Evil Maid攻撃とは?
Evil Maid攻撃(イーブルメイド攻撃)は、パソコンやスマートフォンなど、目を離したデバイスに対して物理的にアクセスして改ざんするサイバー攻撃です。「悪意のあるメイド」という名称は、ホテルの客室に置いたままにしたノートパソコンを清掃員が不正に操作するシーンを想起させることから名付けられました。この攻撃概念は2009年にセキュリティ研究者のJoanna Rutkowskaによって提唱され、暗号化されたデバイスでも物理的アクセスがあれば侵害される危険性を示しました。
Evil Maid攻撃は「物理攻撃」「ハードウェア攻撃」とも呼ばれ、内部不正・現場のリスク(人と物理)というサイバー攻撃のカテゴリに分類されます。リモートでのサイバー攻撃とは異なり、攻撃者が実際にデバイスを手に取る必要があるため、発生頻度は限られますが、一度成功すると暗号化などの通常のセキュリティ対策を完全に回避できる深刻な脅威です。そのため、効果的なセキュリティ対策には、物理的管理とハードウェアレベルの技術的対策の両方が不可欠となります。
ホテルの部屋、空港の保安検査場、オフィスの会議室、カフェなど、デバイスから目を離す可能性のあるあらゆる場所で発生しうる攻撃であり、政治家、ジャーナリスト、企業幹部、研究者など、機密情報にアクセスできる立場の人々が主な標的となります。
Evil Maid攻撃を簡単に言うと?
あなたが大切な日記を金庫に入れて鍵をかけているとします。この金庫はとても頑丈で、鍵を知らない人は絶対に開けられません。しかし、ある日あなたが外出している間に、誰かが金庫そのものに細工をして、次にあなたが鍵を使って金庫を開けたとき、その鍵の情報を密かに記録する装置を取り付けたとします。
あなたは金庫が改ざんされていることに気づかず、いつも通り鍵を使って金庫を開けます。すると、細工をした人はあなたの鍵の情報を手に入れ、後日あなたがいないときに金庫を自由に開けて日記を読むことができるようになってしまいます。
これがEvil Maid攻撃の仕組みです。パソコンの暗号化は「金庫」、パスワードは「鍵」に相当します。あなたがデバイスから離れている間に、攻撃者がデバイスに細工をして、次回起動時にパスワードを盗み取る仕掛けを埋め込むのです。デバイスの外見は変わらないため、持ち主は異変に気づかずパスワードを入力してしまい、結果として攻撃者に機密情報へのアクセス権を与えてしまいます。
Evil Maid攻撃の現状
2024年の情報セキュリティ動向において、物理的な脅威を含む内部不正による情報漏えいは、IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威2025(組織編)」で第4位にランクインしており、重要なセキュリティリスクとして認識されています。
日本国内では、2024年に587件のセキュリティインシデントが公表され、1日平均1.7件のサイバー攻撃被害が報告されている状況です。この中には、物理的アクセスを伴う攻撃や内部不正によるインシデントも含まれます。特に2024年は、二次被害の増加が顕著で、委託先への攻撃が元組織に影響を及ぼす事例が全体の36.3%を占めました。
Evil Maid攻撃の具体的な手法も進化しています。従来の古いBIOS環境では、外部ドライブからの起動や署名のないオプションROMの実行が可能であり、Evil Maid攻撃に対して非常に脆弱でした。しかし近年、UEFI(Unified Extensible Firmware Interface)の普及により、セキュアブートやTPM(Trusted Platform Module)を活用した対策が可能になっています。それでも、これらのセキュリティ機能を適切に設定・活用していない組織では、依然としてリスクが残っています。
2024年のサイバーセキュリティ情勢では、政府機関への不審な通信の検知・通報件数が2021年度の41件から2024年度には238件へと急増しており、重要インフラのインシデント報告におけるサイバー攻撃の割合が50%を超える状況となっています。このような環境下で、物理的アクセスを伴う攻撃のリスクはますます高まっています。
特に注目すべき動向として、2017年にエドワード・スノーデンによって開発されたHavenというAndroidアプリがあります。これは、置き去りにしたデバイスに誰かが近づいたり触れたりした際に、モーションセンサーやカメラを通じて持ち主のスマートフォンに通知を送る仕組みで、Evil Maid攻撃への対抗手段として注目されました。
また、2025年の傾向として、内部脅威対策ソリューション市場の拡大が報告されており、クラウド設定管理(CSPM)やクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)の導入が増加しています。これは、物理的環境だけでなく、クラウド環境での内部脅威対策の重要性が認識されている証左です。
Evil Maid攻撃で発生する被害は?
Evil Maid攻撃は、物理的アクセスという限定的な条件が必要なサイバー攻撃ですが、一度成功すると通常のセキュリティ対策をすべて無効化できるため、非常に深刻な被害をもたらします。攻撃者は暗号化されたディスクの内容にアクセスできるだけでなく、今後のすべての操作を監視できる足がかりを得ることになります。
Evil Maid攻撃で発生する直接的被害
機密情報の完全な漏洩
Evil Maid攻撃の最も深刻な直接的被害は、暗号化されていたはずの機密情報がすべて攻撃者の手に渡ることです。攻撃者はパスワードを取得後、ディスク全体にアクセスできるため、企業の営業秘密、顧客情報、財務データ、研究開発データ、個人のプライベート情報など、あらゆるデータが流出します。2024年のKADOKAWAグループへのサイバー攻撃では、データセンターのサーバーが被害を受け、復旧に1ヶ月以上を要し、特損36億円が計上されました。物理的アクセスを伴う攻撃では、このような大規模な被害が発生する可能性があります。
マルウェアの持続的な感染
Evil Maid攻撃では、ブートローダーやファームウェアレベルにマルウェアを埋め込むことができるため、OSの再インストールやウイルススキャンでは除去できない持続的な感染が発生します。この種のマルウェアは「ブートキット」や「ルートキット」と呼ばれ、システムの最も深い層に潜伏します。攻撃者は、デバイスが起動するたびにマルウェアが自動的に動作するよう設定できるため、長期間にわたって情報を盗み続けることが可能です。
認証情報の窃取と継続的な不正アクセス
Evil Maid攻撃で設置されるキーロガーやスパイウェアは、暗号化ディスクのパスワードだけでなく、その後に入力されるすべての認証情報(Webサービスのログイン情報、VPNの認証情報、企業システムへのアクセス権限など)を記録します。これにより、攻撃者は被害者のアカウントを使って企業ネットワークに侵入したり、クラウドサービスにアクセスしたりすることができます。2024年上半期には、63万件以上のフィッシング被害と24億円を超える不正送金被害が報告されていますが、Evil Maid攻撃で窃取された認証情報も同様の被害につながります。
Evil Maid攻撃で発生する間接的被害
企業の信用とブランド価値の毀損
Evil Maid攻撃によって機密情報が漏洩した場合、企業は顧客や取引先からの信頼を失います。特に個人情報や顧客データが流出した場合、法的責任を問われるだけでなく、報道によって企業イメージが大きく損なわれます。2024年には、サイバー攻撃による二次被害の公表が全体の36.3%を占め、委託先への攻撃が元組織の評判にも影響を与える事例が増加しています。Evil Maid攻撃のような物理的セキュリティの不備は、「基本的な対策ができていない」という印象を与え、信用回復に長期間を要します。
ビジネスチャンスの喪失と競合優位性の低下
企業の研究開発データ、製品ロードマップ、マーケティング戦略、価格情報などが競合他社に渡った場合、ビジネス上の優位性が失われます。特に、新製品の発売前にその情報が漏洩すれば、開発投資が無駄になり、市場での先行者利益を失います。また、政治家やジャーナリストが標的となった場合、取材源の秘匿や政策情報の機密性が損なわれ、民主主義社会の根幹に関わる問題にも発展します。
法的責任とコンプライアンス違反
Evil Maid攻撃による情報漏洩は、個人情報保護法、GDPR(EU一般データ保護規則)、医療情報に関する法律など、各種法規制への違反を引き起こす可能性があります。これにより、多額の罰金、訴訟費用、損害賠償が発生します。2024年の岡山県精神科医療センターでのランサムウェア攻撃では、最大約4万人の患者情報が流出した可能性があり、医療機関における情報管理の重要性が再認識されました。物理的アクセスによる攻撃でも同様の法的リスクが存在します。さらに、セキュリティ対策の不備が認められた場合、業界の認証やライセンスを失う可能性もあります。
Evil Maid攻撃の対策方法
Evil Maid攻撃を防ぐには、「デバイスを物理的に守る」という基本原則と、「改ざんを検知する」という技術的対策の両面が必要です。暗号化だけでは不十分であり、ハードウェアレベルのセキュリティ機能や運用上の工夫を組み合わせた包括的なセキュリティ対策が重要です。
物理的管理の徹底
最も基本的で効果的な対策は、デバイスを常に自分の管理下に置くことです。ホテルの部屋、空港の保安検査場、会議室など、一時的にデバイスを手放す必要がある場合は、金庫に保管したり、信頼できる人に預けたりします。ただし、空港の保安検査や警察による一時押収など、物理的管理が不可能な状況も存在します。そのような場合には、以下の技術的対策が重要になります。
TPMとセキュアブートの活用
TPM(Trusted Platform Module)は、ハードウェアベースのセキュリティチップで、暗号鍵やシステムの整合性情報を安全に保管します。セキュアブートと組み合わせることで、起動時にシステムが改ざんされていないかを検証し、不正なブートローダーやファームウェアの実行を防ぎます。TPMは、正規のハードウェア構成とソフトウェア構成を記録しており、何か変更があると起動を拒否するため、Evil Maid攻撃を検知できます。現代のWindows 11やmacOSは、これらの機能を標準搭載していますが、適切に設定する必要があります。
BIOSパスワードとファームウェア保護
BIOSやUEFIにパスワードを設定することで、設定変更や外部デバイスからの起動を防ぎます。特に、外部USBデバイスやネットワークからの起動を無効化し、ハードディスクからのみ起動するよう設定します。また、BIOSの書き込み保護機能を有効にして、ファームウェアの不正な書き換えを防ぎます。最新のUEFIファームウェアは、更新時にデジタル署名を検証する機能を持っているため、これを有効化することが推奨されます。
デバイス改ざん検知の仕組み
改ざん検知テープやグリッターネイルポリッシュなど、物理的な改ざん検知手段を活用します。デバイスのネジ穴や開口部にグリッター入りのネイルポリッシュを塗布しておくと、開封された場合にグリッターのパターンが変化するため、改ざんを検出できます。また、モーションセンサーやカメラを使ってデバイスの動きを監視するアプリ(Havenなど)を導入することで、誰かがデバイスに触れた場合に通知を受け取ることができます。
DMAポートの無効化
FireWire、Thunderbolt、PCI Expressなどのポートは、DMA(Direct Memory Access)機能により、OSやセキュリティソフトをバイパスしてメモリに直接アクセスできます。攻撃者はこれらのポートを悪用して、起動中のデバイスからも情報を窃取できるため、BIOS設定で不要なDMAポートを無効化することが推奨されます。特にThunderboltポートは、高速データ転送が可能な反面、セキュリティリスクも高いため、使用しない場合は無効にすべきです。
シャットダウンの徹底とスリープモードの回避
デバイスをスリープモードやハイバネーションモードではなく、完全にシャットダウンすることが重要です。スリープモードではメモリに暗号化キーが残っている可能性があり、コールドブート攻撃のリスクがあります。完全にシャットダウンすることで、メモリから機密情報が消去され、次回起動時には必ずブート時の検証プロセスを経る必要があります。
最新のファームウェアとソフトウェアの維持
ファームウェアやOSのセキュリティアップデートを定期的に適用することで、既知の脆弱性を修正します。日本の組織におけるパッチ適用に要する平均時間は36.4日と報告されており、これは世界平均の1.2倍に相当します。この遅延が攻撃者に悪用される可能性があるため、迅速なアップデートが求められます。特にファームウェアレベルの脆弱性は、Evil Maid攻撃で悪用されやすいため、ベンダーが提供するアップデートを適用することが重要です。
Evil Maid攻撃の対策を簡単に言うと?
大切な日記を入れた金庫を守るためには、いくつかの工夫ができます。
まず、金庫を絶対に一人にしないことです。あなたが外出するときは、信頼できる家族に金庫を見張ってもらうか、金庫ごと持ち歩くか、銀行の貸金庫に預けます。これが「物理的管理」です。
しかし、どうしても金庫から離れなければならない状況もあります。そんなときは、金庫に特別な「封印シール」を貼っておきます。このシールは一度剥がすと跡が残るため、誰かが金庫を開けようとしたことが一目でわかります。これが「改ざん検知」です。
さらに、金庫自体に「警報装置」を取り付けます。金庫が動かされたり、誰かが触ったりすると、あなたのスマートフォンに通知が届く仕組みです。
そして、金庫の「鍵穴」に特別な装置を取り付けます。この装置は、正しい鍵以外では絶対に開かず、鍵穴に何か細工をしようとすると金庫がロックされてしまいます。これが「TPMやセキュアブート」の仕組みです。
最後に、毎日金庫の状態をチェックして、何か異常がないか確認します。鍵穴の周りに傷がないか、封印シールが無傷か、金庫の位置が動いていないかなど、細かく観察します。
Evil Maid攻撃の対策も同じ考え方で、デバイスを物理的に守り、改ざんを検知し、ハードウェアレベルのセキュリティ機能を活用し、定期的に点検することが大切なのです。
Evil Maid攻撃に関連した攻撃手法
Evil Maid攻撃は、物理的アクセスを悪用するという点で、他の内部不正・現場のリスク(人と物理)に分類されるサイバー攻撃の手法と密接に関連しています。ここでは、Evil Maid攻撃と関連性の高い攻撃手法について解説します。
内部不正(インサイダー脅威)
内部不正(インサイダー脅威)は、組織内部の従業員や業務委託先が、正当なアクセス権限を悪用して機密情報を窃取したり、システムを破壊したりする攻撃です。Evil Maid攻撃との関連性は、「物理的アクセス権を持つ者による脅威」という共通点にあります。
例えば、IT管理者や清掃スタッフなど、オフィス内のパソコンに物理的にアクセスできる立場の人物が、Evil Maid攻撃の手法を用いて経営陣のデバイスに不正な改ざんを施すことがあります。2024年のIPA「情報セキュリティ10大脅威2025」では、内部不正による情報漏えいが第4位にランクインしており、組織にとって深刻な脅威となっています。
内部不正とEvil Maid攻撃の組み合わせは特に危険で、内部者は建物への入退室権限、サーバールームへのアクセス、デバイスの配置場所などの内部情報を持っているため、外部の攻撃者よりも効率的にEvil Maid攻撃を実行できます。Fortineのレポートによれば、60%の企業が悪意のある内部者を最大のインサイダーリスクとして懸念しており、その中でもサービスプロバイダーや一時的な従業員(清掃スタッフなど)が最も脅威的とされています。
内部不正の対策として、特権アカウントの管理、アクセスログの監視、職務分掌の徹底などが挙げられますが、Evil Maid攻撃のような物理的改ざんを防ぐには、サーバールームへの入退室管理、監視カメラの設置、デバイスの物理的な保管管理も必要です。
悪意あるUSB(BadUSB等)
悪意あるUSB(BadUSB等)は、外見は普通のUSBメモリやUSBデバイスに見えるものの、内部に不正なファームウェアを搭載しており、接続されたコンピュータに対してキーボード入力を偽装したり、マルウェアを自動実行したりする攻撃手法です。
Evil Maid攻撃との関連性は、「物理的なデバイス改ざん」という技術的類似性にあります。Evil Maid攻撃では、攻撃者が悪意あるUSBデバイスを使ってターゲットのパソコンに不正なブートローダーをインストールしたり、ファームウェアを書き換えたりします。2009年のJoanna Rutkowskaによる最初のEvil Maid攻撃のデモンストレーションでは、小型のUSBスティックを使ってTrueCrypt暗号化システムのブートローダーを改ざんする手法が示されました。
また、「USBドロップ攻撃」と呼ばれる手法では、攻撃者が悪意あるUSBデバイスを駐車場やオフィスのエレベーター付近に意図的に落としておき、それを拾った人が好奇心から自分のパソコンに接続することを狙います。この場合、USBデバイス自体がEvil Maid攻撃のツールとなり、接続されたパソコンに不正なソフトウェアをインストールします。
BadUSBの特徴は、ファームウェアレベルで動作するため、通常のウイルス対策ソフトでは検出できない点です。Evil Maid攻撃でも同様に、ブートローダーやファームウェアレベルでの改ざんが行われるため、OSレベルのセキュリティ対策では防げません。
対策としては、不明なUSBデバイスを接続しない、USBポートを物理的に無効化する、エンドポイントセキュリティソリューションでUSBデバイスの接続を制限する、などが有効です。Evil Maid攻撃とBadUSB攻撃の両方に対処するには、BIOS設定で外部デバイスからの起動を無効化し、USBポートへのアクセスをログ記録することが推奨されます。
覗き見/端末盗難/USBドロップ
覗き見/端末盗難/USBドロップは、物理的な環境での脆弱性を悪用する攻撃手法の総称です。覗き見(ショルダーハッキング)は、他人がパスワードを入力する様子を肩越しに見たり、カメラで撮影したりして認証情報を窃取します。端末盗難は文字通りデバイスを物理的に盗むことで、USBドロップは前述の通り悪意あるUSBデバイスを意図的に落としておく攻撃です。
これらの攻撃手法とEvil Maid攻撃の関連性は、「物理的アクセスを悪用する」という共通の戦略にあります。特に端末盗難とEvil Maid攻撃は密接に関係しており、盗まれたデバイスに対してEvil Maid攻撃の手法で改ざんを施し、その後元の場所に戻すことで、持ち主が気づかないうちに継続的な監視体制を構築できます。
例えば、カフェで短時間席を離れた隙にノートパソコンが盗まれ、数分後に「戻ってきた」というケースがあります。この場合、攻撃者はデバイスを盗むのではなく、Evil Maid攻撃を実行して元に戻すことで、持ち主が被害に気づかないまま情報を盗み続けることができます。
また、覗き見で得たパスワード情報は、Evil Maid攻撃で設置したキーロガーの有効性を検証するためにも使われます。攻撃者は、覗き見で得たパスワードとキーロガーが記録したパスワードを照合することで、改ざんしたシステムが正常に動作しているかを確認できます。
これらの攻撃への対策として、プライバシーフィルターの使用、デバイスを常に視界内に置く、自動ロック機能の設定、盗難防止ケーブルの使用、GPSトラッキング機能の有効化などが有効です。Evil Maid攻撃と組み合わせた対策としては、短時間の離席であっても完全にシャットダウンする、改ざん検知テープを使用する、などが推奨されます。
Evil Maid攻撃のよくある質問
Q1: Evil Maid攻撃は個人にも関係がありますか?企業や政府機関だけの問題ではないのでしょうか?
A: Evil Maid攻撃は確かに政治家や企業幹部など、高価値なターゲットに対して使われることが多い攻撃ですが、個人も無関係ではありません。特に以下のような状況にある方は注意が必要です。
まず、ビジネスで出張が多い方です。ホテルの部屋に置いたノートパソコンは、清掃スタッフや侵入者によってアクセスされる可能性があります。実際、Kasperskyのレポートでは、Evil Maid攻撃の典型的なターゲットとして、頻繁に出張する企業幹部が挙げられています。
また、離婚や相続などの法的紛争中の方も標的になりえます。配偶者や親族が物理的にデバイスにアクセスできる環境では、個人的な情報を盗み取るためにEvil Maid攻撃の手法が使われることがあります。特に「ストーカーウェア」と呼ばれるスパイアプリを設置されるケースが報告されています。
さらに、価値のあるデジタル資産(暗号資産、NFT、オンラインビジネスなど)を持っている方は、そのアクセス権限を狙われる可能性があります。
個人ができるセキュリティ対策として、デバイスを常に携帯する、ホテルではデバイスを金庫に保管する、家族であっても個人のデバイスへのアクセスを制限する、定期的にデバイスの異常をチェックするなどが挙げられます。完全な暗号化とBIOSパスワードの設定も基本的なセキュリティ対策として有効です。
Q2: Evil Maid攻撃を受けたかどうかはどうやって確認できますか?何か兆候はありますか?
A: Evil Maid攻撃の最大の脅威は、ほとんど痕跡を残さないことです。しかし、いくつかの兆候や確認方法があります。
物理的な兆候
まず、デバイスの外観に変化がないかチェックします。ネジが緩んでいる、本来ないはずの傷がある、重量が微妙に違う、などの変化があれば要注意です。ノートパソコンのキーボードの下や、USBポート内部に小型のハードウェアキーロガーが設置されている可能性もあります。
起動時の異常
デバイスの起動時間が通常より長くなった、起動時に見たことのない画面が表示される、ブート時のロゴが微妙に異なるなどの変化があれば、ブートローダーが改ざんされている可能性があります。
システムの挙動の変化
起動後、システムのパフォーマンスが低下した、不明なプロセスが実行されている、ネットワークトラフィックが異常に多い、ファイアウォールが頻繁に警告を出すなどの症状があれば、マルウェアが動作している可能性があります。
技術的な確認方法
TPMを搭載しているデバイスでは、TPMの測定値(PCR値)をチェックすることで、ブートプロセスが改ざんされていないか確認できます。Windowsでは「TPM管理ツール」、Linuxではtpm2_pcrreadコマンドを使用します。これらの値が以前の記録と異なる場合、システムが改ざんされた可能性があります。
また、UEFI/BIOSのログをチェックして、不正な変更がないか確認します。BIOSの設定日時が不自然に新しい、外部デバイスからの起動記録があるなどの痕跡があれば要注意です。
予防的確認方法
デバイスを離れる前に、ネジ穴や開口部にグリッター入りのネイルポリッシュを塗布し、その写真を撮影しておくと、戻ってきたときにパターンの変化で開封を検知できます。また、改ざん検知テープを使用することも有効です。
もし改ざんの疑いがある場合は、そのデバイスで重要な操作(パスワード入力、オンラインバンキングなど)を行わず、信頼できるセキュリティ専門家に相談することをお勧めします。
Q3: スマートフォンやタブレットもEvil Maid攻撃の対象になりますか?
A: はい、スマートフォンやタブレットもEvil Maid攻撃の対象になります。むしろ、モバイルデバイスは常に持ち歩くため、置き忘れや一時的な紛失のリスクが高く、攻撃の機会が多いとも言えます。
モバイルデバイスに対する攻撃手法
D. Defreezというセキュリティ専門家は、2011年にAndroidスマートフォンに対するEvil Maid攻撃の可能性を初めて指摘しました。モバイルデバイスへの攻撃では、以下のような手法が使われます:
まず、ブートローダーのアンロックと改ざんです。多くのAndroidデバイスでは、開発者向けにブートローダーをアンロックできる機能があります。攻撃者がこの機能を悪用して、カスタムリカバリーをインストールし、スパイウェアを埋め込むことが可能です。
次に、不正なMDM(モバイルデバイス管理)プロファイルのインストールです。iOSデバイスでは、企業向けのMDMプロファイルを悪用して、デバイスを遠隔管理したり、すべてのデータにアクセスしたりすることができます。攻撃者が物理的にデバイスにアクセスできる場合、不正なMDMプロファイルをインストールすることで、継続的な監視体制を構築できます。
さらに、SIMカードの交換や複製(SIMスワップ攻撃)も、Evil Maid攻撃と組み合わせて使われることがあります。
モバイルデバイス特有の脆弱性
モバイルデバイスは、パソコンに比べてセキュリティ機能が限られている場合があります。特にAndroidデバイスは、メーカーやモデルによってセキュリティレベルにばらつきがあり、古い機種ではセキュリティアップデートが提供されなくなることもあります。
また、モバイルデバイスは生体認証(指紋認証、顔認証)を使っていることが多いですが、これらも完璧ではありません。攻撃者が一時的にデバイスを入手できれば、生体認証をバイパスする改ざんを施すことが可能です。
モバイルデバイスの保護対策
対策としては、まず画面ロックを必ず設定し、複雑なパスコードを使用します。生体認証と併用することが推奨されますが、生体認証だけに依存しないことが重要です。
デバイスの暗号化を有効にします。最新のiOSとAndroidは標準で暗号化されていますが、古い機種では手動で有効化する必要がある場合があります。
不明なプロファイルやアプリがインストールされていないか定期的に確認します。iOSでは「設定」→「一般」→「VPNとデバイス管理」、Androidでは「設定」→「セキュリティ」→「デバイス管理アプリ」で確認できます。
「デバイスを探す」機能を有効にして、紛失時に遠隔でロックやデータ消去ができるようにします。また、モバイルセキュリティアプリを導入して、不正なアプリやマルウェアの検出を行います。
最も重要なのは、デバイスを手放さないことです。空港のセキュリティチェックなど、やむを得ず手放す場合は、完全に電源を切ることで、攻撃の成功率を下げることができます。
Q4: 暗号化していればEvil Maid攻撃は防げると思っていましたが、なぜ暗号化だけでは不十分なのですか?
A: 暗号化は確かに重要なセキュリティ対策ですが、Evil Maid攻撃に対しては不十分です。その理由を理解するには、暗号化の仕組みとEvil Maid攻撃の手法を知る必要があります。
暗号化の仕組みと限界
ディスク暗号化(BitLocker、FileVault、LUKSなど)は、ディスク上のデータをスクランブルして、正しいパスワードがないと読み取れないようにします。しかし、暗号化されたディスクを使うためには、起動時にパスワードを入力する必要があり、この時点でセキュリティの「弱点」が生じます。
Evil Maid攻撃は、まさにこの弱点を狙います。攻撃者は暗号化されたディスク自体を解読しようとするのではなく、「ブートローダー」と呼ばれる起動プログラムを改ざんします。ブートローダーは暗号化される前に動作するため、ここを改ざんされると暗号化は意味をなしません。
具体的な攻撃シナリオ
攻撃者は以下の手順でEvil Maid攻撃を実行します:
- ターゲットのパソコンに物理的にアクセスする
- USBメモリから別のOSを起動する
- ハードディスク上のブートローダーを不正なものに書き換える
- この不正なブートローダーには、キーロガー機能が組み込まれている
- パソコンを元の状態に戻して、その場を離れる
- 持ち主が帰ってきて、いつも通りパスワードを入力する
- 不正なブートローダーがパスワードを記録し、正規のブートプロセスに引き渡す
- 持ち主は何も異常に気づかず、普通に作業を開始する
- 攻撃者は後日、記録されたパスワードを使ってデータにアクセスする
この過程で、暗号化は一度も破られていません。攻撃者は暗号化を「回避」したのです。
暗号化システムの認証問題
TrueCryptやPGP Whole Disk Encryptionのような多くのディスク暗号化システムは、「ユーザーがシステムを認証する」機能は持っていますが、「システムがユーザーに対して自分が本物であることを証明する」機能を持っていません。つまり、ユーザーは改ざんされたシステムと本物のシステムを区別できないのです。
暗号化を有効にするための追加対策
暗号化を有効に機能させるには、以下の対策が必要です:
TPM(Trusted Platform Module)を使用します。TPMはハードウェアレベルでシステムの整合性を検証し、ブートローダーが改ざんされていないことを確認してから暗号化キーを解放します。
セキュアブートを有効にします。セキュアブートは、デジタル署名されていないブートローダーの実行を拒否するため、不正なブートローダーを防げます。
Pre-Boot Authenticationを強化します。2要素認証を導入したり、スマートカードを使用したりすることで、パスワードだけでなく物理的なトークンも必要とすることができます。
つまり、「暗号化+ハードウェアベースの検証+物理的管理」の三位一体の対策が、Evil Maid攻撃に対する真の防御となるのです。暗号化は必要条件ですが、十分条件ではないということを理解することが重要です。
Q5: Evil Maid攻撃を受けてしまった場合、どう対処すればよいですか?
A: Evil Maid攻撃を受けた疑いがある、または確実に受けてしまった場合は、迅速かつ慎重な対応が必要です。以下、段階的な対処手順をご説明します。
即座に行うべきこと(攻撃発見直後)
まず、疑わしいデバイスの使用を直ちに停止します。特に、そのデバイスでパスワードの入力、オンラインバンキング、重要なメールの送受信などを行わないでください。デバイスの電源を切り、ネットワークから完全に切り離します(Wi-Fiをオフにし、LANケーブルを抜く)。
次に、他の信頼できるデバイスから、すべてのオンラインアカウントのパスワードを変更します。特に以下のアカウントを優先してください:
- メールアカウント(他のパスワードリセットに使われるため最優先)
- オンラインバンキングと決済サービス
- 企業のVPNやクラウドサービス
- ソーシャルメディアアカウント
- その他の重要なサービス
2要素認証(2FA)を有効にしていないアカウントがあれば、この機会に必ず設定します。
証拠の保全と専門家への相談
デバイスを改ざんされた状態のまま保存します。証拠保全のため、むやみに操作したり、工場出荷時状態にリセットしたりしないでください。可能であれば、デバイスの外観、ネジ穴、USBポートなどを写真撮影して記録を残します。
その上で、信頼できるセキュリティ専門家やフォレンジック調査会社に相談します。企業の場合は、社内のセキュリティチーム(CSIRT)に報告します。また、重要な機密情報が含まれている場合や、企業の機密情報が漏洩した可能性がある場合は、警察のサイバー犯罪相談窓口にも連絡を検討してください。
影響範囲の調査と対応
改ざんされたデバイスでアクセスしたすべてのシステムとサービスを洗い出します。そして、これらのシステムのアクセスログを確認し、不正なアクセスがなかったか調査します。企業ネットワークにアクセスしていた場合は、ネットワーク全体のセキュリティ監査が必要です。
漏洩した可能性のあるデータの種類と範囲を特定します。個人情報、顧客データ、財務情報、企業秘密などが含まれる場合は、法的な報告義務があるかもしれません。日本では個人情報保護法により、個人情報の漏洩があった場合は個人情報保護委員会への報告と本人への通知が必要になる場合があります。
デバイスの復旧または廃棄
専門家の調査が完了したら、デバイスの復旧方法を決定します。以下の選択肢があります:
完全な再インストール:BIOSファームウェアを最新版にアップデートし、ハードディスクを完全にフォーマットして、OSをクリーンインストールします。ブートセクタやMBR(Master Boot Record)も確実に上書きします。
ハードウェアの点検:物理的なキーロガーやその他のハードウェア改ざんがないか、デバイスを分解して確認します(専門家に依頼することを推奨)。
廃棄と交換:高度な改ざんが疑われる場合、または復旧コストが高い場合は、デバイスを適切に廃棄(ハードディスクを物理的に破壊)して、新しいデバイスに交換することも検討します。
再発防止策の実施
今回の事案を教訓として、組織全体のセキュリティポリシーを見直します:
- デバイスの物理的管理規則の強化
- TPMとセキュアブートの全デバイスへの導入
- 改ざん検知手段の標準化
- セキュリティ教育の実施
- インシデント対応計画の整備
Evil Maid攻撃は、一度受けてしまうと完全な復旧が困難な場合もあります。だからこそ、予防が最も重要であり、万が一の際には迅速かつ慎重な対応が求められます。
更新履歴
- 初稿公開
