検証！組み込み機器に対する故障注入攻撃（Fault Injection Attack）では、どのような攻撃が可能なのか

こんにちは。デジタルペンテスト部の高橋です。

メーカーにとって、悪意のある攻撃者に自社製品のメイン基板のデバイスからファームウェアを抽出されたり、デバッグ機能の悪用で製品の仕様が解析され、ファームウェアを改変されたりすることは大きな脅威です。
近年ではそのような行為を防止するため、セキュリティ機能がデバイスに組み込まれています。しかし、「本当に破られることはないのか？」という懸念は残ったままではないでしょうか。

セキュリティ機能を突破する一つの技術として、故障注入攻撃（Fault Injection Attack）という攻撃手法がインターネットや論文で公開されています。IoTデバイスペネトレーションテストを提供しているデジタルペンテスト部では、その手法を用いて「具体的にどのような攻撃が可能なのか？」の検証を行っていきます。

故障注入攻撃とは

故障注入攻撃とは、製品や機器のメイン基板上のSoC（System on a chip）等のデバイスに対して意図的に誤った情報を注入し、誤動作を引き起こす攻撃です。

デジタルペンテスト部では、デバイスに搭載されているセキュリティ機能を突破し、次のようなことが可能になるかを想定して検証を行っています。

• 無効に設定されている基板上のデバッグポート（JTAG、SWD等）を有効にできる。
  もしくは、有効に設定された時と同じ動作をさせることができる。
• 外部との通信における認証を迂回できる。

故障注入攻撃には幾つかアプローチが存在し、現在、次の3つの検証を進めております。

• Voltage Fault Injection
• Electro-Magnetic Fault Injection
• Clock Glitching Fault Injection

ここでは、Voltage Fault Injectionの成功事例を紹介します。

Voltage Fault Injection

Voltage Fault Injectionとは、基板上のSoC等のデバイスの電源ピンに意図的に誤りを注入することで誤動作を起こさせる攻撃です。SoC内のデバッグ用インタフェース回路（JTAG、SWDなど）に供給する電源ピンに故障注入することで、無効に設定されていたデバッグ用の回路が有効に設定された時と同様の動作をさせることができるか、いくつかのSoCにおいて検証を行っております。

Voltage Fault Injectionの検証事例の紹介

SoCとしてNordic Semiconductor社のnRF52シリーズが使用されている市販製品がありました。
nRF52シリーズには、APPROTECTと呼ばれるデバッグインタフェース（SWD）をロックするセキュリティ機能が搭載されており、これによって市販製品の仕様の調査やファームウェア抽出、改変を防ぐことができます。

公開されているSoCのデータシートを元に基板を確認したところ、基板上にコア電圧やデバッグ用インタフェースのテストポイントが存在していました。そこにVoltage Fault Injectionを試行したところ、特定のタイミングで故障注入するとAPPROTECTを一時的に解除することが可能なことを確認できました。

これにより、製品仕様の調査やファームウェア抽出、改変を行われてしまうことが可能であると判明したことになります。

詳細な手順等につきましては「ラック・セキュリティごった煮ブログ」の記事をご参照いただければと思います。

おわりに

さまざまな文献で故障注入攻撃の可能性については指摘されていましたが、今回の検証により現実的な脅威であることを確認できました。デジタルペンテスト部では、さらに、他の手法でも故障注入攻撃の検証を進めています。

製品仕様の調査やファームウェア抽出、改変を懸念される製品や機器においては、開発段階におけるペネトレーションテストで故障注入攻撃の可能性も検証することが必要であると考えています。

ラックのIoTデバイスペネトレーションテストでは、故障注入攻撃を含めたご提案も行っていますのでお気軽にご相談いただければと思います。