新たなRAMBO攻撃、エアギャップされたコンピュータのRAMを使ってデータを盗む

RAMBO」（Radiation of Air-gapped Memory Bus for Offense）と名付けられた新しいサイドチャネル攻撃は、デバイスのRAMから電磁放射を発生させ、エアギャップ・コンピュータからデータを送信する。

通常、政府機関、兵器システム、原子力発電所など、極めて高度なセキュリティが要求されるミッションクリティカルな環境で使用されるエアギャップシステムは、マルウェア感染やデータ盗難を防ぐため、一般のインターネットやその他のネットワークから隔離されている。

これらのシステムは広範なネットワークには接続されていないものの、不正な従業員が物理的なメディア（USBメモリ）を介してマルウェアを持ち込んだり、国家権力者が行う巧妙なサプライチェーン攻撃によって感染する可能性がある。

マルウェアは密かに動作し、エアギャップされたシステムのRAMコンポーネントを変調させ、コンピューターから近くの受信者に機密を転送できるようにする。

この攻撃に分類される最新の方法は、ネットワークカードのLED、USBドライブのRF信号、SATAケーブル、電源を使ってデータを漏えいさせる方法を開発したことのある、秘密攻撃チャネルの経験豊富な専門家であるモルデチャイ・グリ率いるイスラエルの大学研究者によるものだ。

Table of contents

ランボー攻撃の仕組み

ランボー攻撃を行うには、攻撃者はマルウェアをエアギャップされたコンピューターに仕込み、機密データを収集し、送信の準備をする。マルウェアは、メモリ・アクセス・パターン（メモリ・バス上の読み書き操作）を操作して、デバイスのRAMから制御された電磁放射を発生させ、データを送信します。

これらの電磁放射は、基本的にマルウェアがRAM内の電気信号（On-Off Keying「OOK」）を高速に切り替えることによる副産物であり、このプロセスはセキュリティ製品によって積極的に監視されることはなく、フラグを立てたり停止させたりすることはできません。

放出されるデータは “1 “と “0 “にエンコードされ、無線信号では “オン “と “オフ “として表現される。研究者らは、エラー検出を強化し、信号の同期を確実にするため、マンチェスター・コードを使用することを選択し、受信側での誤った解釈の可能性を減らした。

攻撃者は、比較的安価なアンテナ付きSDR（Software-Defined Radio）を使って、変調された電磁放射を傍受し、バイナリ情報に変換することができる。

RAMBO攻撃は、最大1,000ビット/秒（bps）のデータ転送速度を達成する。これは128バイト/秒、つまり0.125KB/秒に相当する。

この速度では、1メガバイトのデータを流出させるのに約2.2時間かかるため、RAMBOはテキスト、キーストローク、小さなファイルなどの少量のデータを盗むのに適している。

研究者らは、この攻撃をテストしたところ、キーロギングをリアルタイムで実行できることを発見した。ただし、パスワードの窃取には0.1秒から1.28秒、4096ビットのRSA鍵は4秒から42秒、小さな画像は25秒から250秒かかる（送信速度による）。

高速通信は最大300cm（10フィート）の範囲に制限され、ビットエラー率は2～4％である。中速通信では、同じエラー率で450cm（15フィート）まで距離が延びる。最後に、エラー・レートがほぼゼロの低速伝送は、7メートル（23フィート）までの距離で確実に動作する。

研究者たちは最大10,000bpsの伝送実験も行ったが、5,000bpsを超えると、効果的なデータ伝送のためのS/N比が非常に低くなることがわかった。

Arxivに掲載された技術論文では、RAMBO攻撃や類似の電磁波ベースの秘密チャネル攻撃を軽減するための推奨事項をいくつか提示しているが、いずれもさまざまなオーバーヘッドをもたらす。

推奨事項には、物理的な防御を強化するための厳格なゾーン制限、発生源で秘密チャネルを混乱させるためのRAM妨害、無線信号を混乱させるための外部EM妨害、空中に設置されたシステムが外部からのEM放射を遮断するためのファラデー囲いなどが含まれる。

研究者たちは、仮想マシン内で実行されている機密性の高いプロセスに対してRAMBOをテストし、効果があることを確認した。

しかし、ホストのメモリはホストOSや他のVMと様々な相互作用を起こしやすいため、攻撃はすぐに中断される可能性が高い。