対策困難なブートキット「MoonBounce」からUEFIを守る方法普通のアンチウイルス製品では不可

UEFIを改ざんするマルウェア(ブートキット)が発見された。ブートキットはOSが起動する前に実行されるため、OS上のソフトウェアで検知するのは不可能に近い。UEFIを守る方法とは?

2022年03月30日 08時00分 公開
[Alex ScroxtonComputer Weekly]

 新たなブートキット(ファームウェアに感染させるマルウェア)が発見された。発見したKaspersky Labの研究者によると、従来のツールよりも格段に進化しているという。PCのSPIフラッシュ(訳注)内のUEFIに潜むこのブートキットは「MoonBounce」と名付けられた。SPIフラッシュはHDDやSSD(以下、単に「HDD」と総称)の外部にあるコンポーネントなので不正なソフトウェアを取り除くのが難しく、HDDやシステムメモリを前提としたセキュリティ製品では見つけるのも難しい。

訳注:SPI(Serial Peripheral Interface)フラッシュはシリアルバス接続のNOR型フラッシュメモリ。

 MoonBounceは、「LoJax」「MosaicRegressor」に続く3例目のブートキットだ。他の2つよりも「大きく進化し、より複雑な攻撃フローを備え、高度な技術が使われている」という。Kasperskyは「Firmware Scanner」を使ってMoonBounceを発見した。このツールはUEFIイメージを含むROM BIOSに潜む脅威を検出する。

MoonBounceは何が違うのか

iStock.com/style-photography

 Kasperskyのマーク・レクティック氏(グローバル調査分析チーム:GReATの上級研究員)は言う。「MoonBounceは、2020年に見つけたMosaicRegressorと比較して幾つか注目すべき進化がある。MoonBounceはファームウェア内のそれまで無害だったコンポーネントをマルウェアのデプロイを容易にするものに変える。これは従来のブートキットには見られなかった革新的なもので、脅威のステルス性を大幅に高める」

 「当社は2018年、UEFIの脅威が広がると予測した。この傾向が現実化しているようだ。2022年に新たなブートキットが見つかっても驚きではない。幸い、各ベンダーはファームウェアへの攻撃に注目し始めており、『Boot Guard』や『Trusted Platform Module』といったファームウェアセキュリティ技術が導入されつつある」

 Kasperskyの研究チームは、MoonBounceを使ったサイバー攻撃をAPT(持続的標的型攻撃)集団「APT41」の犯行だと、「かなりの確信を持って」述べている。この犯罪集団には中国政府の関与が疑われており、「Barium」「Winnti」「Wicked Panda」「Wicked Spider」などさまざまな名前が付けられている。

 悪意を持った因子がUEFIの改ざんに成功すると、その成果は莫大(ばくだい)なものになる可能性がある。UEFIのコードはOSよりも前に実行されるため、削除が非常に難しいマルウェアを埋め込める。HDDの再フォーマットやOSの再インストールでは除去できない。悪意のあるコードがHDDに存在しないため、ファームウェアをスキャンするセキュリティサービスを使わない限り検出することは不可能だ。

 MoonBounceの場合、悪意のあるコードはファームウェアのCORE_DXEコンポーネントに埋め込まれる。このコンポーネントはUEFIブートプロセスの初期段階に起動される。MoonBounceはブートプロセス中にさまざまな機能をインターセプトし、OSに侵入してコマンド&コントロール(C2)インフラに接続し、悪意を持ったペイロードを取得する。そこから本格的なサイバー攻撃を素早く仕掛ける。

 Kasperskyのアナリストは、ネットワークの幾つかのノードで悪意を持ったローダーとポストエクスプロイトマルウェアを発見したという(訳注)。C2サーバとの対話に使われるメモリ埋め込み型の「ScrambeCross」(別名「Sidewalk」)、資格情報のダンプ用ツールの「Mimikat_ssp」、Go言語ベースのバックドア、「Microcin」マルウェアなどだ。

訳注:エクスプロイトは脆弱(ぜいじゃく)性を利用してシステムを攻撃したり侵入したりすること。ポストエクスロイトは侵入後の攻撃を指す。

 MoonBounceによる攻撃では、ファイルのアーカイブやネットワークの偵察など、多種多様な操作が行われる。攻撃者は、標的のネットワーク全体を横断する機能を獲得しようとした可能性が高く、これまでのAPT41の手口から恐らく企業スパイに関心があったと思われる。

 アナリストはMoonBounceが使った感染ベクトルを正確には特定できていない。だが、リモートアクセスプロトコルが悪用されたと考えて問題ないだろう。

 MoonBounceの防御方法には、最新の脅威インテリジェンスやEDR(Endpoint Detection and Response)ツールの利用といった標準的なものから、ファームウェアの変更を検出できるエンドポイント保護製品の利用まで幾つかある。

 UEFIの保護については、

  • UEFIの定期的な更新
  • 信頼できるサプライヤーのファームウェアに限定
  • 可能であればデフォルトでセキュアブートを有効化

などが推奨される。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

市場調査・トレンド ゼットスケーラー株式会社

AIの悪用でフィッシング攻撃が巧妙化、今後の予測と防御方法を解説

今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

製品資料 LRM株式会社

開封率から報告率重視へ、重要な指標をカバーする標的型攻撃メール訓練とは

年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。

製品資料 LRM株式会社

新入社員の情報セキュリティ教育、伝えるべき内容と伝え方のポイントは?

従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。

製品資料 LRM株式会社

2024年発生のインシデントを解説、組織全体でのセキュリティ意識向上が不可欠に

2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/05/10 UPDATE

  1. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  2. 繧シ繝ュ繝医Λ繧ケ繝医�騾イ蛹也ウサ�溘€€縲後ぞ繝ュ繧ケ繧ソ繝ウ繝�ぅ繝ウ繧ー迚ケ讓ゥ縲搾シ�ZSP�峨→縺ッ菴輔°
  3. 縺ゥ繧後□縺代〒縺阪※縺�k�溘€€縺セ縺輔°縺ョ縲後ョ繝シ繧ソ豬∝�縲阪r髦イ縺絶€�11蛟九�隕∫せ窶�
  4. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「縺ョ蜊頑焚莉・荳翫′窶懊≠縺ョ萓オ蜈・邨瑚キッ窶昴r謔ェ逕ィ窶補€戊ヲ矩℃縺斐&繧後◆繝ェ繧ケ繧ッ縺ィ縺ッ��
  5. 菫。鬆シ縺励※縺�◆Web繧オ繧、繝医′縺セ縺輔°縺ョ諢滓沒貅撰シ溘€€縲梧ーエ鬟イ縺ソ蝣エ蝙区判謦�€阪�謇句哨縺ィ縺ッ
  6. Apple繧偵□縺セ縺吮€應ク肴ュ」縺ェiPhone菫ョ逅�€昴�謇句哨縺ィ蜊ア髯コ諤ァ
  7. 莠育ョ励d莠コ謇倶ク崎カウ縺ァ繧りォヲ繧√↑縺�€窟I繝ェ繧ケ繧ッ邂。逅�€阪€€2螟ァ繝輔Ξ繝シ繝�繝ッ繝シ繧ッ縺ョ豢サ逕ィ豕輔���
  8. 縺�∪縺輔i閨槭¢縺ェ縺�€轡ES縲阪€窟ES縲阪�驕輔>縲€繧医j蜊ア髯コ縺ェ證怜捷繧「繝ォ繧エ繝ェ繧コ繝�縺ッ��
  9. macOS縺ョ繝�ヵ繧ゥ繝ォ繝育┌蜉ケ縺ョ縲後ヵ繧。繧、繧「繧ヲ繧ゥ繝シ繝ォ縲阪r菴ソ縺�∋縺咲炊逕ア縺ィ縺ッ��
  10. 豕穂ココ蜷代¢繧ヲ繧、繝ォ繧ケ繝舌せ繧ソ繝シ縺ョ蠕檎カ吶€窟pex One縲阪€€EDR讖溯�繧呈政霈�

対策困難なブートキット「MoonBounce」からUEFIを守る方法:普通のアンチウイルス製品では不可 - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。