By Haotian0905 - Own work, CC BY-SA 3.0

アイントホーフェン工科大学のコンピューターセキュリティ研究者ビヨン・ルイテンバリ氏が、Thunderboltインターフェースを備えたコンピューターから簡単にデータを抜き出せてしまう"Thunderspy"なる攻撃手法の存在をを明らかにしました。

Thunderspy攻撃では、2019年以前に製造されたWindowsまたはLinuxをインストールしたPCに物理的にアクセスできれば、Thunderboltを経由してデータへの完全なアクセスを得ることができます。厄介なことにスリープやロック状態、ログイン前の状態でも、さらには暗号化したストレージであっても有効とのこと。


Thunderspyの攻撃者はほんの数分の作業時間があれば、標的とするPCのケースを開け、デバイスを接続してファームウェアを書き換え、ストレージ上のデータに完全にアクセス可能になります。ルイテンバリ氏の説明によれば、これはなんらかのソフトウェア修正で対応できるものではなく、Thunderboltポートを物理的に無効化するしかないとのこと。

Thunderboltインターフェースは、他のポートよりもコンピュータのメモリへの直接アクセスを可能にすることで、外部デバイスへのデータ転送速度を高速化します。しかしそれを逆手に取って悪用する脆弱性が2019年にケンブリッジ大学の研究者らによって発見されていました。この脆弱性は"Thunderclap"と名付けられていますが、ThunderclapはThunderbolt機能を無効にして、DisplayPortもしくはUSB-Cとしてのみ使うよう設定を施すことで対処可能だとされます。

一方、Thunderspy攻撃は、Thunderboltポートを制御するファームウェアを書き換えてすべてのデバイスがアクセスできるようにしてしまいます。研究者はWindowsおよびLinux PCにThunderbolt周辺機器を接続する場合に自分が所有するもの以外を使わない、PCを誰にも貸さない、決して電源を入れた状態やスリープモードで放置しないなど、基本的な対策が最も効果があるとして紹介しています。さらに保管時はThunderboltディスプレイを使用している場合はそれも含めてシステム一式に物理的なセキュリティを使用するなどの対策を勧めています。ちなみに研究者はmacOSを実行している場合は「部分的に影響を受けるだけ」と述べています。

なお、Thunderbolt技術を開発するインテルは、Thunderspy攻撃を防止できるKernel Direct Memory Access Protectionと称するセキュリティ機能を2019年に提供しはじめています。これは2019年以降に発売された最新のPCの一部に搭載されているとのこと。さらにインテルは最新の情報としてThunderspy攻撃に対しては「カーネル DMA保護が有効になっているコンピューターでは攻撃が機能しないことを確認した」と新たに報告しています