際、AESソフトウェアには、ハッカーによる解読を容易にする悪意のあるコードが挿入される可能性があります。一方、AESハードウェアは影響を受けません。

真の乱数ジェネレータ

Wi-Fiネットワークに接続するための認証デバイスとして、「ランダムコードジェネレータ」を使用したことがありますか？これらのランダムコードジェネレータは、予想以上に多くのケースで、簡単に予測または推測できるパターンに従っています。ほとんどのジェネレータは、時間を基準にコードを生成します。製品の製造日や初回電源投入日が分かれば、コードから推測できるかもしれません。しかし、時間は真のランダム要素ではありません。企業をあらゆるレベルで保護したいのであれば、ランダムコードジェネレータが真にランダムであることを保証する必要があります。そのためには、ランダムでない要素に基づいていないことを確認する必要があります。

メモリ暗号化

メモリとメッセージの暗号化は、人類の歴史において古くから行われてきました。様々な時代、様々な文化において、秘密を守るための暗号化デバイスが発明され、その利点を活用してきました。暗号はその一例に過ぎません。最新の技術革新により、ROMとRAMを暗号化することで、適切なハードウェアがなければデータへの不正アクセスを防ぐことができます。また、ファームウェアの複製を防ぐ読み取り保護ビットを備えたマイクロコントローラーも数多く存在します。さらに、市販のフラッシュメモリや外付けハードドライブにも暗号化機能が備わっているものがあります。メインシステムやサーバーと同様に、サブシステムやサイドチャネルを保護することも重要であることを忘れないでください。

セキュアブート

システムを根本から保護したいのであれば、プロセッサから始める必要があります。プロセッサは正規のコードと悪意のあるコードの両方を実行できます。そのため、プロセッサが正規のコードと悪意のないコードのみを実行することを保証する必要があります。システムのコアとなるブートコードは真正性を検証できませんが、後続のブートステージは検証可能です。そして、犯罪者はそこに悪意のあるコードを注入しようとします。

ブートをセキュアにする一つの方法は、変更不可能でコードインジェクション攻撃を受けないコードを実行することです。このコードは、ロードするアプリケーションをチェックし、コードの整合性を確認します。悪意のあるコードがインジェクションされている場合、システムは制限された状態で実行されるか、オペレーティングシステムに警告を発します。これにより、ブートが保護されます。

信頼ゾーン

この戦略はセキュアブートと関連しており、プロセッサが実行しているコードが本物かどうかを検証するのに役立つという点でも優れています。CPU命令のほとんどは無害ですが、中には危険なものもあり、ハードウェア、スタックポインタ、あるいは重要なシステムへのアクセスを提供する可能性があります。今日では、多くのSoCやマイクロコントローラはコード内のトラストゾーンを活用しています。これにより、OSはすべての命令に対して最高のアクセス権を持ち、プロセスは命令実行に対して低いアクセス権を持ち、機密性の高い命令にはアクセスできません。その結果、悪意のあるコードが挿入されたとしても、プロセッサ上の重要なシステムに損害を与えたり攻撃したりする可能性が低くなります。

タンパーピン

一般的なハードウェア攻撃には、デバッグポートやメモリチャネルなどのI/Oにアクセスするために部品を物理的に取り外す攻撃が含まれます。これらの攻撃をどのように回避するのでしょうか？タンパーピンを実装する方法があります。これらのピンは、筐体の開閉など、外部の機械的なイベントを検出できます。検出されると、タンパーピンはプロセッサに再起動などの特定のルーチンの実行を指示し、機密データの読み取りを防止したり、メモリを完全に消去したりします。タンパーピンは、特定の機能を持たないように見せかけた目立たないピンに偽装することで、攻撃者による検出を回避できます。

バスモニター

ハードウェア保護における最新の技術的進歩、それがバスモニターです。これらのバスは通常、マイクロコントローラのSoCに統合され、システムとは独立して動作します。さらに、バスモニターはI/Oピン、レジスタ、内部データバス、プログラミングポートなど、複数のデバイスやバスと相互接続されています。通常動作中、バスはダイの内部接続を利用して定常状態を監視・学習します。攻撃者が悪意のあるコードを挿入したり、定常状態が乱れたりした場合、バスモニターは異常に対処します。場合によっては、オペレーティングシステムで例外が発生したり、システムが再起動したりします。最先端のバスモニターは、潜在的な悪意のあるリクエストをプロセッサから迂回させ、攻撃試行をログに記録しながらnull値を返すことができます。

ハードウェア保護を強化するための7つの戦略と手法が、皆様の業務に役立つことを願っています。分散型インフラストラクチャ、IoTアプリケーション、エッジコンピューティング機器では、機器が制限区域外に設置されている可能性があるため、サブシステムとサイドチャネルの保護が特に重要です。そのため、空港、病院、自動化された工場や倉庫、銀行、小売店などは、ハードウェア攻撃の影響を受けやすい可能性があります。

もっと詳しく知りたいですか？ブログをご覧ください 施設にハードウェア強化を適用する5つのヒント または学ぶ ハードウェアOEMがハードウェアレベルからどのようにビジネスを保護できるか。 詳細については、サイバーセキュリティ ブログ シリーズをご覧ください。