# 出張時のノートPCにおけるサイバー脅威分析 ## 概要 本資料は、業務出張で日本国外(高リスク国含む)へノートPCを持参する際に、想定されるサイバー脅威を体系的に整理したものである。 **注記:このページは、「どの様なサイバー脅威があり得るか」を述べるまでで、「どの様に対策するか」は述べていない。** - **スコープ**: ノートPC持参に関わるサイバー脅威に限定（対面での人的脅威、物理的盗聴、攻撃者の偵察活動等は対象外） - **想定シナリオ**: 日本国外(高リスク国含む)への業務出張（10日間程度）。現地視察、展示会見学、学会発表、カンファレンス出席、取引先VIPとの会食など。 - **脅威ID体系**: `[大分類]-[中分類]-[連番]` - 大分類: `G`（General：一般出張）、`H`（High-Risk：高リスク国特有） - 中分類: 下表参照 | 大分類 | 中分類コード | 中分類名 | |:---:|:---:|:---| | G | PHY | 物理的脅威 | | G | NET | ネットワーク脅威 | | G | SUP | サプライチェーン・周辺機器 | | H | GOV | 国家レベルの監視・介入 | | H | NWE | ネットワーク環境の特殊性 | | H | LAW | 法制度・規制リスク | | H | TGT | 標的型攻撃 | > **【筆者注記】利害関係の開示** > 筆者は本稿で取り上げた組織・企業・団体・プロジェクト等との業務上の関係、出資関係、競合関係はない。 > 本稿はいかなる外部主体からの委託・資金援助も受けておらず、独立した調査・分析に基づく。 > **本記事の作成プロセス** > 本記事は、運営者とAIの協働により作成しています。作成プロセスおよび品質管理の詳細は、[[サイトポリシー#1.2 AI の利用について]]をご参照ください。 ### 変更履歴 | 版 | 日付 | 変更内容 | |:---|:---|:---| | v1.0 | 2026-02-11 | 初版 | | v1.1 | 2026-02-11 | G-PHY-02にPonemon/3Mビジュアルハッキング実験の定量的エビデンスを注記として追加 | | v0.2 | 2026-03-08 | 利害関係の開示と、本記事の作成プロセスを追記 | --- ## G：一般的な出張時のサイバー脅威（渡航先を問わず） ### G-PHY：物理的脅威 #### 脅威ID: G-PHY-01（端末の盗難・紛失） 概要: 空港、ホテル、カフェ等での端末の物理的喪失。ディスク暗号化されていなければデータ流出に直結する。 #### 脅威ID: G-PHY-02（ショルダーサーフィン） 概要: 公共空間での画面・キーボード操作の目視による盗み見。飛行機内は隣席との距離が近く特にリスクが高い。 注記: ビジュアルハッキング（ショルダーサーフィンを含む視覚的手段による情報窃取）の脅威は、Ponemon Instituteが3M社のスポンサーにより実施した実地実験で定量的に実証されている。2015年の米国実験（8社・43試行）を経て、2016年には中国、フランス、ドイツ、インド、日本、韓国、英国を加えた8カ国・46社・157試行のグローバル実験に拡大された[^48][^49]。主要結果として、ホワイトハッカーによるビジュアルハッキング試行の91%で機密情報の取得に成功、49%は15分以内に成功、1試行あたり平均3.9件の機密情報が取得された。取得情報の52%は従業員のPC画面からであり、27%はログイン認証情報・機密文書・財務情報等の高感度情報であった[^50]。なお、本実験は3Mがプライバシーフィルター製造者であるという利益相反を考慮する必要があるが、Ponemon Instituteの独立調査として実際のオフィス環境で実施されたものである。 #### 脅威ID: G-PHY-03（Evil Maid攻撃） 概要: ホテル客室清掃時等、短時間でも端末から離れる際にUSBデバイス挿入やファームウェア改ざんが行われるリスク。会食等で端末を客室に残して長時間離れる場面も対象。10日間の滞在では毎日の清掃で攻撃機会が累積する。 注記: Juice Jacking（G-SUP-01）とは異なり、Evil Maid攻撃には国家レベルの実行が疑われる事例（2007年の米商務長官ラップトップ侵害疑惑[^40]）、国家情報機関の組織的な運用実績（NSA ANTカタログ[^42]）、および実攻撃で確認されたUEFIルートキット（2018年のLoJax/Sednit[^45]）が存在する。研究レベルでは2018年にエンタープライズラップトップへの4分以内のファームウェアルートキット埋込みが実証されている[^44]。詳細は「補足資料：G-PHY-03 補足」を参照。対策として最も有効なのは端末の常時携行であり、それが不可能な場合はSecure Boot有効化、タンパーエビデント手段の併用が推奨される。 #### 脅威ID: G-PHY-04（会場機器との接続リスク） 概要: 学会・カンファレンスでの発表時に、会場PCや共用機器にUSBメモリを挿入する、あるいは自端末を接続する際のリスク。会場PCがマルウェアに感染している場合、USBメモリを介して自端末に感染が波及する。また、会場PCに自端末を直接接続した場合も同様のリスクがある。 注記: HDMI接続のCECプロトコル脆弱性を悪用した攻撃（HDMI-WALK等）は研究レベルでPoC（概念実証）が報告されているが[^1]、実際のインシデント事例は2025年2月時点で確認されていない。将来的な脅威として認識しておくべき攻撃面である。 #### 脅威ID: G-PHY-05（発表資料の事前提供による流出） 概要: 学会・カンファレンスの運営から「発表資料を事前にUSBまたはメールで提出してください」と求められる場合のリスク。USBメモリ経由の感染リスクに加え、発表資料自体（メタデータ含む）の意図せぬ流出・改ざんの可能性がある。 参考事例: 台湾のサイバーセキュリティイベントで賞品として配布された250本のUSBドライブのうち推定54本がマルウェア感染していた事例[^2]、IBMがセキュリティカンファレンスAusCERT（2010年）で配布したUSBキーにマルウェアが混入しリコールに至った事例がある[^3]。いずれも意図的攻撃ではなく運営側の管理不備だが、USBメモリの授受に伴うリスクの現実性を示している。 --- ### G-NET：ネットワーク脅威 #### 脅威ID: G-NET-01（公衆Wi-Fi盗聴） 概要: 空港・ホテル・カフェのWi-Fiにおける中間者攻撃（MitM）。偽アクセスポイントの設置（Evil Twin）を含む。カンファレンス会場が提供する「参加者専用Wi-Fi」も同様のリスクがある（管理者の信頼性、高リスク国では会場自体が政府系機関の影響下にある可能性）。 #### 脅威ID: G-NET-02（キャプティブポータル攻撃） 概要: ホテルWi-Fiのログイン画面を偽装し、認証情報を窃取する攻撃。 #### 脅威ID: G-NET-03（Bluetooth攻撃） 概要: Bluetoothを通じた不正接続・データ窃取。会場や公共空間でBluetoothを有効にしたまま放置することで、デバイスの探索・プロファイリングや不正ペアリングのリスクが生じる。 --- ### G-SUP：サプライチェーン・周辺機器 #### 脅威ID: G-SUP-01（USB充電罠：Juice Jacking） 概要: 公共のUSB充電ポートを通じたデータ窃取やマルウェア注入。USBポートは電力供給とデータ転送の両方に同一ケーブルを使用するため、理論上、充電ポートに悪意あるデバイスを仕込むことでデータ窃取やマルウェア注入が可能となる。ただし、2026年2月現在、公共充電ステーションでの実被害（in the wild）は一件も確認されていない。 注記: 本脅威は研究レベルでは複数のPoC（概念実証）が報告されているが、2026年2月現在、実際のインシデント事例は確認されていない。2025年には元CISA長官を含む86名のセキュリティリーダーが「ハックロア」（時代遅れのセキュリティ神話）の一つに分類している[^31]。一方、2025年のChoiceJacking研究[^36]では既存の緩和策の回避が実証されており、研究レベルの脅威は進化を続けている。詳細は「補足資料：G-SUP-01 補足」を参照。本脅威分析の想定シナリオ（高リスク国への業務出張）においては、国家レベルの攻撃者による標的型シナリオを理論上否定できないため脅威一覧から除外はしないが、実例のある脅威への対策を優先すべきである。対策としては、自身のACアダプター・モバイルバッテリーの使用が最も簡易かつ確実である。 #### 脅威ID: G-SUP-02（貸与・入手機器のリスク） 概要: 現地で借りた、または入手したケーブル・充電器・USBメモリ等に仕込まれたマルウェア。取引先オフィスで善意から提供される充電器やネットワーク接続も対象（取引先自体に悪意がなくとも、既に侵害されている環境への接続リスク）。 --- ## H：高リスク国特有のサイバー脅威 ### H-GOV：国家レベルの監視・介入 #### 脅威ID: H-GOV-01（国家による通信の全面的傍受） 概要: 中国のGreat Firewall（金盾）に代表される国家レベルのDPI（Deep Packet Inspection）[^17]。VPN通信の検出・遮断・解析も行われる。 #### 脅威ID: H-GOV-02（入出国時の端末検査） 概要: 入国時および出国時に、税関で端末の提出・検査を求められる可能性。法的根拠をもって端末内データの閲覧・コピーが行われる場合がある[^18]。端末が暗号化されている場合は復号を命じられることがあり、拒否が刑事罰につながる国もある。また、国家安全保障を名目とした端末データへの合法的アクセス権が根拠法として用いられる場合がある。出国時の検査はH-LAW-01（データ越境規制）と関連し、現地で取得・生成したデータの持ち出しが問題視される可能性がある。 対策の方向性: 「データを持つか持たないか」の二択ではなく、「業務上必要なデータのみ持参し、不要なデータが意図せず残っていないよう整理する」が基本原則。渡航前の「パソコンの大掃除」（不要ファイル・未使用アプリ・保存済みセッション情報等の棚卸し・削除）、帰国時の不要データ削除を徹底する。整理を徹底していれば、検査に対して全面的に協力でき、「この端末には業務上の機密データは入っていません」と自信を持って説明できる。最も目立たない対策が、最も効果的な対策でもある。 #### 脅威ID: H-GOV-03（監視ソフトウェアの強制インストール） 概要: 入国時・検問時に端末へ監視ソフトウェアのインストールが行われるリスク。報道されている事例としては、中国・新疆ウイグル自治区の国境検問所で外国人旅行者のAndroid端末にBXAQ（蜂采/Fengcai）と呼ばれるスパイウェアが強制インストールされていたケースがある（2019年報道）[^4]。この事例はスマートフォンが対象だったが、同じ検問プロセスではノートPCも検査対象となりうる。H-GOV-02（入出国時の端末検査）で物理アクセスを得た上でのソフトウェア改変は、G-PHY-03補足で調査したファームウェアレベルの攻撃技術（数分で完了するUEFIルートキット埋込み等[^44]）と技術的に連続しており、ノートPCに対しても成立するシナリオである。 #### 脅威ID: H-GOV-04（ターゲット型物理侵入） 概要: 一般的窃盗ではなく、国家機関による計画的な端末への物理アクセス。ビジネスパーソンや政府関係者が重点対象となる。 --- ### H-NWE：ネットワーク環境の特殊性 #### 脅威ID: H-NWE-01（国家レベルのMitM） 概要: 政府が管理するルート証明書を用いたHTTPS通信の傍受。2015年にCNNIC（中国インターネット情報センター）が発行した中間証明書がMitMプロキシに使用された事件では、GoogleとMozillaがCNNICルート証明書への信頼を撤回する措置を取った[^5]。ロシアでも国家TLS証明書システムの構築が進められており[^26]、TSPUによるSNIベースのTLS干渉も実証されている[^27]。 #### 脅威ID: H-NWE-02（DNS汚染・操作） 概要: 国家レベルでのDNS応答改ざんにより、正規サイトへのアクセスを偽サイトへ誘導する。 #### 脅威ID: H-NWE-03（VPN規制と検出） 概要: 多くの高リスク国でVPN利用が法的に規制されており、技術的にもDPI（深層パケット検査）によるプロトコル検出・遮断が行われている。ただし、規制の対象は「VPN」というプロトコル名ではなく、実質的には「国家が内容を識別できない完全暗号化トンネリング」である。各国のDPIシステム（中国のGFW、ロシアのTSPU等）は、OpenVPN、WireGuard、IKEv2、IPsec、L2TP等の既知VPNプロトコルをシグネチャベースで検出・遮断し、さらに既知プロトコルに合致しない完全暗号化トラフィック全般も遮断対象としている[^11]。一方、HTTPS（TLS）およびSSHは明示的に免除されている。これは経済活動に不可欠な暗号化通信を遮断すると経済インフラが破壊されるためであり、構造的に遮断不可能である。この「経済的に不可欠な暗号化は排除できない」という原則は、暗号規制（H-LAW-02）における「大衆消費用商業暗号の免除」と同じ構造である。 規制国は技術的な遮断構造により概ね3パターンに分類される[^12]。(A) プロトコル識別型（中国・ロシア）: DPIで既知VPNプロトコルおよび未知の完全暗号化トラフィックを遮断するが、HTTPS/SSHは許容。企業への影響を最小化するよう調整されている。VPNを模してTLS 1.3を装うプロトコル（VLESS等）との間でいたちごっこが続いている[^13]。(B) 包括禁止型（ベラルーシ・北朝鮮・トルクメニスタン・イラク）: VPN/Tor/暗号化通信全般を法的に禁止。企業利用の例外も限定的。法的リスクは最大だが、HTTPS通信を全面遮断する技術力・経済的余裕はない場合が多い。(C) 用途制限型（UAE・サウジアラビア・トルコ）: VPN技術自体は合法だが、検閲回避や違法行為への使用が処罰対象。罰則は厳しい（UAE最大約54万ドル[^14]、イラン最大1年の懲役[^28]）。 出張者にとっての実務的な含意は、「VPNを使うか使わないか」の二択ではなく、「どの通信をどの手段で保護するか」の粒度で考えることにある。HTTPS/SSHで完結する業務通信は全規制国で法的・技術的リスクが低い。全トラフィック暗号化トンネル（VPN）は全規制国で法的・技術的リスクがある[^15]。VPNが業務上必須な場合は、パターンAの国では政府認可VPNの利用（ただし通信内容が監視される前提）、パターンBの国では渡航自体の再検討が選択肢となる。 #### 脅威ID: H-NWE-04（渡航先国固有アプリの強制的利用環境） 概要: WeChat[^19]、Alipay等の現地アプリなしでは業務・日常生活が成り立たない状況で、それらアプリが端末上の広範な権限（連絡先、ファイル、位置情報等）を要求する。アプリの使用回避は現実的ではない。 対策の方向性: 業務端末とは別に「身代わりデバイス」を用意し、リスクのあるアプリはそちらにインストールする。これは「使い捨て（バーナー）」ではなく「使い分けの整理」であり、帰国後にワイプして次回の渡航に備えて保管する。身代わりデバイスの真価は、渡航前に予見できるアプリだけでなく、現地で突然インストールを求められる未知のアプリに対し「とりあえず入れて、帰国後に検証する」という判断の猶予を得られる点にある。端末分離のコスト増大はジレンマではなく、情報分離のための合理的な投資である。 --- ### H-LAW：法制度・規制リスク #### 脅威ID: H-LAW-01（データ越境規制） 概要: 中国のデータセキュリティ法（2021年施行）[^9]・個人情報保護法（2021年施行）[^10]等により、現地で生成・取得したデータの国外持ち出しが制限される場合がある。 #### 脅威ID: H-LAW-02（暗号規制） 概要: 中国やEAEU加盟国（ロシア、ベラルーシ、カザフスタン等）、ハンガリー、イスラエル等の国では、暗号化ソフトウェアの持込みや使用に許可・届出が必要とされている。中国については、2020年1月施行の暗号法（密码法）[^6]により規制枠組みが大幅に改定された。同法第28条は「大衆消費用の商業暗号（mass consumer products）」を輸入許可・輸出管理の対象外と規定しており、Windows BitLockerやmacOS FileVault等のOS標準搭載の暗号化機能はこの免除に該当する可能性が高い。ただし、「大衆消費用」の具体的な適用範囲（対象リスト）は未公表であり、法的な明確性は担保されていない。また、暗号法自体にはバックドア条項はないものの、サイバーセキュリティ法がネットワーク事業者に対し要求に応じたデータ提出義務を別途課しており、暗号化による保護が実質的にどこまで有効かは不透明である。さらに、実際の運用では省ごと・税関職員ごとに解釈が異なり、条文上の免除規定が現場で必ずしも適用される保証はない。なお、旧制度（国務院令第273号「商用暗号管理条例」）では海外製暗号製品の使用が原則禁止されていたが、暗号法の施行により同条例は実質的に置き換えられている。 参考（ハードウェア暗号化について）: TCG Opal 2.0準拠の自己暗号化ドライブ（SED）[^16]のように、ハードウェアレベルで暗号化が常時有効（always on）であり、利用者が暗号化の有効・無効を選択できない製品が存在する。SEDでは暗号鍵（MEK）がドライブ製造時にオンボードで生成されドライブの外に出ることはない。ただし、デフォルトではMEKは保護されておらず、電源投入時に誰でもデータにアクセスできる。利用者がパスワード（認証キー）を設定して初めてMEKがロックされ、プリブート認証が必要となる。この構造はBitLockerのPIN設定と類似しており、「暗号化の存在はハードウェアの物理的特性」だが「実効的な保護の有効化は利用者の選択」という二層構造になっている。SSD製造メーカーの一部がノートPC向けに製造しており、「大衆消費用商業暗号」の免除に該当する蓋然性はBitLocker等のソフトウェア暗号化と同程度と考えられる。ただし、中国当局がそう判断する保証はなく、税関でSEDの技術的性質を説明して免除を主張することの実効性には疑問が残る。 --- ### H-TGT：標的型攻撃 #### 脅威ID: H-TGT-01（人的接触を通じた攻撃） 概要: カンファレンスでのUSBメモリ配布、会食中の端末への物理アクセス等。 参考事例: 2023年にCheck Pointが報告したCamaro Dragon（Mustang Panda）事件では、アジアで開催されたカンファレンスの参加者がUSBドライブでプレゼン資料を共有した際に、中国系APTの自己増殖型マルウェア「WispRider」に感染。帰国後、欧州の医療機関ネットワークに感染が拡大した[^7]。また2012年のICS-CERT報告では、産業カンファレンスで講師のUSBドライブから資料をダウンロードした原子力セクター職員のラップトップがMariposaボットネットに感染し、帰社後に企業ネットワーク上の100以上のホストに拡大した[^8]。いずれもカンファレンスでの人的接触がマルウェア感染の起点となり、H-TGT-02（帰国後の持続的侵害）に直結した事例である。 #### 脅威ID: H-TGT-02（帰国後の持続的侵害） 概要: 出張中に仕込まれたバックドアやインプラントが、帰国後に自社ネットワーク内で活動を開始する。端末自体が「トロイの木馬」となるリスク。H-TGT-01の参考事例（Camaro Dragon事件、ICS-CERT原子力セクター事件）はいずれも本脅威が現実化した事例である。 --- ## 脅威ID一覧（クイックリファレンス） | # | 脅威ID | 脅威名 | 区分 | |:---:|:---|:---|:---:| | 1 | G-PHY-01 | 端末の盗難・紛失 | 一般 | | 2 | G-PHY-02 | ショルダーサーフィン | 一般 | | 3 | G-PHY-03 | Evil Maid攻撃 | 一般 | | 4 | G-PHY-04 | 会場機器との接続リスク | 一般 | | 5 | G-PHY-05 | 発表資料の事前提供による流出 | 一般 | | 6 | G-NET-01 | 公衆Wi-Fi盗聴 | 一般 | | 7 | G-NET-02 | キャプティブポータル攻撃 | 一般 | | 8 | G-NET-03 | Bluetooth攻撃 | 一般 | | 9 | G-SUP-01 | USB充電罠（Juice Jacking） | 一般 | | 10 | G-SUP-02 | 貸与・入手機器のリスク | 一般 | | 11 | H-GOV-01 | 国家による通信の全面的傍受 | 高リスク国 | | 12 | H-GOV-02 | 入出国時の端末検査 | 高リスク国 | | 13 | H-GOV-03 | 監視ソフトウェアの強制インストール | 高リスク国 | | 14 | H-GOV-04 | ターゲット型物理侵入 | 高リスク国 | | 15 | H-NWE-01 | 国家レベルのMitM | 高リスク国 | | 16 | H-NWE-02 | DNS汚染・操作 | 高リスク国 | | 17 | H-NWE-03 | VPN規制と検出 | 高リスク国 | | 18 | H-NWE-04 | 渡航先国固有アプリの強制的利用環境 | 高リスク国 | | 19 | H-LAW-01 | データ越境規制 | 高リスク国 | | 20 | H-LAW-02 | 暗号規制 | 高リスク国 | | 21 | H-TGT-01 | 人的接触を通じた攻撃 | 高リスク国 | | 22 | H-TGT-02 | 帰国後の持続的侵害 | 高リスク国 | --- ## 脅威間の関連性整理 ### 分析の観点 22件の脅威を個別に見るだけでは、攻撃の全体像は見えない。脅威間には以下の3つの関係性パターンが存在する。 1. **キルチェーン（連鎖）**: ある脅威が次の脅威の前提条件・起点となる関係 2. **上位互換（包含）**: 一般的脅威の「国家レベル版」が高リスク国特有脅威として存在する関係 3. **対策矛盾（ジレンマ）**: ある脅威への対策が、別の脅威への対策と相反する関係 --- ### パターン1: キルチェーン（連鎖） 最も重要な連鎖は、**多数の脅威がH-TGT-02（帰国後の持続的侵害）に収束する**構造である。H-TGT-02は単独で発生する脅威ではなく、他の脅威が「成功」した結果として発生する。 ```mermaid graph LR subgraph "認証情報の窃取" PHY02["G-PHY-02<br/>ショルダーサーフィン"] end PHY02 -->|パスワード窃取| PHY03 PHY02 -->|パスワード窃取| GOV04 subgraph "物理経路によるマルウェア埋込" PHY03["G-PHY-03<br/>Evil Maid攻撃"] PHY04["G-PHY-04<br/>会場機器との接続"] PHY05["G-PHY-05<br/>発表資料の事前提供"] NET03["G-NET-03<br/>Bluetooth攻撃"] SUP01["G-SUP-01<br/>USB充電罠"] SUP02["G-SUP-02<br/>貸与・入手機器"] GOV03["H-GOV-03<br/>監視SW強制インストール"] GOV04["H-GOV-04<br/>ターゲット型物理侵入"] TGT01["H-TGT-01<br/>人的接触を通じた攻撃"] end subgraph "ネットワーク経由の埋込" NET01["G-NET-01<br/>公衆Wi-Fi盗聴"] NWE01["H-NWE-01<br/>国家レベルMitM"] NWE02["H-NWE-02<br/>DNS汚染・操作"] end NET01 --> DL["不正な<br/>ダウンロード誘導"] NWE01 --> DL NWE02 --> DL PHY03 --> TGT02 PHY04 --> TGT02 PHY05 --> TGT02 NET03 --> TGT02 SUP01 --> TGT02 SUP02 --> TGT02 GOV03 --> TGT02 GOV04 --> TGT02 TGT01 --> TGT02 DL --> TGT02 TGT02["🎯 H-TGT-02<br/>帰国後の持続的侵害"] style TGT02 fill:#d32f2f,color:#fff,stroke:#b71c1c,stroke-width:3px style PHY02 fill:#ff9800,color:#fff,stroke:#e65100 style DL fill:#7b1fa2,color:#fff,stroke:#4a148c ``` この構造は、**H-TGT-02が「最終的な被害」であり、それ以外の多くの脅威が「攻撃経路」である**ことを示している。23件中12件がH-TGT-02に至る経路を持ち、さらにG-PHY-02（ショルダーサーフィン）が物理攻撃の成功率を高める「鍵を渡す」役割を担っている。対策設計においては、個々の経路を塞ぐだけでなく、H-TGT-02の発生を検知・阻止する最終防衛ライン（帰国後の端末検疫等）が不可欠であることを意味する。 --- ### パターン2: 上位互換（一般脅威の国家レベル版） 一般的な脅威（G系）のいくつかは、高リスク国では「国家レベル版」（H系）として質的に異なる脅威に変化する。対策の方向性は共通するが、想定すべき攻撃者の能力・リソースが格段に異なる。 ```mermaid graph LR subgraph "一般脅威（G系）" G_PHY03["G-PHY-03<br/>Evil Maid攻撃<br/><i>日和見的・短時間</i>"] G_NET01["G-NET-01<br/>公衆Wi-Fi盗聴<br/><i>偽AP・個人レベル</i>"] G_NET01b["G-NET-01<br/>公衆Wi-Fi盗聴<br/><i>特定AP内</i>"] G_NET02["G-NET-02<br/>キャプティブポータル<br/><i>偽ログイン画面</i>"] end subgraph "国家レベル版（H系）" H_GOV04["H-GOV-04<br/>ターゲット型物理侵入<br/><i>計画的・高度な技術・長時間確保</i>"] H_NWE01["H-NWE-01<br/>国家レベルのMitM<br/><i>ルート証明書・国家インフラ</i>"] H_GOV01["H-GOV-01<br/>国家による通信傍受<br/><i>全通信のDPI</i>"] H_NWE02["H-NWE-02<br/>DNS汚染・操作<br/><i>国家レベルのDNS改ざん</i>"] end G_PHY03 ==>|上位互換| H_GOV04 G_NET01 ==>|上位互換| H_NWE01 G_NET01b ==>|上位互換| H_GOV01 G_NET02 ==>|上位互換| H_NWE02 style H_GOV04 fill:#c62828,color:#fff,stroke:#b71c1c style H_NWE01 fill:#c62828,color:#fff,stroke:#b71c1c style H_GOV01 fill:#c62828,color:#fff,stroke:#b71c1c style H_NWE02 fill:#c62828,color:#fff,stroke:#b71c1c style G_PHY03 fill:#1565c0,color:#fff,stroke:#0d47a1 style G_NET01 fill:#1565c0,color:#fff,stroke:#0d47a1 style G_NET01b fill:#1565c0,color:#fff,stroke:#0d47a1 style G_NET02 fill:#1565c0,color:#fff,stroke:#0d47a1 ``` この関係性は、**G系の対策だけでは高リスク国では不十分**であることを示す。たとえば、公衆Wi-Fiを避けるだけではH-GOV-01（全通信の傍受）は回避できない。VPNで対策しようとすればH-NWE-03（VPN規制と検出）に直面する。 --- ### パターン3: 対策矛盾（ジレンマ） 最も実務的に重要なパターン。ある脅威への対策が、別の脅威を生み出す、または別の規制に抵触する関係。ただし、調査の結果、当初「矛盾」と想定された4項目はいずれも**中間解が存在するか、そもそもジレンマではない**ことが判明した。 ```mermaid graph LR A1["G-PHY-01<br/>盗難・紛失"] -->|対策| M1["ディスク暗号化<br/>（BitLocker等）"] M1 -->|条件付き矛盾| B1["H-LAW-02<br/>暗号規制<br/><i>※大衆消費用免除の<br/>可能性あるが不明確</i>"] A2["G-NET-01<br/>Wi-Fi盗聴"] -->|対策| M2["VPN利用"] M2 -->|条件付き矛盾| B2["H-NWE-03<br/>VPN規制と検出<br/><i>※HTTPS/SSHは全規制国で<br/>許容。全トラフィックVPNが対象</i>"] A3["H-GOV-02<br/>端末検査"] -->|対策| M3["データ最小化"] M3 -->|条件付き矛盾| B3["業務遂行に必要な<br/>データが使えない<br/><i>※「持つ/持たない」ではなく<br/>「整理」が中間解</i>"] A4["H-NWE-04<br/>渡航先国固有アプリの<br/>強制的利用環境"] -->|対策| M4["身代わりデバイスで<br/>利用（業務端末と分離）"] M4 -.->|必要コスト| B4["2台持ちの<br/>運用負荷・コスト増大<br/><i>※ジレンマではなく<br/>合理的な「使い分けの整理」</i>"] style A1 fill:#1565c0,color:#fff,stroke:#0d47a1 style A2 fill:#1565c0,color:#fff,stroke:#0d47a1 style A3 fill:#c62828,color:#fff,stroke:#b71c1c style A4 fill:#c62828,color:#fff,stroke:#b71c1c style M1 fill:#2e7d32,color:#fff,stroke:#1b5e20 style M2 fill:#2e7d32,color:#fff,stroke:#1b5e20 style M3 fill:#2e7d32,color:#fff,stroke:#1b5e20 style M4 fill:#2e7d32,color:#fff,stroke:#1b5e20 style B1 fill:#e65100,color:#fff,stroke:#bf360c style B2 fill:#e65100,color:#fff,stroke:#bf360c style B3 fill:#e65100,color:#fff,stroke:#bf360c style B4 fill:#37474f,color:#fff,stroke:#263238 ``` 以上4項目のうち、暗号化・VPN・データ最小化の3つは**条件付き矛盾であり中間解が存在する**。渡航先国固有アプリの端末分離は**ジレンマではなく必要コスト**である。いずれも二者択一ではなく、適切な粒度で対策を設計することで解消または受容が可能である。 **暗号化（G-PHY-01 vs H-LAW-02）** については、中国の2020年暗号法第28条により「大衆消費用商業暗号」が免除対象とされたことで、OS標準搭載の暗号化（BitLocker、FileVault等）は規制対象外となる可能性が高い。このため、当初想定された「暗号化すれば違法」というジレンマは**条件付きで緩和**されている。ただし、具体的な免除対象リストは未公表であり、税関での運用も省・担当者ごとに異なるため、**法的な確実性は担保されていない**。実務的には「OS標準の暗号化はそのまま使用し、追加の暗号化ツールは搭載しない」が現時点での合理的な判断となる。 **VPN（G-NET-01 vs H-NWE-03）** については、各国のDPIシステムの調査から、規制の本質は「VPN」という名称ではなく「国家が識別できない完全暗号化トンネリング」であることが判明した。中国のGFW、ロシアのTSPU、ベラルーシのDPIいずれも、HTTPS（TLS）およびSSHを明示的に許容している。これはウェブ商取引、クラウドサービス、サーバー管理等の経済活動に不可欠であり、構造的に遮断できないためである。したがって「Wi-Fi盗聴対策にはVPNが必要だがVPNは規制されている」というジレンマにも**条件付きの中間解**がある。業務通信をHTTPS/SSH経由に限定する設計（Webベースのメール・クラウドサービス、SSH経由のサーバーアクセス等）が法的・技術的にリスクの低い現実解となる。全トラフィックVPNが業務上必須な場合は、プロトコル識別型の国（中国・ロシア）では政府認可VPNの利用（通信内容が監視される前提で受容）、包括禁止型の国（ベラルーシ・北朝鮮等）では渡航自体の再検討が選択肢となる。 **データ最小化（H-GOV-02 vs 業務データ）** については、「データを持つか持たないか」の二択ではなく、**「業務上必要なデータのみ持参し、不要なデータが意図せず残っていないよう整理する」** が中間解となる。具体的には、渡航前に「パソコンの大掃除」として不要ファイル・未使用アプリ・保存済みセッション情報等を棚卸し・削除し、持ち込む情報を必要最小限に絞る。帰国時にも、渡航中に端末内に蓄積された不要データを削除してから出国する。この「整理」アプローチの利点は、目立たないことにある。バーナーデバイス（空の端末）のような特別な対策は「何かを隠している」という印象を与えかねないが、普通の端末を普通に整理して普通に持参する行為は、何も悪目立ちしない。**最も目立たない対策が、最も効果的な対策でもある**。そして万が一当局から検査を求められた場合、整理を徹底していれば開示に全面的に協力できる。「この端末には業務上の機密データは入っていません」と自信を持って言えるのは、情報を整理している人だけである。セキュリティ専門家は、整理名人でもなければならない。 **渡航先国固有アプリ（H-NWE-04 vs 端末分離）** については、上記3つとは性質が異なり、**ジレンマではなく必要コスト**として整理すべきである。中国ではWeChat、Alipay等のアプリなしには日常の業務・生活が成り立たない。これらのアプリが要求する広範な権限（連絡先、ファイル、位置情報等）を業務端末に許容することは避けるべきだが、アプリの使用を回避することはできない。したがって、業務端末とは別に「身代わりデバイス」を用意し、リスクのあるアプリはそちらにインストールする。これは「使い捨て（バーナー）」ではなく**「使い分けの整理」**であり、帰国後にワイプして次回の渡航に備えて保管すればよい。身代わりデバイスの真価は、渡航前に予見できるアプリ（Alipay等）だけでなく、現地で突然インストールを求められる未知のアプリへの対応にある。その場面ではセキュリティ専門家に相談する時間的猶予はなく、自身で判断するしかない。メイン端末であればためらう判断でも、身代わりデバイスであれば「とりあえず入れて、帰国後に検証する」という選択肢を取ることができる。2台持ちのコスト増大はジレンマではなく、情報分離のための合理的な投資である。 --- ### パターン4: 入出国時の集中リスク 入出国時は複数の脅威が同時に発生し得る特異な時間帯である。 ```mermaid graph TB subgraph "入国時" direction LR I_GOV02["H-GOV-02<br/>端末検査"] --> I_R1["データ閲覧・コピー"] I_GOV03["H-GOV-03<br/>監視SW強制インストール"] --> I_R2["H-TGT-02<br/>帰国後の持続的侵害"] I_LAW02["H-LAW-02<br/>暗号規制"] --> I_R3["復号要求 or 端末押収"] end style I_GOV02 fill:#c62828,color:#fff,stroke:#b71c1c style I_GOV03 fill:#c62828,color:#fff,stroke:#b71c1c style I_LAW02 fill:#e65100,color:#fff,stroke:#bf360c style I_R2 fill:#d32f2f,color:#fff,stroke:#b71c1c style I_R3 fill:#d32f2f,color:#fff,stroke:#b71c1c ``` ```mermaid graph TB subgraph "出国時" direction LR O_GOV02["H-GOV-02<br/>端末検査"] --> O_R1["データ閲覧・コピー"] O_LAW01["H-LAW-01<br/>データ越境規制"] --> O_R2["現地データ持ち出し制限"] O_R2 --> O_R3["データ削除要求 or 端末押収"] end style O_GOV02 fill:#c62828,color:#fff,stroke:#b71c1c style O_LAW01 fill:#e65100,color:#fff,stroke:#bf360c style O_R3 fill:#d32f2f,color:#fff,stroke:#b71c1c ``` 入国時と出国時では**検査の目的が異なる**（入国=持込物の確認、出国=持出物の確認）が、いずれも端末検査が起点となる。このため、H-GOV-02は脅威一覧の中でも特に広い影響範囲を持つ脅威と言える。 --- ### 関連性マトリクス 脅威間の関連性を以下の記号で表現する。 - **→**: 左の脅威が右の脅威の前段階・起点（キルチェーン） - **⇈**: 左の脅威の国家レベル版が右の脅威（上位互換） - **⟷**: 対策が相互に矛盾（ジレンマ） - **＋**: 同時発生により被害が拡大（複合リスク） | 起点 | 関連先 | 関係 | 説明 | |:---|:---|:---:|:---| | G-PHY-02 | G-PHY-03 | → | ショルダーサーフィンでパスワード窃取→Evil Maid攻撃時のロック解除を容易にする | | G-PHY-02 | H-GOV-04 | → | ショルダーサーフィンでパスワード窃取→ターゲット型物理侵入時のロック解除を容易にする | | G-PHY-03 | H-TGT-02 | → | Evil Maidでマルウェア埋込→帰国後侵害 | | G-PHY-03 | H-GOV-04 | ⇈ | Evil Maidの国家レベル版がターゲット型物理侵入 | | G-PHY-04 | H-TGT-02 | → | 会場機器接続でマルウェア感染→帰国後侵害 | | G-PHY-05 | H-TGT-02 | → | 資料提供用USBからマルウェア感染→帰国後侵害 | | G-NET-01 | H-GOV-01 | ⇈ | 公衆Wi-Fi盗聴の国家レベル版が全通信傍受 | | G-NET-01 | H-NWE-01 | ⇈ | 公衆Wi-Fi MitMの国家レベル版が国家MitM | | G-NET-01 | H-NWE-03 | ⟷ | Wi-Fi盗聴対策のVPNがVPN規制と条件付き矛盾（HTTPS/SSHは全規制国で許容されるため、業務通信をHTTPS/SSH経由に限定する中間解がある） | | G-NET-02 | H-NWE-02 | ⇈ | キャプティブポータルの国家レベル版がDNS汚染 | | G-NET-03 | H-TGT-02 | → | Bluetooth経由の不正接続→マルウェア注入→帰国後侵害 | | G-SUP-01 | H-TGT-02 | → | USB充電罠でマルウェア注入→帰国後侵害 | | G-SUP-02 | H-TGT-02 | → | 貸与機器からマルウェア感染→帰国後侵害 | | G-PHY-01 | H-LAW-02 | ⟷ | 盗難対策の暗号化が暗号規制と条件付き矛盾（OS標準暗号化は免除の可能性が高いが法的確実性なし） | | H-GOV-02 | H-LAW-01 | ＋ | 出国時端末検査とデータ越境規制が複合 | | H-GOV-02 | H-LAW-02 | ＋ | 端末検査時に暗号化が復号要求を誘発 | | H-GOV-03 | H-TGT-02 | → | 監視SW強制インストール→帰国後侵害 | | H-GOV-04 | H-TGT-02 | → | ターゲット型物理侵入でマルウェア埋込→帰国後侵害 | | H-NWE-01 | H-TGT-02 | → | 国家MitMで不正ダウンロード誘導→帰国後侵害 | | H-NWE-02 | H-TGT-02 | → | DNS汚染で偽サイト誘導→マルウェア感染→帰国後侵害 | | H-TGT-01 | H-TGT-02 | → | 人的接触でマルウェア感染→帰国後侵害 | --- ### 分析から導かれる対策設計の示唆 1. **H-TGT-02（帰国後の持続的侵害）が最大の収束点**: 22件中12件がH-TGT-02に至る経路を持ち、さらにG-PHY-02がそれらの成功率を高める。個々の経路を全て塞ぐことは現実的ではないため、**帰国後の端末検疫**が最も費用対効果の高い対策ポイントとなる 2. **当初想定された対策矛盾は全て解消可能**: パターン3で識別した4つの矛盾は、調査の結果いずれも解消可能であることが判明した。(a) 暗号化 vs 暗号規制は、2020年暗号法の大衆消費用免除によりOS標準暗号化が条件付きで許容。(b) VPN vs VPN規制は、DPIが遮断するのは完全暗号化トンネリングでありHTTPS/SSHは全規制国で許容されるため、業務通信をHTTPS/SSH経由に限定する設計が中間解。(c) データ最小化 vs 業務データは、「持つ/持たない」の二択ではなく「整理」——業務上必要なデータのみ持参し不要データを残さない——が中間解。(d) 渡航先国固有アプリ vs 端末分離はジレンマではなく必要コストであり、「身代わりデバイス」による使い分けの整理で対応。対策設計のキーワードは「OS標準暗号化のみ使用」「HTTPS/SSHベースの業務通信設計」「情報の整理」「身代わりデバイスによる端末分離」「現地SIM+ローミング」である 3. **入出国時が最もリスクが集中する時間帯**: H-GOV-02を起点に複数の法制度リスクが同時発生する。この時間帯に対する事前準備（端末の状態管理、データの事前退避等）が重要 4. **上位互換関係の認識**: G系の対策が高リスク国では不十分であることを前提に、H系脅威に対応した追加対策が必要。「一般的な出張対策＋高リスク国追加対策」の二層構造での対策設計が合理的 --- ## 補足資料 ### G-SUP-01 補足: Juice Jacking実例調査 本脅威は研究レベルでは複数のPoC（概念実証）が報告されているが、実際のインシデント事例は確認されていない点で、本一覧表中の他の脅威とは性質が異なる。以下に調査結果を整理する。 #### 実例の不在と政府機関の警告 2023年のArs Technica調査は、近代的なiOS/Androidデバイスにおける公共充電ステーション経由のJuice Jackingの「文書化された事例はない（no documented cases）」と結論付けた[^29]。Appleも同調査に対し、実際の攻撃を認識していないと回答している。2019年にはロサンゼルス郡検察がJuice Jackingの警告を公表したが、TechCrunchの取材に対し「no cases（事例なし）」と回答した[^30]。2023年4月にはFBI Denver支局のX（旧Twitter）アカウント、同時期にFCCも警告を更新したが、いずれも新たな事例に基づくものではなく、過去の警告を相互に引用する「メディア・政府機関フィードバックループ」と指摘されている[^29]。2025年6月にもTSAが空港でのJuice Jacking警告を発出している。 #### 「ハックロア」（Hacklore）としての分類 2025年11月、元CISA長官Jen Easterly、元CISAシニアアドバイザーBob Lord、Microsoft副CISOを含む86名のセキュリティリーダーが「Stop Hacklore!」公開書簡を発表し、Juice Jackingを「時代遅れのセキュリティ神話」の一つに明示的に分類した[^31]。同書簡は「一般ユーザーに影響を与えた検証済みの'Juice Jacking'事例は存在しない。現代のデバイスはデータ転送前にユーザー確認を要求し、デフォルトで制限的な充電モードに設定されている」と述べている。 #### 研究レベルのPoC（概念実証）の経緯 | 年 | 名称 | 研究者／発表場所 | 内容 | |:---|:---|:---|:---| | 2011年 | Juice Jacking（命名） | Wall of Sheep / DEF CON 19 | 啓発用充電キオスクの設置。Brian Krebsが「Juice Jacking」を命名[^32] | | 2013年 | Mactans | Georgia Tech / Black Hat USA | 悪意あるUSB壁充電器のPoC。当時最新のiOSデバイスに1分以内でトロイの木馬をインストール[^33] | | 2016年 | Video Jacking | Aries Security / DEF CON | USB充電ステーション経由でスマートフォンの画面ミラーリングを記録するPoC。$220の部品で構築可能[^34] | | 2018年 | Trustjacking | Symantec / RSA Conference | iOSでUSB経由のコンピュータ信頼承認がWi-Fi経由のiTunes APIにも適用される問題を報告[^35] | | 2025年 | ChoiceJacking | グラーツ工科大学 / USENIX Security 2025 | 既存のJuice Jacking緩和策（ユーザー確認プロンプト）を回避する新たな攻撃手法。主要8ベンダーの全11デバイスで成功[^36] | #### ChoiceJacking（2025年）の詳細 ChoiceJackingは、オーストリアのグラーツ工科大学の研究者が2025年に発表した攻撃手法で、USENIX Security 2025で報告された[^36]。既存のJuice Jacking対策（データ転送前のユーザー確認プロンプト）は「攻撃者が入力イベントを注入できない」という前提に依存していたが、ChoiceJackingはこの前提を覆し、悪意ある充電器がユーザー入力を偽装して自律的にデータ接続を承認する。3つの攻撃手法（AOAP悪用、入力キューのレースコンディション、Bluetooth HID偽装）が報告され、主要8ベンダー（Samsung、Apple、Google、Xiaomi等）の全11デバイスが脆弱であった。AppleはiOS/iPadOS 18.4で、GoogleはAndroid 15で、データ転送承認に生体認証またはパスワード入力を要求する対策を実装した[^37]。ただし、ChoiceJackingも研究レベルのPoCであり、実攻撃事例は報告されていない。 #### 脅威評価上の位置づけ Juice Jackingは「理論的には可能だが実例のない脅威」という稀有な位置づけにある。専門家の評価は概ね以下に収斂する[^33][^38]。 - 一般ユーザーに対するリスクは他の脅威（フィッシング等）と比較して低い - 国家レベルの標的型攻撃シナリオでは理論的に成立しうるが、Pegasusスパイウェアのようなリモート手段のほうが効率的 - 公共充電ステーションへの物理的な改造が必要であり、発覚リスクが高く、スケーラビリティに欠ける --- ### G-PHY-03 補足: Evil Maid攻撃の実例調査 Evil Maid攻撃は、Juice Jacking（G-SUP-01）とは対照的に、国家レベルでの実行が疑われる事例、研究レベルのPoC、および実際のマルウェアキャンペーンが複数確認されている。以下に調査結果を整理する。 #### 用語の起源 2009年、セキュリティ研究者Joanna Rutkowska（Qubes OSの開発者）がブログ記事で「Evil Maid Attack」という用語を提唱した[^39]。ホテルの客室清掃員のように、短時間の物理アクセスで暗号化端末を侵害できることを実証するため、TrueCryptのフルディスク暗号化を回避するUSBブートスティックによるPoCを公開した。攻撃者は約1分で偽のブートローダーを書き込み、次回の起動時にユーザーが入力するパスフレーズを窃取できる。Bruce Schneierは同攻撃について「TrueCryptに限らず、TPMを伴わないあらゆるディスク暗号化に同種の脆弱性が存在する」とコメントした[^39]。 #### 実世界で疑われる事例 **米商務長官Carlos Gutierrezのラップトップ侵害疑惑（2007年12月）** 2008年5月、AP通信は、米商務長官Carlos Gutierrezが2007年12月の北京訪問時にラップトップの内容を秘密裏にコピーされた疑いがあると報じた[^40]。北京での通商協議の際にラップトップを放置したところ、帰国後、商務省に対して少なくとも3回の深刻な侵入未遂が発生し、US-CERTが緊急出動した。Gutierrez長官自身は調査中を理由にコメントを拒否した。CSIS（戦略国際問題研究所）のスパイ活動データベースにも「Chinese officials inserted spyware onto the laptop of U.S. Secretary of Commerce Carlos Gutierrez during a trade mission」として記録されている[^41]。中国外務省は疑惑を全面否定した。 なお、同時期に米国家防諜局長Joel F. Brennerは講演で、北京出張の米国金融企業幹部が「空港着陸からホテル到着までの間にPDAに5つのビーコン（スパイウェア埋込み試行）を検出した」事例を紹介している[^40]。 **対応の制度化**：この事件を契機に、国土安全保障省（DHS）等の米政府機関は、海外出張時にサニタイズド・ラップトップ（必要最低限の情報のみを搭載した端末）を提供し、日常使用のラップトップは国内に残す規則を制度化した[^40]。2009年には、Symantec CTOのMark Bregmanが中国出張前に複数の米国政府機関から「端末を国内に残し、現地で新品を購入し、帰国後に廃棄せよ」と助言された事例も報告されている。 #### ファームウェアレベルの攻撃：研究と実例 | 年 | 名称 | 研究者／発表場所 | 内容 | |:---|:---|:---|:---| | 2009年 | Evil Maid PoC | Joanna Rutkowska / Invisible Things Lab | TrueCryptのフルディスク暗号化をUSBブートスティックで回避するPoC。約1分で攻撃完了[^39] | | 2013年 | NSA ANTカタログ（リーク） | Der Spiegel / Snowdenリーク関連 | NSA TAO部門の機密ツールカタログ。BIOS/ファームウェアインプラント（SWAP, IRATEMONK等）、USB型インプラント（COTTONMOUTH）、サプライチェーン途上での物理的改竄（interdiction）を含む200以上のツールを記載。「has been deployed」の記述あり[^42] | | 2014年 | DarkHotel APT | Kaspersky Lab | アジアの高級ホテルWi-Fiを侵害し、宿泊中の企業幹部を標的にしたAPTキャンペーン。2007年から7年間活動。CEO・上級副社長・R&D責任者等が標的。ホテル予約システムへのアクセスにより到着・出発時刻、部屋番号、氏名を把握。3,000件以上の攻撃を確認[^43] | | 2018年 | Evil Maidファームウェアルートキット | Eclypsium | USB debug経由でUEFIファームウェアに永続的ルートキットをインストールするデモ。Dellエンタープライズラップトップで4分以内に攻撃完了。「スクリプトキディでも実行可能」と評価（CVE-2018-3652）[^44] | | 2018年 | LoJax UEFIルートキット | ESET / Sednit（Fancy Bear, APT28） | **史上初めて実攻撃で検出されたUEFIルートキット**。バルカン半島および中東欧の政府機関を標的。OS再インストールやハードディスク交換後も永続化。駆除にはSPIフラッシュメモリの再書き込みまたはマザーボード交換が必要[^45] | #### 各事例の詳細 **NSA ANTカタログとサプライチェーン・インターディクション** 2013年12月にDer Spiegel誌がリークしたNSAの機密文書は、TAO（Tailored Access Operations）部門が物理的アクセスを前提とした多数のインプラント・ツールを開発・運用していることを明らかにした[^42]。特に注目すべきは「インターディクション」と呼ばれる手法で、配送中のネットワーク機器やコンピューターを途中で傍受し、「ロードステーション」と呼ばれる秘密施設でインプラントを埋め込んでから再梱包・配送するものである。NSA内部文書はこれを「TAOで最も生産性の高い作戦の一つ」と記述している。シリア通信機構向けのネットワーク機器への成功例も文書化されている。Evil Maid攻撃の延長線上にあるこのサプライチェーン攻撃は、国家情報機関が物理アクセスを活用した端末侵害を組織的に運用していることの証左である。 **DarkHotel APT** DarkHotelは、厳密にはEvil Maid攻撃（端末への直接物理アクセス）ではなく、ホテルのWi-Fiネットワーク自体を侵害して宿泊客の端末にマルウェアを送り込むAPTキャンペーンである[^43]。ただし、ホテルの予約システムへのアクセスや、攻撃後の痕跡消去の手口は、物理的内通者または内部システムへのアクセスを示唆しており、「ホテル滞在時の脅威」として本脅威と密接に関連する。Kaspersky Labの調査では、研究者がハニーポット端末を持参してDarkHotel被害ホテルに宿泊しても攻撃は発生せず、標的は事前に選定されていたことが判明している。 **LoJax：実攻撃で確認された初のUEFIルートキット** 2018年にESETが発見したLoJaxは、Evil Maid攻撃の技術が実際のサイバー攻撃で使用された最も重要な証拠である[^45]。LoJaxはロシアのAPTグループSednit（Fancy Bear / APT28）が使用し、以下の特徴を持つ。 - 正規のアンチ盗難ソフトウェアLoJackのUEFIモジュールを改変して作成 - SPI（Serial Peripheral Interface）フラッシュメモリに書き込まれ、OS再インストールやハードディスク交換後も永続化 - 駆除にはSPIフラッシュメモリの再書き込み（専門的操作）またはマザーボード交換が必要 - 当時、ファームウェア書き込み保護が適切に設定されていないか、古いチップセットを使用するシステムが脆弱だった - Secure Bootが正しく設定されたシステムでは阻止可能（LoJaxは正規の署名を持たないため） LoJaxはリモートからの感染も可能だったが、ESETの報告書は「ファームウェアへのアクセスは物理アクセスまたはファームウェアの脆弱性悪用で達成される」と述べており、Evil Maid攻撃の物理アクセスシナリオとの技術的連続性がある。 #### 対策技術の発展 Evil Maid攻撃への対策として、以下の技術と手法が開発されている。 - **Secure Boot / Intel Boot Guard**：UEFI署名検証により未署名のファームウェア改変を検出・阻止。LoJaxのような未署名ルートキットに有効だが、署名鍵の管理が課題 - **TPM（Trusted Platform Module）**：ブートプロセスの完全性を測定・検証。ただしTPM自体がクローズドソースであり、完全な信頼の根拠とはならない - **Anti-Evil Maid（AEM）**：Qubes OSプロジェクトが提供するTPMベースの起動認証。正しいパスワードが入力され、かつ未認可コードが実行されていない場合にのみデバイスのロックを解除。ただしTPM 1.2のみ対応で、2018年以降開発が停滞しており、現行ハードウェアでの利用は制限される[^46] - **Haven（2017年）**：Edward Snowdenが開発に関わったAndroidアプリ。端末のセンサー（動体検知・音声・振動・光）を用いて不在時の物理的アクセスを検出・記録し、ユーザーに通知。ただし2020年頃を最後に開発が停滞しており、正式版リリースには至っていない[^47] - **物理的改竄検知**：タンパーエビデントシール、ネジへのグリッターネイルポリッシュ塗布等による視覚的な改竄検出（低コストだが効果的） #### 脅威評価上の位置づけ Evil Maid攻撃は、Juice Jacking（G-SUP-01）との比較において以下の重要な違いがある。 - **実例の存在**：Gutierrez事件（疑惑レベル）、NSA ANTカタログ（確認済み作戦能力）、DarkHotel APT（確認済みキャンペーン）、LoJax（確認済みUEFIルートキット）と、実世界での関連事例が複数存在する - **技術的成熟度**：2009年のPoC以降、2018年にはエンタープライズラップトップへの4分以内の攻撃が実証され、同年にはAPTグループによる実攻撃も確認された。攻撃技術は研究段階から運用段階に移行している - **国家レベルの運用実績**：NSA ANTカタログおよびLoJax/Sednitの事例は、少なくとも2つの国家レベルのアクターが物理アクセスを前提とした端末侵害を組織的に運用していることを示す 本脅威分析の想定シナリオ（高リスク国への業務出張）において、Evil Maid攻撃は理論的脅威ではなく、実績のある攻撃手法として位置づけるべきである。最も有効な対策は端末を常時携行することであり、それが不可能な場合はホテルの金庫（小型で持ち出し可能なものは不可）の利用、Secure Boot / Boot Guardの有効化、タンパーエビデント手段の併用が推奨される。 --- ### H-NWE-03 補足: 各国VPN規制のDPI技術比較 | 項目 | 中国（GFW） | ロシア（TSPU） | ベラルーシ | |:---|:---|:---|:---| | DPIシステム | Great Firewall | TSPU（2019年主権インターネット法で導入[^20]） | 国営Beltelecom管理のDPI | | 遮断対象プロトコル | OpenVPN, WireGuard, IPsec等 + 未知の完全暗号化トラフィック | OpenVPN, IKEv2, WireGuard, PPTP, IPsec, L2TP, Shadowsocks等 | VPN, Tor, 暗号化メッセージング全般 | | HTTPS/TLS | **明示的に許容**（経済活動保護） | **許容**（企業影響の最小化を意図） | **法的には禁止対象に含みうるが、事実上許容** | | SSH | **許容**（6バイト以上のASCII文字列で識別） | **許容** | **同上** | | 検出手法 | パケットヘッダ分析 + 統計的トラフィック分析 + アクティブプロービング | プロトコルフィンガープリンティング + DPI署名 + 統計分析[^23] | DPIベースの検出 | | 遮断の粒度 | データセンターIP範囲の約26%の接続に適用（全トラフィックではない）。TCPのみ（UDP非対象）[^11] | ISP・地域により差あり。モバイル回線でより厳格 | 不透明 | | 企業VPNの扱い | 政府認可VPNのみ許可（ログ記録・監視あり） | 企業VPNは除外を意図するが完全ではない。GOST暗号規格準拠を推奨[^24] | 企業利用も制限的 | | 回避策との攻防 | VLESSやTrojan等のTLS偽装プロトコルとのいたちごっこ | 同様にVLESS/Trojan + CDN利用が最後の手段 | 規模が小さいため情報が限定的 | | 法的罰則 | インターネットアカウント停止。個人への罰金500〜15,000元[^22] | 2025年9月〜行政罰。VPN使用は犯罪の加重事由[^21]。VPN宣伝は5〜80万ルーブル罰金 | 重い罰金。再犯は懲役刑[^25] | --- ### スコープ外（別途管理） 以下は脅威ではなく「増幅因子」（脆弱性・環境要因・攻撃準備活動）として識別されたもの。ノートPCへの直接的脅威ではないが、他の脅威の発生確率や精度を押し上げる性質を持つため、脅威一覧には含めず別途管理する。 **環境要因・脆弱性** - セキュリティ疲労（Security Fatigue）：10日間の出張後半での判断劣化 - 行動パターンの予測可能化：長期滞在による出発・帰室時間等のパターン化 - セキュリティアップデートの遅延：社内ネットワークからの長期切断 - VPN長期利用の検出リスク上昇：10日間の継続的VPN利用による検出確率の上昇 - 参加者バッジによる行動追跡：カンファレンス等の参加者バッジ（RFID/NFC）により入退室やセッション参加が追跡され、行動パターンが把握されるリスク。H-GOV-04（ターゲット型物理侵入）等の実行精度を高める増幅因子 **攻撃者の偵察活動** - 出張情報の事前把握による攻撃準備：航空券予約・ホテル予約等のデータから出張者を事前に特定し、標的型攻撃を準備する活動。ノートPCへの直接的脅威ではなく、H-GOV-04（ターゲット型物理侵入）やH-TGT-01（人的接触を通じた攻撃）の前段階 - 学会プログラム等による攻撃対象の特定：学会・カンファレンスのプログラムに氏名・所属・発表タイトル・発表日時が公開されることで、攻撃者の偵察フェーズが大幅に省略される。上記の出張情報把握より精度が高く、専門領域まで把握された上で標的型攻撃が準備される --- ## 脚注 [^1]: L. Puche Rondon, L. Babun, K. Akkaya, A. S. Uluagac, "HDMI-Walk: Attacking HDMI Distribution Networks via Consumer Electronic Control Protocol," ACSAC '19 (35th Annual Computer Security Applications Conference), December 2019, Florida International University. https://dl.acm.org/doi/10.1145/3359789.3359841 [^2]: WeLiveSecurity, "Security event in Taiwan 'rewards' quiz winners with malware-laden USB drives," January 2018. 台湾の情報セキュリティイベント（2017年12月、総統府主催）で刑事局が配布した250本のUSBドライブのうち54本がマルウェア感染。外注先の検品用PCが感染源。 https://www.welivesecurity.com/2018/01/12/taiwan-rewards-winners-malware-usb-sticks/ [^3]: Bitdefender / Hot for Security, "Cybersecurity quiz winners rewarded with malware-infected USB sticks," January 2018. 同記事内でIBMがAusCERTセキュリティカンファレンス（2010年）で配布したUSBキーに2種のマルウェアが混入していた事例にも言及。 https://hotforsecurity.bitdefender.com/blog/cybersecurity-quiz-winners-rewarded-with-malware-infected-usb-sticks-19448.html [^4]: Motherboard / VICE, "China Is Forcing Tourists to Install Text-Stealing Malware at its Border," July 2019. Motherboard、Süddeutsche Zeitung、The Guardian、The New York Times、NDRの共同調査。Cure53、Citizen Lab（トロント大学）、ルール大学ボーフムによる技術分析。 https://www.vice.com/en/article/at-chinese-border-tourists-forced-to-install-a-text-stealing-piece-of-malware/ [^5]: Mozilla Security Blog, "Distrusting New CNNIC Certificates," April 2015. CNNICがエジプトのMCS Holdingsに発行した中間証明書がMitMプロキシで使用された事件。Google・Mozillaが2015年4月にCNNIC発行の新規証明書への信頼を撤回。 https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/ [^6]: 中华人民共和国密码法（暗号法）, 2019年10月26日公布、2020年1月1日施行。第28条で大衆消費用商業暗号の輸入許可免除を規定。全文（中国語）: http://www.npc.gov.cn/npc/c30834/201910/6f7be7dd5ae5459ab956571a0d279789.shtml ※元URLは現在アクセス不可。法律は中国人大網の法律法規データベース（https://flk.npc.gov.cn）で検索可能。 [^7]: Check Point Research, "Beyond the Horizon: Traveling the World on Camaro Dragon's USB Flash Drives," June 2023. アジアのカンファレンスでUSBドライブを介してWispRiderに感染した欧州の医療機関職員の事例を詳細に分析。 https://research.checkpoint.com/2023/beyond-the-horizon-traveling-the-world-on-camaro-dragons-usb-flash-drives/ [^8]: ICS-CERT (CISA), "ICS-CERT Incident Response Summary Report (2009-2011)," June 2012. 原子力セクターの職員が産業カンファレンスで講師のUSBドライブから資料をダウンロードし、Mariposaボットネットに感染。帰社後100以上のホストに拡大。 https://www.cisa.gov/sites/default/files/documents/ICS-CERT%20Incident%20Response%20Summary%20Report%20(2009-2011)_S508C.pdf [^9]: 中华人民共和国数据安全法（データセキュリティ法）, 2021年6月10日公布、2021年9月1日施行。データの国外移転に関する安全審査制度を規定。全文（中国語）: http://www.npc.gov.cn/npc/c2/c30834/202106/t20210610_312969.html ※元URLは現在アクセス不可。法律は中国人大網の法律法規データベース（https://flk.npc.gov.cn）で検索可能。 [^10]: 中华人民共和国个人信息保护法（個人情報保護法）, 2021年8月20日公布、2021年11月1日施行。個人情報の国外提供に関する条件・手続きを規定。全文（中国語）: http://www.npc.gov.cn/npc/c2/c30834/202108/t20210820_313095.html ※元URLは現在アクセス不可。法律は中国人大網の法律法規データベース（https://flk.npc.gov.cn）で検索可能。 [^11]: Wu, Mingshi et al., "How the Great Firewall of China Detects and Blocks Fully Encrypted Traffic," USENIX Security 2023. GFWが遮断するのは「fully encrypted traffic」であり、TLS/HTTPS、SSH、HTTP、DNS-over-TCPを明示的に免除していることを実証。データセンターIP範囲の約26%の接続に適用、TCP接続のみ（UDP非対象）。 https://www.usenix.org/conference/usenixsecurity23/presentation/wu-mingshi [^12]: Freedom House, "Another Door Closes: Authoritarians Expand Restrictions on Virtual Private Networks," 2024. 72カ国中41カ国で政治的・社会的・宗教的コンテンツの遮断を確認。本文中の3パターン分類（プロトコル識別型/包括禁止型/用途制限型）は同報告および各国調査に基づく筆者の整理。 https://freedomhouse.org/article/another-door-closes-authoritarians-expand-restrictions-virtual-private-networks [^13]: Romaxa, "VLESS Protocol: How It Bypasses Censorship in Russia and Why It Works," Medium, October 2025. OpenVPN 100%検出（30秒以内）、WireGuard 100%、Shadowsocks 95%等の実測値を報告。VLESS/Trojan等のTLS偽装プロトコルの仕組みと有効性を分析。 https://medium.com/@romaxa552015/vless-protocol-how-it-bypasses-censorship-in-russia-and-why-it-works-baa7fed416af [^14]: UAE Federal Decree-Law No. 34 of 2021 (Combating Rumours and Cybercrimes), Article 10. VPN等でIPアドレスを偽装して犯罪を行った場合、50万〜200万AED（約136,000〜545,000 USD）の罰金および懲役。解説: Bird & Bird, "UAE amends the law on use of VPNs." https://www.twobirds.com/en/insights/2016/global/uae-amends-the-law-on-use-of-vpns [^15]: 各国VPN規制の包括的比較は[^12]のFreedom House報告書および各国法令に基づく。中国はサイバーセキュリティ法、ロシアはFederal Law No. 281[^21]、ベラルーシは大統領令No. 60（2007年）、UAEは[^14]、イランは[^28]を参照。 [^16]: Trusted Computing Group (TCG), "TCG Storage Security Subsystem Class: Opal," Specification Version 2.01, Revision 1.00, 2015. SEDのハードウェア暗号化仕様を定義。MEK（メディア暗号化キー）はドライブ製造時にオンボードで生成され外部に出ない。仕様書: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ 解説: TCG, "Architects Guide: Data Security Using TCG Self-Encrypting Drive Technology." https://trustedcomputinggroup.org/wp-content/uploads/Architects-Guide-Data-Security-Using-TCG-Self-Encrypting-Drive-Technology.pdf [^17]: Freedom House, "Freedom on the Net 2024: China." 中国のインターネット自由度は調査対象72カ国中最下位。GFWによるDPI、コンテンツフィルタリング、VPN遮断等の技術的検閲体制を詳述。 https://freedomhouse.org/country/china/freedom-net/2024 [^18]: EFF (Electronic Frontier Foundation), "Digital Privacy at the U.S. Border: Protecting the Data on Your Devices," 2024. 各国の入出国時における端末検査の法的枠組みと権限を概説。米国ではCBP（税関国境保護局）が令状なしの端末検査権限を持つ。 https://www.eff.org/issues/border-searches 中国については国家安全法（2015年）第51条が根拠法の一つ。 [^19]: Citizen Lab (University of Toronto), "We Chat, They Watch: How International Users Unwittingly Build up WeChat's Chinese Censorship Apparatus," May 2020. 海外ユーザーのWeChat通信も中国国内の検閲アルゴリズムの訓練データとして利用されていることを実証。 https://citizenlab.ca/2020/05/we-chat-they-watch/ [^20]: ロシア連邦法 No. 90-FZ「主権インターネット法（Sovereign Internet Law）」, 2019年5月1日署名、同年11月1日施行。ISPにDPI装置（TSPU）の設置を義務付け、Roskomnadzorが一元的にトラフィック遮断を実行可能とする。解説: Roskomsvoboda, "VPN in Russia: from blocking services to blocking protocols," 2023. https://roskomsvoboda.org/en/analysis/vpn-russia-2023-eng/ [^21]: ロシア連邦法 No. 281-FZ, 2025年7月31日署名、2025年9月1日施行。VPN使用を犯罪の加重事由に追加。VPN宣伝は5万〜80万ルーブルの罰金。解説: 3S.INFO, "The Law Banning VPNs: What Do We Need to Know?" https://3snet.info/en/news/the-law-banning-vpns-what-do-we-need-to-know/ [^22]: 中国のVPN使用に対する罰則は「计算机信息网络国际联网管理暫行規定（国際ネットワーク接続管理暫定規定）」第6条・第14条に基づく。個人への罰金は500〜15,000元。2023年には広東省のプログラマーがVPN経由の海外リモートワーク収入106万元を「犯罪収益」として没収された事例あり。参考: Radio Free Asia, "Fine For VPN Use Sparks Rare Backlash on Chinese Internet," 2020. https://www.rfa.org/english/news/china/vpn-punishments-05212020103537.html [^23]: Cybercrime Diaries, "Russia's Sovereign RuNet – A Challenge to the Cybercrime Underworld?" September 2025. TSPUがDPIでOpenVPN, WireGuard等を遮断する技術構造を分析。企業への影響を最小化しようとする意図と限界を報告。 https://www.cybercrimediaries.com/post/russia-s-sovereign-runet-a-challenge-to-the-cybercrime-underworld [^24]: RussiaPost, "The Cat and Mouse Game of Internet Censorship and Circumvention in Russia," 2025. ロシアのVPN利用率36%、12,600件のVPN関連情報の遮断。企業VPN除外の意図と実装の不完全性。 https://russiapost.info/society/internet_censorship [^25]: Freedom House, "Freedom on the Net 2024: Belarus." ベラルーシではVPN・Tor等の検閲回避ツールの使用が処罰対象。再犯者は懲役刑の可能性あり。 https://freedomhouse.org/country/belarus/freedom-net/2024 [^26]: Jamestown Foundation, "Kremlin's New Moves Towards 'Internet Sovereignty'," October 2025. ロシアが国家TLS証明書システム（NUC TLS）および国家DNSシステムの構築を推進。 https://jamestown.org/kremlins-new-moves-towards-internet-sovereignty/ [^27]: OONI (Open Observatory of Network Interference), "Censorship Chronicles: The systematic suppression of independent media in Russia," December 2024. TSPUによるSNIベースのTLS干渉を実証データで報告。 https://ooni.org/post/2024-russia-report/ [^28]: イランのVPN規制: 2024年2月、最高サイバー空間評議会がVPN使用を許可なく違法と宣言（最高指導者ハメネイの承認）。Computer Crimes Law（2010年）に基づき91日〜1年の懲役または500万〜4,000万リアルの罰金。参考: RFE/RL, "Iran Tries To Tighten Grip On Internet By Officially Outlawing VPN Use," February 2024. https://www.rferl.org/a/iran-vpn-banned-internet-restrictions/32832544.html [^29]: Ars Technica, "Juice jacking: Why you need not fear" series, 2023. 近代的なiOS/Androidデバイスにおける公共充電ステーション経由のJuice Jackingの文書化された事例は存在しないと結論。Appleも実攻撃を認識していないと回答。政府機関の警告が相互引用の「フィードバックループ」であることを指摘。 https://arstechnica.com/security/2023/04/fears-about-juice-jacking-arent-juicy-enough/ [^30]: TechCrunch, Zack Whittaker, "LA warns of 'juice-jacking' malware, but admits it has no cases," November 2019. ロサンゼルス郡検察がJuice Jacking警告を発出したが、事例を問われ「no cases」と回答。 https://techcrunch.com/2019/11/15/la-juice-jacking-warning/ [^31]: Stop Hacklore! 公開書簡, 2025年11月24日公開。元CISA長官Jen Easterly、元CISAシニアアドバイザーBob Lord（元Yahoo CISO）、Microsoft副CISOを含む86名のセキュリティリーダーが署名。Juice Jackingを含む6つの「ハックロア」（時代遅れのセキュリティ神話）を指摘し、エビデンスに基づいた指針への転換を呼びかけ。 https://www.hacklore.org/letter 解説: The Register, "Ex-CISA officials, CISOs aim to stop the spread of hacklore," November 2025. https://www.theregister.com/2025/11/24/hacklore_launch [^32]: Krebs on Security, Brian Krebs, "Beware of Juice-Jacking," August 2011. DEF CON 19のWall of Sheepで設置された啓発用充電キオスクを報じた最初の記事。「Juice Jacking」の命名者。 https://krebsonsecurity.com/2011/08/beware-of-juice-jacking/ [^33]: Georgia Institute of Technology, Billy Lau, Yeongjin Jang, Chengyu Song, "Mactans: Injecting Malware into iOS Devices via Malicious Chargers," USENIX Security 2013 / Black Hat USA 2013. 悪意あるUSB壁充電器のPoC。当時最新のiOSデバイスに対しユーザー操作不要で1分以内にトロイの木馬をインストール。 https://www.usenix.org/conference/usenixsecurity13/technical-sessions/presentation/lau [^34]: Krebs on Security, Brian Krebs, "Researchers: Fake Charger Steals Your Screen," August 2016. Aries SecurityがDEF CON 2016で発表したVideo Jackingの解説。$220の部品でスマートフォンの画面ミラーリングを記録するPoC。 https://krebsonsecurity.com/2016/08/researchers-fake-charger-steals-your-screen/ [^35]: Symantec, Roy Iarchy and Adi Sharabani, "Trustjacking - A New iOS Exploit," RSA Conference 2018. iOSでUSB経由のコンピュータ信頼承認がWi-Fi経由のiTunes APIにも適用され、USB切断後もリモートアクセスが持続する問題を報告。 https://www.symantec.com/blogs/threat-intelligence/trustjacking-ios-exploit [^36]: Florian Draschbacher, Lukas Maar, Stefan Mangard, "ChoiceJacking: Compromising Mobile Devices through Malicious Chargers like a Decade ago," USENIX Security 2025 (34th USENIX Security Symposium), August 2025. 既存のJuice Jacking緩和策を回避する新たな攻撃手法。3つの攻撃手法（AOAP悪用、入力キューのレースコンディション、Bluetooth HID偽装）を提示し、主要8ベンダーの全11デバイスで成功。 https://www.usenix.org/conference/usenixsecurity25/presentation/draschbacher [^37]: Kaspersky, "The ChoiceJacking attack: stealing smartphone photos and data while charging via USB," May 2025. ChoiceJacking対策として、Apple（iOS/iPadOS 18.4）とGoogle（Android 15）がデータ転送承認に生体認証またはパスワード入力を要求する対策を実装したことを報告。ただしSamsungのOne UI 7はAndroid 15更新後も認証を要求しないことを指摘。 https://www.kaspersky.com/blog/data-theft-during-charging-choicejacking-protection/53497/ [^38]: ACM Communications, David Geer, "Juice Jacking," September 2025. ACMによるJuice Jackingの包括的調査記事。複数の専門家の見解を併記し、「実際の被害報告で精査に耐えるものはない」「一般ユーザーはJuice Jackingよりフィッシングのほうがはるかにリスクが高い」「国家レベルの標的型攻撃シナリオでは理論上成立しうるが、Pegasus等のリモート手段のほうが効率的」と総括。 https://cacm.acm.org/news/juice-jacking/ [^39]: Joanna Rutkowska, "Evil Maid goes after TrueCrypt!," The Invisible Things Lab Blog, October 2009. 「Evil Maid Attack」の命名者。TrueCryptフルディスク暗号化をUSBブートスティックで回避するPoCを公開。Bruce Schneierは「TrueCryptに限らず、TPMを伴わないあらゆるディスク暗号化に同種の脆弱性が存在する」とコメント。 https://blog.invisiblethings.org/2009/10/15/evil-maid-goes-after-truecrypt.html 解説: LWN.net, "Evil Maid attack against disk encryption," October 2009. https://lwn.net/Articles/359145/ [^40]: NBC News / AP, "Did Chinese hack Cabinet secretary's laptop?," May 29, 2008. 米商務長官Carlos Gutierrezが2007年12月の北京通商協議中にラップトップの内容を秘密裏にコピーされた疑い。帰国後、US-CERTが商務省に少なくとも3回緊急出動。国家防諜局長Joel F. Brennerは別の講演で、北京出張の金融企業幹部がPDAに5つのスパイウェアビーコンを検出した事例を報告。 https://www.nbcnews.com/id/wbna24880526 [^41]: CSIS (Center for Strategic and International Studies), "Survey of Chinese Espionage in the United States Since 2000." 「May 2008: Chinese officials inserted spyware onto the laptop of U.S. Secretary of Commerce Carlos Gutierrez during a trade mission」として記録。 https://www.csis.org/programs/strategic-technologies-program/survey-chinese-espionage-united-states-2000 [^42]: Der Spiegel, "NSA's TAO: Catalog Reveals NSA Has Back Doors for Numerous Devices," December 29, 2013. NSA TAO部門のANTカタログ（2008-2009年版）。約50ページ、200以上のハードウェアインプラント・ソフトウェアエクスプロイト・傍受ツールを記載。サプライチェーン・インターディクション（配送途上での物理的改竄）をNSA内部文書が「TAOで最も生産性の高い作戦の一つ」と記述。 解説: The Intercept, "Everybody Does It: The Messy Truth About Infiltrating Computer Supply Chains," January 2019. https://theintercept.com/2019/01/24/computer-supply-chain-attacks/ カタログ全文: EFF, https://www.eff.org/files/2014/01/06/20131230-appelbaum-nsa_ant_catalog.pdf [^43]: Kaspersky Lab, "The Darkhotel APT: A Story of Unusual Hospitality," November 2014. アジアの高級ホテルWi-Fiを侵害し、宿泊中の企業幹部（CEO、上級副社長、R&D責任者等）を標的にしたAPTキャンペーン。2007年から少なくとも7年間活動。攻撃者は宿泊客の到着・出発時刻、部屋番号、氏名を事前把握。Kaspersky研究者のハニーポットには攻撃が発動しなかったことから、標的は選択的。韓国語話者の攻撃者と推定。 https://securelist.com/the-darkhotel-apt/66779/ [^44]: Eclypsium, "Evil Maid Firmware Attacks Using USB Debug," July 2018. USB debug（Direct Connect Interface）経由でUEFI/SMRファームウェアに永続的ルートキットをインストールするデモ。Dellエンタープライズラップトップで4分以内に攻撃完了。$285のSPIフラッシュプログラマーとGitHub公開のPoCルートキットで実行可能。CVE-2018-3652。 https://eclypsium.com/blog/evil-maid-firmware-attacks-using-usb-debug/ 解説: Vice/Motherboard, "Watch a Hacker Install a Firmware Backdoor on a Laptop in Less Than 5 Minutes," July 2018. https://www.vice.com/en/article/hacker-bios-firmware-backdoor-evil-maid-attack-laptop-5-minutes/ [^45]: ESET, "LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group," September 2018. 史上初めて実サイバー攻撃で検出されたUEFIルートキット。ロシアAPTグループSednit（Fancy Bear / APT28）がバルカン半島・中東欧の政府機関を標的に使用。正規アンチ盗難ソフトLoJackのUEFIモジュールを改変。OS再インストール・ハードディスク交換後も永続化。駆除にはSPIフラッシュ再書き込みまたはマザーボード交換が必要。 https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/ [^46]: Qubes OS Project, "Anti Evil Maid (AEM)," Qubes OS Documentation. TPM 1.2とIntel TXTを利用したDRTM（Dynamic Root of Trust for Measurement）ベースの起動認証機構。ブートプロセスの完全性を検証し、改竄が検出されなかった場合にのみTOTP秘密やLUKS鍵ファイルを解封する。TPM 2.0未対応（2018年以降開発停滞）のため現行ハードウェアでの利用は制限される。 公式ドキュメント: https://doc.qubes-os.org/en/latest/user/security-in-qubes/anti-evil-maid.html ソースコード: https://github.com/QubesOS/qubes-antievilmaid [^47]: Freedom of the Press Foundation, "Introducing Haven, the open source security system in your pocket," December 22, 2017. Guardian ProjectとFreedom of the Press Foundation（FPF）の共同プロジェクト。FPF理事長Edward Snowdenがプロジェクトを主導。Micah F. LeeとSnowdenのコンセプトに基づき、Androidスマートフォンのセンサー（カメラ・マイク・加速度計・環境光）を活用して物理空間への侵入を検出・記録する。Signal暗号化通知とTor Onion Serviceによるリモートアクセスに対応。ただし、GitHubリポジトリの最終コミットは2020年頃（v0.2.0-RC-1、Android 10対応）で、正式版（v1.0）リリースには至らずベータ版のまま開発が停滞している。GoogleのSMSポリシー変更によりSMS通知機能が削除され（v0.2.0-beta-5）、予定されていたiOS版も実現していない。コンセプトは先進的だが、実用にあたっては現行Androidバージョンとの互換性に注意が必要。 公式発表: https://freedom.press/tech/news/introducing-haven-open-source-security-system-your-pocket/ Guardian Projectブログ: https://guardianproject.info/2017/12/22/haven-building-the-most-secure-baby-monitor-ever/ ソースコード: https://guardianproject.github.io/haven/ ※ DPI技術比較表の出典・根拠は脚注[^11]、[^13]、[^20]〜[^25]を参照。 [^48]: Ponemon Institute, "Visual Hacking Experimental Study," 2015, sponsored by 3M and VPAC. https://multimedia.3m.com/mws/media/1027626O/study-visual-hacking-experiment-results.pdf [^49]: Ponemon Institute, "Global Visual Hacking Experimental Study: Analysis," 2016, sponsored by 3M. https://multimedia.3m.com/mws/media/1254232O/global-visual-hacking-experiment-study-summary.pdf [^50]: 3M, "New Global Study Reveals Majority of Visual Hacking Attempts Are Successful," 2016-08-10. https://news.3m.com/2016-08-10-New-Global-Study-Reveals-Majority-of-Visual-Hacking-Attempts-Are-Successful