UEFIを改ざんするマルウェア(ブートキット)が発見された。ブートキットはOSが起動する前に実行されるため、OS上のソフトウェアで検知するのは不可能に近い。UEFIを守る方法とは?
新たなブートキット(ファームウェアに感染させるマルウェア)が発見された。発見したKaspersky Labの研究者によると、従来のツールよりも格段に進化しているという。PCのSPIフラッシュ(訳注)内のUEFIに潜むこのブートキットは「MoonBounce」と名付けられた。SPIフラッシュはHDDやSSD(以下、単に「HDD」と総称)の外部にあるコンポーネントなので不正なソフトウェアを取り除くのが難しく、HDDやシステムメモリを前提としたセキュリティ製品では見つけるのも難しい。
訳注:SPI(Serial Peripheral Interface)フラッシュはシリアルバス接続のNOR型フラッシュメモリ。
MoonBounceは、「LoJax」「MosaicRegressor」に続く3例目のブートキットだ。他の2つよりも「大きく進化し、より複雑な攻撃フローを備え、高度な技術が使われている」という。Kasperskyは「Firmware Scanner」を使ってMoonBounceを発見した。このツールはUEFIイメージを含むROM BIOSに潜む脅威を検出する。
Kasperskyのマーク・レクティック氏(グローバル調査分析チーム:GReATの上級研究員)は言う。「MoonBounceは、2020年に見つけたMosaicRegressorと比較して幾つか注目すべき進化がある。MoonBounceはファームウェア内のそれまで無害だったコンポーネントをマルウェアのデプロイを容易にするものに変える。これは従来のブートキットには見られなかった革新的なもので、脅威のステルス性を大幅に高める」
「当社は2018年、UEFIの脅威が広がると予測した。この傾向が現実化しているようだ。2022年に新たなブートキットが見つかっても驚きではない。幸い、各ベンダーはファームウェアへの攻撃に注目し始めており、『Boot Guard』や『Trusted Platform Module』といったファームウェアセキュリティ技術が導入されつつある」
Kasperskyの研究チームは、MoonBounceを使ったサイバー攻撃をAPT(持続的標的型攻撃)集団「APT41」の犯行だと、「かなりの確信を持って」述べている。この犯罪集団には中国政府の関与が疑われており、「Barium」「Winnti」「Wicked Panda」「Wicked Spider」などさまざまな名前が付けられている。
悪意を持った因子がUEFIの改ざんに成功すると、その成果は莫大(ばくだい)なものになる可能性がある。UEFIのコードはOSよりも前に実行されるため、削除が非常に難しいマルウェアを埋め込める。HDDの再フォーマットやOSの再インストールでは除去できない。悪意のあるコードがHDDに存在しないため、ファームウェアをスキャンするセキュリティサービスを使わない限り検出することは不可能だ。
MoonBounceの場合、悪意のあるコードはファームウェアのCORE_DXEコンポーネントに埋め込まれる。このコンポーネントはUEFIブートプロセスの初期段階に起動される。MoonBounceはブートプロセス中にさまざまな機能をインターセプトし、OSに侵入してコマンド&コントロール(C2)インフラに接続し、悪意を持ったペイロードを取得する。そこから本格的なサイバー攻撃を素早く仕掛ける。
Kasperskyのアナリストは、ネットワークの幾つかのノードで悪意を持ったローダーとポストエクスプロイトマルウェアを発見したという(訳注)。C2サーバとの対話に使われるメモリ埋め込み型の「ScrambeCross」(別名「Sidewalk」)、資格情報のダンプ用ツールの「Mimikat_ssp」、Go言語ベースのバックドア、「Microcin」マルウェアなどだ。
訳注:エクスプロイトは脆弱(ぜいじゃく)性を利用してシステムを攻撃したり侵入したりすること。ポストエクスロイトは侵入後の攻撃を指す。
MoonBounceによる攻撃では、ファイルのアーカイブやネットワークの偵察など、多種多様な操作が行われる。攻撃者は、標的のネットワーク全体を横断する機能を獲得しようとした可能性が高く、これまでのAPT41の手口から恐らく企業スパイに関心があったと思われる。
アナリストはMoonBounceが使った感染ベクトルを正確には特定できていない。だが、リモートアクセスプロトコルが悪用されたと考えて問題ないだろう。
MoonBounceの防御方法には、最新の脅威インテリジェンスやEDR(Endpoint Detection and Response)ツールの利用といった標準的なものから、ファームウェアの変更を検出できるエンドポイント保護製品の利用まで幾つかある。
UEFIの保護については、
などが推奨される。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/style-photography
