職場の「一部ネット接続できない規制PC」から機密データを盗むサイバー攻撃　米研究者らが発表

　米ボイシ州立大学などに所属する研究者らが発表した論文「Exploiting CPU Clock Modulation for Covert Communication Channel」は、インターネット接続を遮断された規制の厳しいPCであっても、CPUの処理速度を意図的に操作することで、一部のアプリケーションでひそかにデータをやりとりできる攻撃を提案した研究報告である。
　コンピュータをハッキングから守るためには「エアギャップ」と呼ばれる、ネットから物理的に分離したセキュリティ上の予防措置がある。また全てを遮断するのではなく、コンピュータ自体はインターネットに接続されているものの、機密性の高いアプリケーションはセキュリティ上の理由からインターネットへのアクセスを規制し、他の無害なアプリケーションは通常通りインターネットを利用できる環境もある。
　例えば、銀行の職員が顧客の口座情報を扱うアプリケーションはインターネットから隔離されているが、ブラウザやメールソフトなどは接続されており制限なく使える、といった環境である。本来、セキュリティポリシーが適切に運用されていれば、これらのアプリケーション間で直接データをやりとりすることはできない。
　しかし今回、研究者らはこの環境の脆弱性を発見した。注目したのは、IntelのCPUに搭載される「デューティサイクル変調」（Duty cycle modulation）と呼ばれる省電力機能だ。デューティサイクル変調とは、低速化して電力を節約したり、高速化して集中的なタスクを処理したりと、CPUの動作周波数を変化させて消費電力を調整する仕組みだ。この機能を使えば、アプリが扱う機密情報をCPUの挙動に変換し、規制の緩いアプリ経由でデータを外部送信できるという。
　攻撃者は、何らかの方法で機密情報を扱うアプリに悪意あるプログラムを仕込み、狙ったデータをCPUのデューティサイクルのパターンに変換する。一方、インターネット接続が可能なアプリにも別のプログラムを潜ませ、CPUのデューティサイクルの変化を監視させる。これらのことにより、デューティサイクルの変化からデータを復元し、外部に送信できる。
　実験では、1秒間に55.24ビットのデータを転送することに成功した。
　Source and Image Credits: Alam, Shariful, Jidong Xiao, and Nasir U. Eisty. “Exploiting CPU Clock Modulation for Covert Communication Channel.” arXiv preprint arXiv:2404.05823（2024）.
　※2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。X： ＠shiropen2