Trusted Design

T1200 - Hardware Additions

概要

Adversaries may physically introduce computer accessories, networking hardware, or other computing devices into a system or network that can be used as a vector to gain access. Rather than just connecting and distributing payloads via removable storage (i.e. Replication Through Removable Media), more robust hardware additions can be used to introduce new functionalities and/or features into a system that can then be abused.

While public references of usage by threat actors are scarce, many red teams/penetration testers leverage hardware additions for initial access. Commercial and open source products can be leveraged with capabilities such as passive network tapping, network traffic modification (i.e. Adversary-in-the-Middle), keystroke injection, kernel memory reading via DMA, addition of new wireless access points to an existing network, and others.(Citation: Ossmann Star Feb 2011)(Citation: Aleks Weapons Nov 2015)(Citation: Frisk DMA August 2016)(Citation: McMillan Pwn March 2012)

管理者によるコメント

T1200「Hardware Additions」（ハードウェアの追加） は、ターゲットのシステムやネットワークに物理的なデバイスを直接接続することで、既存の論理的なセキュリティ（ファイアウォールやEDRなど）を回避して侵入する手法です。

1. 概要

この手法で攻撃者は、「物理的なアクセスを起点とした、ネットワーク防御の完全なバイパス」を実現します。

何を実現できるのか

• 内部ネットワークへの直接侵入: インターネットからの攻撃を遮断している強固なファイアウォールの「内側」に、勝手に通信経路（バックドア）を作成できます。
• キー入力やデータの窃取: キーボードとPCの間にデバイスを挟むことで、パスワードなどの入力を直接盗み見たり、PC内のデータをこっそり外部へ送信したりします。
• 中間者攻撃 (MitM) の実行: 正規の周辺機器になりすまし、やり取りされるデータを改ざん・傍受します。

2. 攻撃の流れ

この攻撃には、オフィスやデータセンターへの「物理的な潜入」または「サプライチェーンでの混入」が必要です。

1. デバイスの準備: 攻撃目的に合わせた特殊なハードウェアを用意します。
   • Keylogger: USBキーボードの接続部に差し込み、入力を記録するもの。
   • WiFi Pineapple / Dropbox: ネットワークポートに差し込み、内部トラフィックを無線で外部へ転送するもの。
   • BadUSB: 見た目は普通のUSBメモリだが、接続するとキーボードとして認識され、超高速で悪意あるコマンドを自動入力するもの。
2. 物理的設置: ターゲットのPC、サーバー、ネットワークスイッチなどにデバイスを装着します。清掃員や保守業者を装って潜入するケースや、配送中の製品に仕込むケースがあります。
3. 通信確立と実行: 設置されたデバイスが動作を開始します。デバイス自体がLTEやWi-Fiを備えている場合、社内ネットワークを通さずに直接攻撃者のサーバーと通信を行います。
4. 永続化と隠蔽: デバイスは非常に小型（コネクタ内部に隠れる程度）であるため、長期間発見されずに潜入し続けることが可能です。

3. 防御・対策

論理的な対策（ソフト）だけでなく、物理的な管理（ハード）が不可欠です。

• 物理アクセス制御: 入退室管理の徹底、ラックの施錠、ポートロック（物理的な蓋）の使用により、未承認のデバイスを接続させない環境を作ります。
• ポートセキュリティの有効化: スイッチ側でMACアドレス制限を行い、未登録のデバイスが接続された場合にポートを自動遮断します。
• USB/周辺機器の利用制限: OSの設定やセキュリティソフトで、許可されたID以外のUSBデバイスの接続を無効化します。
• 物理的な定期点検: サーバーの背面やネットワーク機器に、身に覚えのないドングルやケーブルが付いていないか目視で確認します。

4. 重要ポイント

• 「ソフトウェア・ブラインド」: 多くのEDRやアンチウイルスは、ハードウェア層の不正（例えば、キーボードになりすますBadUSBの挙動）を「正規のユーザー操作」として誤認し、検知できないことが多いです。
• インサイダーリスクとの親和性: 悪意を持った従業員や、だまされた従業員（「落ちていたUSBメモリを拾って挿す」など）によって引き起こされるケースが目立ちます。

5. 関連する主なCWE

• CWE-1200: Inter-Trust Domain Hardware Communications (信頼ドメイン間ハードウェア通信): 異なる信頼レベルのハードウェア間で、不適切な通信が行われる設計上の不備。
• CWE-1321: Improper Authorization of Peripheral Device (周辺機器の不適切な認可): 接続された周辺機器が「正当なものか」を十分に検証せずに受け入れてしまう不備。

6. 関連する代表的なCVE

ハードウェア追加は「物理的行為」であるため、特定のCVE番号として割り振られることは少ないですが、攻撃に使用される有名なツールや脆弱なハードウェア仕様に関連するものがあります。

• BadUSB (脆弱性の概念): 特定のCVEではありませんが、USBコントローラのファームウェアを書き換え可能であるという「仕様」を突いた攻撃として広く知られています。
• CVE-2018-14884: ネットワークタップ（ハードウェア）の脆弱性。物理的に接続されたデバイスから、本来アクセスできないはずの管理インターフェースにアクセスできてしまう問題。
• Thunderspy (CVE-2020-8594など): Thunderboltポートの脆弱性を悪用し、物理的に接続されたデバイスがPCのメモリ（DMA）に直接アクセスしてデータを盗む攻撃。

調査のコツ

この手法は「ペネトレーションテスト（侵入テスト）」でよく実演されます。Rubber Ducky（BadUSBの代表格）や LAN Turtle（小型ネットワークバックドア）といったツールを調べると、具体的な攻撃イメージがより明確になります。

分析

この攻撃手法を利用する脅威アクター

• Dragonfly
• Confucius
• Tropic Trooper
• APT28
• Gamaredon Group
• Inception
• DarkHydrus

関連する CVE

• CVE-2014-4114
• CVE-2015-1770
• CVE-2012-1856
• CVE-2015-2545
• CVE-2012-0158
• CVE-2025-61882
• CVE-2010-3333
• CVE-2013-7331
• CVE-2013-2595

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る