対策困難なブートキット「MoonBounce」からUEFIを守る方法：普通のアンチウイルス製品では不可

UEFIを改ざんするマルウェア（ブートキット）が発見された。ブートキットはOSが起動する前に実行されるため、OS上のソフトウェアで検知するのは不可能に近い。UEFIを守る方法とは？

≫ 2022年03月30日 08時00分公開

[Alex Scroxton，Computer Weekly]

　新たなブートキット（ファームウェアに感染させるマルウェア）が発見された。発見したKaspersky Labの研究者によると、従来のツールよりも格段に進化しているという。PCのSPIフラッシュ（訳注）内のUEFIに潜むこのブートキットは「MoonBounce」と名付けられた。SPIフラッシュはHDDやSSD（以下、単に「HDD」と総称）の外部にあるコンポーネントなので不正なソフトウェアを取り除くのが難しく、HDDやシステムメモリを前提としたセキュリティ製品では見つけるのも難しい。

訳注：SPI（Serial Peripheral Interface）フラッシュはシリアルバス接続のNOR型フラッシュメモリ。

　MoonBounceは、「LoJax」「MosaicRegressor」に続く3例目のブートキットだ。他の2つよりも「大きく進化し、より複雑な攻撃フローを備え、高度な技術が使われている」という。Kasperskyは「Firmware Scanner」を使ってMoonBounceを発見した。このツールはUEFIイメージを含むROM BIOSに潜む脅威を検出する。

MoonBounceは何が違うのか

iStock.com/style-photography

　Kasperskyのマーク・レクティック氏（グローバル調査分析チーム：GReATの上級研究員）は言う。「MoonBounceは、2020年に見つけたMosaicRegressorと比較して幾つか注目すべき進化がある。MoonBounceはファームウェア内のそれまで無害だったコンポーネントをマルウェアのデプロイを容易にするものに変える。これは従来のブートキットには見られなかった革新的なもので、脅威のステルス性を大幅に高める」

　「当社は2018年、UEFIの脅威が広がると予測した。この傾向が現実化しているようだ。2022年に新たなブートキットが見つかっても驚きではない。幸い、各ベンダーはファームウェアへの攻撃に注目し始めており、『Boot Guard』や『Trusted Platform Module』といったファームウェアセキュリティ技術が導入されつつある」

　Kasperskyの研究チームは、MoonBounceを使ったサイバー攻撃をAPT（持続的標的型攻撃）集団「APT41」の犯行だと、「かなりの確信を持って」述べている。この犯罪集団には中国政府の関与が疑われており、「Barium」「Winnti」「Wicked Panda」「Wicked Spider」などさまざまな名前が付けられている。

　悪意を持った因子がUEFIの改ざんに成功すると、その成果は莫大（ばくだい）なものになる可能性がある。UEFIのコードはOSよりも前に実行されるため、削除が非常に難しいマルウェアを埋め込める。HDDの再フォーマットやOSの再インストールでは除去できない。悪意のあるコードがHDDに存在しないため、ファームウェアをスキャンするセキュリティサービスを使わない限り検出することは不可能だ。

　MoonBounceの場合、悪意のあるコードはファームウェアのCORE_DXEコンポーネントに埋め込まれる。このコンポーネントはUEFIブートプロセスの初期段階に起動される。MoonBounceはブートプロセス中にさまざまな機能をインターセプトし、OSに侵入してコマンド＆コントロール（C2）インフラに接続し、悪意を持ったペイロードを取得する。そこから本格的なサイバー攻撃を素早く仕掛ける。

　Kasperskyのアナリストは、ネットワークの幾つかのノードで悪意を持ったローダーとポストエクスプロイトマルウェアを発見したという（訳注）。C2サーバとの対話に使われるメモリ埋め込み型の「ScrambeCross」（別名「Sidewalk」）、資格情報のダンプ用ツールの「Mimikat_ssp」、Go言語ベースのバックドア、「Microcin」マルウェアなどだ。

訳注：エクスプロイトは脆弱（ぜいじゃく）性を利用してシステムを攻撃したり侵入したりすること。ポストエクスロイトは侵入後の攻撃を指す。

　MoonBounceによる攻撃では、ファイルのアーカイブやネットワークの偵察など、多種多様な操作が行われる。攻撃者は、標的のネットワーク全体を横断する機能を獲得しようとした可能性が高く、これまでのAPT41の手口から恐らく企業スパイに関心があったと思われる。

　アナリストはMoonBounceが使った感染ベクトルを正確には特定できていない。だが、リモートアクセスプロトコルが悪用されたと考えて問題ないだろう。

　MoonBounceの防御方法には、最新の脅威インテリジェンスやEDR（Endpoint Detection and Response）ツールの利用といった標準的なものから、ファームウェアの変更を検出できるエンドポイント保護製品の利用まで幾つかある。

　UEFIの保護については、

UEFIの定期的な更新
信頼できるサプライヤーのファームウェアに限定
可能であればデフォルトでセキュアブートを有効化

などが推奨される。

TechTargetジャパントップセキュリティ