エアギャップ[1]とは、コンピュータネットワークにおいてセキュリティを高める方法の一つ。安全にしたいコンピュータやネットワークを、インターネットや安全でないLAN[2]といったネットワークから物理的に隔離することを指す。エアギャップという語は、コンピュータやネットワークが、他のネットワークから(概念上の「空隙」で)電気的に切断されていることを意味している。
セキュリティクラスの設定された環境での利用
エアギャップで守られているコンピュータやネットワークには、有線にしろ無線にしろ、外部のネットワークに接続されたネットワークインタフェースは存在しない。一般的なコンピュータの場合、有線ネットワークに接続していなかったとしても、実際には無線ネットワークインタフェース(Wi-Fi)を通じてインターネットに常時接続し、ソフトウェアをアップデートしていることが多いが、これはセキュリティ上の脆弱性に繋がる。
2つのネットワークやデバイスが、異なるセキュリティクラスの情報を扱っている場合、セキュリティクラスのより低い情報を扱っている方は"low side"、セキュリティクラスのより高い情報を扱っている方は"high side"と呼ばれる(セキュリティクラスの付与された情報を"red"、付与されていない情報を"black"と呼ぶこともある)。エアギャップで守られているシステムと、外の世界との間でデータを移動するには、データを物理的なメディアに書き込んで、物理的に移動する必要がある。典型的な(Bell-LaPadulaモデル)に基づく場合、セキュリティクラスの低いほうから高いほうへは最小限の手続きだけでデータを移動できる一方で、高いほうから低いほうへデータを移動する際はセキュリティクラスの高い情報を守るためにより厳格な手続きが必要となる。
この考えかたは、ひとつのネットワークを他のネットワークから守りたい場合、(デバイスの電源を切るという方法を除けば)もっとも堅固な防御のひとつである。エアギャップで守られているシステムにおいて、外の世界とデータを転送する唯一の方法は、データをリムーバブルディスクやUSBフラッシュドライブなどのリムーバブルメディアに書き込んで、物理的に移動させる方法である。この種のアクセスはより容易にコントロールできる。この方法のメリットは、一般的にそのようなネットワークを、外の世界からアクセスできない(情報セキュリティ、信号セキュリティ、放射セキュリティの分野における)クローズドシステムとみなすことができる点にある。一方で、この方法のデメリットは、セキュアなネットワークで処理される情報を外の世界から転送する作業が非常に労働集約的である点にある。エアギャップに守られたネットワークへ入ってくるプログラムやデ[3]。
Stuxnet[4]や(agent.btz)のようなマルウェアは、リムーバブルメディアの処理に関連したセキュリティホールを突いてエアギャップを越えることが知られている。また、音を使った通信によってエアギャップを越える手法が研究者によって実証されている[5]。FM周波数信号を使ってデータを盗み出す方法の実現可能性を実証した研究もある[6][7]。
事例
エアギャップで守られているシステムとしては以下のような実例が挙げられる。
- 以下に示すような、非常に単純で、そもそもセキュリティに関して考慮する必要がないシステム
- エンジンコントロールユニットなど、自動車のCANバスに接続されているデバイス
- 家庭用空調機や冷蔵庫で温度やコンプレッサーを制御するデジタルサーモスタット
- 芝生の水やり用の電子制御式スプリンクラー
インターネットに接続できるサーモスタットや、Bluetooth・Wi-Fi・携帯電話網への接続が可能な自動車など、近年ではこのようなシステムの多くにはパブリックなインターネットに接続する機能が付け加えられており、もはや事実上エアギャップに守られているとはいえない状況である。
エアギャップの制約
エアギャップに守られた環境を作るには、セキュアなネットワークに対する無線ネットワーク接続を禁止したり、(TEMPEST)やファラデーケージを使ってセキュアなネットワークからの電磁波の漏れを防止したりする必要がある。
さらに、2013年には研究者によってエアギャップによる隔離を音を使った通信によって突破する(エアギャップ・マルウェア)の実現可能性が実証されている。[12]
またそのすぐ後には、ネットワークセキュリティ研究者の(Dragos Ruiu)による(BadBIOS)が注目を集めている。[13]
2014年には、研究者によってAirHopperが提案された。これは、隔離されたコンピュータから近傍にある携帯電話へFM変調した信号を送ってデータを盗み出す方法の実現可能性を示した。[6][7]
2015年には、温度を制御することでエアギャップに守られたコンピュータ間で通信を行う内密チャネルBitWhisperが提案された。BitWhisperは双方向通信をサポートしており、専用のハードウェアを追加する必要もない。[14][15]
2015年後半には、研究者によってGSMemが提案された。これは、携帯電話の周波数帯を使って、エアギャップで守られたコンピュータからデータを盗み出す手法である。データの送信には、一般的な内部バスで電波を生成することで、コンピュータを携帯電話の送信アンテナとして使う。[16][17]
2016年に発見されたマルウェアProjectSauronは、感染したUSBデバイスを用いてエアギャップに守られたコンピュータからデータを漏洩させる方法を示した。このマルウェアは5年のあいだ検出されずにいた。Windowsからは見えない隠しパーティーションを、エアギャップで守られたコンピュータとインターネットに接続されたコンピュータとのあいだの通信チャネルとして使っており、この隠しパーティーションは、互いのシステムのあいだでファイルを共有するのに使用されていたと見られる。[18]
一般的に言って、マルウェアはさまざまなハードウェアを組み合わせて"air-gap covert channels"を構成し、機密情報をエアギャップで守られたコンピュータから抜き出すことができる。[19] このようなケースでは、エアギャップを乗り越えるために、音、光、振動、磁気、温度、無線周波数などさまざまな媒体が利用される。[20][21]
関連項目
参考文献
- ^ Whatis.com: Air gapping
- ^ [rfc:4949 RFC 4949 Internet Security Glossary, Version 2]
- ^ Lemos, Robert (2001年2月1日). “NSA attempting to design crack-proof computer”. ZDNet News. CBS Interactive, Inc.. 2012年10月12日閲覧。 “For example, top-secret data might be kept on a different computer than data classified merely as sensitive material. Sometimes, for a worker to access information, up to six different computers can be on a single desk. That type of security is called, in typical intelligence community jargon, an air gap.”
- ^ “Stuxnet delivered to Iranian nuclear plant on thumb drive”. CNET. (2012年4月12日)
- ^ Hanspach, Michael; Goetz, Michael (November 2013). “On Covert Acoustical Mesh Networks in Air”. Journal of Communications (Engineering and Technology Publishing) 8 (11): 758767. doi:10.12720/jcm.8.11.758-767 2013年11月22日閲覧。.
- ^ a b Guri, Mordechai; Kedma, Gabi; Kachlon, Assaf; Elovici, Yuval (November 2014). "AirHopper: Bridging the Air-Gap between Isolated Networks and Mobile Phones using Radio Frequencies". arXiv:(1411.0237)。
- ^ a b “How to leak sensitive data from an isolated computer (air-gap) to a near by mobile phone - AirHopper” (2014年11月). 2019年1月9日閲覧。
- ^ Rist, Oliver (2006年5月29日). “Hack Tales: Air-gap networking for the price of a pair of sneakers”. Infoworld. IDG Network. 2009年1月16日閲覧。 “In high-security situations, various forms of data often must be kept off production networks, due to possible contamination from nonsecure resources such as, say, the Internet. So IT admins must build enclosed systems to house that data stand-alone servers, for example, or small networks of servers that aren't connected to anything but one another. There's nothing but air between these and other networks, hence the term air gap, and transferring data between them is done the old-fashioned way: moving disks back and forth by hand, via '(sneakernet)'.”
- ^ “Weber vs SEC”. p. 35 (2012年11月15日). 2019年1月11日閲覧。 “Stock exchange internal network computer systems are so sensitive that they are “air gapped” and not attached to the internet, in order to protect them from attack, intrusion, or other malicious acts by third party adversaries.”
- ^ “Weber vs SEC”. 2019年1月11日閲覧。 “Industrial internal network computer systems are so sensitive that they are “air gapped” and neither attached to the internet nor insecurely connects to the corporate network, in order to protect them from attack, intrusion, or other malicious acts by third party adversaries.”
- ^ Zetter, Kim (2008年1月4日). “”. Wired Magazine. Condénet, Inc.. 2008年12月23日時点のオリジナルよりアーカイブ。2009年1月16日閲覧。 “(...Boeing...) wouldn't go into detail about how (...it...) is tackling the issue but says it is employing a combination of solutions that involves some physical separation of the networks, known as air gaps, and software firewalls.”
- ^ Hanspach, Michael; Goetz, Michael (November 2013). “On Covert Acoustical Mesh Networks in Air”. Journal of Communications 8: 758767. doi:10.12720/jcm.8.11.758-767.
- ^ Leyden, John (2013年12月5日). “Hear that? It's the sound of BadBIOS wannabe chatting over air gaps” 2014年12月30日閲覧。
- ^ Guri, Mordechai; Monitz, Matan; Mirski, Yisroel; Elovici, Yuval (April 2015). "BitWhisper: Covert Signaling Channel between Air-Gapped Computers using Thermal Manipulations". arXiv:(1503.07919)。
- ^ “BitWhisper: The Heat is on the Air-Gap” (2015年3月). 2019年1月11日閲覧。
- ^ “GSMem: Data Exfiltration from Air-Gapped Computers over GSM Frequencies” (2015年8月). 2019年1月11日閲覧。
- ^ “GSMem Breaking The Air-Gap” (2015年7月). 2019年1月11日閲覧。
- ^ Chris Baraniuk (2016年8月9日). “'Project Sauron' malware hidden for five years”. BBC
- ^ Carrara, Brent (September 2016). "Air-Gap Covert Channels." Ph. D. Thesis. University of Ottawa.
- ^ Carrara, Brent; Adams, Carlisle (2016-01-01). “A Survey and Taxonomy Aimed at the Detection and Measurement of Covert Channels”. Proceedings of the 4th ACM Workshop on Information Hiding and Multimedia Security. IH&MMSec '16 (New York, NY, USA: ACM): 115126. doi:10.1145/2909827.2930800. ISBN (9781450342902).
- ^ Carrara, Brent; Adams, Carlisle (2016-06-01). “Out-of-Band Covert ChannelsA Survey”. ACM Comput. Surv. 49 (2): 23:123:36. doi:10.1145/2938370. ISSN 0360-0300.