アイントホーフェン工科大学の研究者Björn Ruytenberg氏が「Thunderspy」というThunderboltインターフェイスに対する物理的な攻撃手法を明らかにした。Thunderboltのセキュリティを迂回して簡単にPC内部のデータにアクセスできるとしている。それに対して、Thunderboltテクノロジーを開発するIntelは、「More information on Thunderbolt security」というブログ記事を公開。Thunderboltのセキュリティをめぐる論争が勃発している。
Ruytenberg氏によると、2019年よりも前のThunderboltを搭載するWindows PCまたはLinux PCで、電源が入ったままならスリープまたはロックされた状態からでもログインをバイパスしてPC内のデータにフルアクセスできる。ストレージの暗号化でも防げないという。
この攻撃手法ではノートPCの筐体底部を外すなど物理的にPC内部にアクセスする必要があるが、PCを分解する知識を持つ人なら短時間で、攻撃の痕跡を残さずにデータを抜き出せるという。持ち主不在の間に、机の上に置かれたままのPCやホテルの部屋に残されたPCなどからデータが盗みとられる「evil maid (邪悪なメイド)」攻撃の脅威に、多くのPCがさらされるとしている。Ruytenberg氏の説明では、同氏が作成した「Thunderbolt Controller Firmware Patcher (tcfp)」というファームウェアにパッチを当てるツールキットは、Thunderboltのセキュリティだけではなく、将来のファームウェアアップデートも無効化する。なお、Thunderboltポートを備えたMacも攻撃の対象にはなるが、macOSが受ける影響は一部に限られるという。
ThunderspyはDMA (ダイレクトメモリーアクセス)攻撃である。Thunderboltでは、PCIホットブラグインデバイスがメモリとの間で直接データを転送して優れたパフォーマンスを発揮する。だが、外部機器にメモリーへの直接アクセスを認めることはセキュリティのリスクが高まることを意味する。昨年、複数の大学のセキュリティ研究者から成るグループがDMAからThunderboltのセキュリティを回避する「Thunderclap」という攻撃手法を明らかにしていた。
ThunderclapはThunderboltのセキュリティレベルを引き上げたり、またはThunderbolt機能を無効 (DisplayPortもしくはUSB-Cとしてのみ使用)にすることで対処できたが、そうした方法ではThunderboltインターフェイスの価値が損なわれる。そこでIntelは、対策としてKernel Direct Memory Access (Kernel DNA)という保護技術を用意した。
Thunderspyは、セキュリティレベルの引き上げやThunderboltの無効化で完全に防ぐことはできない。だが、Intelが10日に公開したブログ記事によると、Kernel DNAが有効なPCのセキュリティは破られていない。同社は、その対策効果をアピールすると共に、Thunderboltインターフェイスを備えたPCのユーザーに対してシステムのKernel DNA対応を確認するように呼びかけている。
Kernel DNAについては、Ruytenberg氏も効果を認めている。だが、2019年よりも前のPCはKernel DNAを欠いており、「今でも (Kernel DNAは)スタンダードではない」と指摘。自分のシステムがThunderspyに対して安全であるかを確認するためのオープンソフトの無償ツール「Spycheck」を用意すると共に、一般的な対策として「PCを貸さない」「PCから離れない」、そして「スリープモードを使うのを避けハイバネーションまたは電源オフにすること」を勧めている。
SurfaceがThunderbolt 3非搭載の理由はセキュリティ!?
Thunderboltのセキュリティはしばらく前にも、Twitterでリークされた「MicrosoftがSurfaceデバイスにThunderbolt 3を採用しない理由」で話題になったばかりだった。それはSurfaceのエンジニアリングセミナーの音声のリークで、その中でMicrosoftのスタッフがThunderbolt 3やアップグレードできる取り外し可能なRAMを採用しないのは悪意のある攻撃からデータを保護するセキュリティ対策であるとし、Thunderbolt 3についてはダイレクトメモリーアクセスのリスクを挙げていた。
現時点におけるThunderboltのセキュリティに対するSurfaceチームの評価は不明だが、6日 (米国時間)にMicrosoftが発表した「Suface Book 3」でもThunderbolt 3への言及がなく、採用が見送られたと見られている。