https://wired.jp/2017/09/30/sd-card-hack/
2017.09.30 SAT 12:00

デヴァイスに物理的にアクセスされてしまえば、それを保護する手段はあまり残っていない──。デジタル製品のメーカーは、そう考えているようである。だが、「Exploitee.rs」として知られるセキュリティー研究者のグループは、こう指摘している。早々に諦めてしまえば、デヴァイスはハードウェアへの攻撃に対して脆弱なまま放置され、さらに大きな問題に見舞われる可能性がある、と。

研究グループは、デヴァイスのフラッシュメモリーに物理的な攻撃を仕掛けることで、そのデヴァイスに搭載されているソフトウェアのバグを簡単に発見できる手法を開発した。このような攻撃が行われれば、ハッキングを受けたデヴァイス単体だけでなく、同じモデルのすべてのデヴァイスが危険に晒されることになる。

Exploitee.rsのメンバーであるZenofex、0x00string、maximus64_といったハッカーたちは、ラスヴェガスで2017年7月に開催されたセキュリティーカンファレンス「Black Hat」で、このフラッシュメモリー攻撃のプレゼンテーションを行った。続いてハッカーのカンファレンス「DEF CON」で、コンシューマー製品に存在する未発見だった脆弱性（ゼロデイ脆弱性）を22種類も公表した。

製品の多くはホームオートメーションデヴァイスやIoTデヴァイスである。そのいくつかは、今回のフラッシュメモリー攻撃によって脆弱性が発見された。

Exploitee.rsのハードウェアハッカーであるCJ・ヘレスは、「わたしたちはこの手法について、もっと多くの人に知ってもらいたいと考えています。なぜなら、（攻撃を受けやすいフラッシュメモリーを搭載しているのに）誰にもチェックされていないデヴァイスがまだたくさんあるからです」と述べる。「また、メーカーはいまもこの種のフラッシュメモリーを使って製品をリリースしています。このフラッシュメモリーはまだ広く普及しているのです」

フラッシュメモリーに直にはんだ付け

フラッシュメモリーに保存されたすべての情報にアクセスするには、10ドル程度のSDカードリーダーと数本の電線、あとはちょっとしたはんだ付けの経験さえあればいい。Exploitee.rsの研究者たちが調査したのは、「eMMC」と呼ばれるタイプのフラッシュメモリーである。なぜなら、5つのピンに（電気的に）接続するだけで内部の情報にアクセスできるため、コストがかからず、作業が簡単だからだ。

具体的には、5本の電線（コマンドライン、クロックライン、データライン、電源ライン、接地ライン）をメモリーにはんだ付けする。これで読み取りと書き込みが可能になるため、データをこっそり取り出すことはもちろん、プログラムを書き換えてデヴァイス全体をコントロールすることさえできるようになる。

理論的には、この手法はフラッシュメモリーが使われているすべてのデジタルデヴァイスで有効なのだという。しかし、多くのタイプはワイヤーを接続すべきピンの数がeMMCより多い。また、特殊なリーダーやプロトコルがなければ内部の情報にアクセスできない。

「一般的なタイプのメモリーのほとんどは、本体を開けてはんだ付けし、あれこれ作業しようという気になりません。ものすごく面倒だからです」とヘレスは言う。「ところが、eMMCなら5本の電線だけでOKです。もちろん、はんだ付けは少々やっかいですが、不可能ではありません。40本も50本も電線を使うことはないのですから」

データ復旧サーヴィスを手がける企業によっては、すでにこの手法を利用して、壊れたデヴァイスからデータを取り出しているところもある。だが、この手法が広く知られているわけではない。

研究チームは、eMMCフラッシュメモリーに5本の電線をつなげるだけで、広く流通している安価なSDカードリーダーを接続することに成功した。eMMCフラッシュはSDカードの親戚のようなもので、SDカードと似たプロトコルを使用しているからだ。

eMMCフラッシュをSDカードリーダーに接続できれば、コンピューター側ではSDカードのようにドライヴとして認識する。そうすれば、ハッカーはメモリーに記録されたOS、ファームウェア、ソフトウェアをコピーし、コードに含まれるソフトウェアの脆弱性を探し出せるようになるのだ。