“Intel CPU”搭載PCを危険にさらす「UEFIファームウェア」の脆弱性とは：危ないのはLenovoだけじゃない？

PCのファームウェアに潜む新たな脆弱性が見つかった。当初報告されたLenovo製品だけではなく、他メーカーのPCにも影響が及ぶ可能性がある。どのような危険性があるのか。

[Alexander Culafi，TechTarget]

　セキュリティベンダーEclypsiumの調査によって、ファームウェアメーカーPhoenix Technologies製のファームウェア「Phoenix SecureCore」に深刻な脆弱（ぜいじゃく）性が存在することが明らかになった。Phoenix SecureCoreは、コンピュータのハードウェアとOS間のインタフェース規格「UEFI」（Unified Extensible Firmware Interface）準拠のファームウェアだ。この脆弱性は複数のIntel製CPUと数百種類のPCに影響を与える可能性があるという。どのような脆弱性なのか。

“PCの最深部”ファームウェアを狙う脆弱性とは？

併せて読みたいお薦め記事

さまざまな脆弱性情報

• VMware ESXiに脆弱性　Microsoftが「ランサムウェアでの悪用を確認」と注意喚起
• OpenSSHの“あの欠陥”が再発　サーバ1400万台への影響とは？

　今回の脆弱性「CVE-2024-0762」を、研究者は「UEFIcanhazbufferoverflow」と命名した。Eclypsiumによると、UEFIcanhazbufferoverflowは共通脆弱性評価システム（CVSS：Common Vulnerability Scoring System）スコア7.5の脆弱性で、深刻度は「HIGH」（高）の分類だ。同社の説明では、セキュリティモジュールの標準規格TPM（Trusted Platform Module）の設定に問題があり、バッファオーバーフロー、悪意のあるコード（プログラムや命令）実行につながる危険性がある。バッファオーバーフローは、バッファ（一時記憶領域）があふれて、プログラムの不具合が起こる脆弱性を指す。

　Eclypsiumは「UEFI準拠ファームウェアの脆弱性が攻撃者の主要な標的になっている」と警告する。その理由としては、ファームウェアがシステムの起動プロセスを制御するためだという。同社は、他のUEFI準拠ファームウェアを狙った攻撃ツールの例として以下を挙げる。

• BlackLotus
• MosaicRegressor

　「この脆弱性によって攻撃者は権限を昇格させ、UEFI準拠ファームウェア内でマルウェアを実行できるようになる。このような低レベル（ハードウェアに近いレベル）の攻撃は、近年散見されるファームウェアバックドアに典型的だ」。Eclypsiumは同社のブログエントリ（投稿）でそう説明する。ファームウェアバックドアは、ファームウェアに仕掛けられる不正侵入の入り口（バックドア）を指し、BlackLotusなどのツールで作られる。

　こうした手法で標的システムに侵入した攻撃者は、標的システムに継続的にアクセス可能な状態になる。この状態が生まれると、攻撃者はシステムがOS層やソフトウェア層で実行する上位のセキュリティ対策を回避できるようになる。ランタイムコード（システムやソフトウェアの実行時に動作するコード）を悪用すれば、ファームウェアの内容や状態の測定を通じても攻撃が検出困難になりかねない。

　UEFIcanhazbufferoverflow自体は新しいものではない。Phoenix Technologiesは2024年4月には緩和策を、同年5月にはセキュリティ勧告を発表した。同社は勧告において、緩和策を含むファームウェアアップデートを強く推奨した。

なぜ重大なのか

　Eclypsiumは当初、UEFIcanhazbufferoverflowはノートPC「Lenovo ThinkPad X1 Carbon」第7世代と「Lenovo ThinkPad X1 Yoga」第4世代に存在すると報告した。その後、Phoenix Technologiesは特定のノートPCではなく、以下に挙げる複数のIntel製CPUが影響を受けると述べた。

• Intel Core第12世代（開発コードネーム：Alder Lake）
• Intel Core第8世代（開発コードネーム：Coffee Lake）
• デスクトップPC向けIntel Core第10世代（開発コードネーム：Comet Lake）
• モバイルデバイス向けIntel Core第10世代、サーバ向けIntel Xeon第3世代（開発コードネーム：Ice Lake）
• Intel Celeron N、Intel Pentium Silver（開発コードネーム：Jasper Lake）
• Intel Core第7世代（開発コードネーム：Kaby Lake）
• Intel Core Ultraシリーズ1（開発コードネーム：Meteor Lake）
• PC向けIntel Core第13世代および第14世代（開発コードネーム：Raptor Lake）
• デスクトップPC向けIntel Core第11世代（開発コードネーム：Rocket Lake）
• モバイルデバイス向けIntel Core第11世代（開発コードネーム：Tiger Lake）

　UEFIcanhazbufferoverflowが重大である理由としてEclypsiumは、サプライチェーン下流のベンダー（今回の場合はPCメーカー）にUEFI準拠ファームウェアのライセンスが供与されていることを挙げる。サプライチェーン上流のベンダー（今回の場合はファームウェアベンダー）に起因する脆弱性が、さまざまな製品やベンダーに影響を与える可能性があるためだ。

　UEFI準拠ファームウェアの開発は複雑かつ専門的な分野であり、OEM（相手先ブランドでの製造）はしばしばサードパーティーのファームウェアベンダーからファームウェアを調達する。Lenovoは定評がある老舗ファームウェアベンダーのPhoenix Technologiesからファームウェアのライセンスを取得した。Eclypsiumは数百種類のPC製品がPhoenix SecureCoreを採用していることを指摘する。Lenovoだけではなく、UEFIcanhazbufferoverflowが存在すると認められたPhoenix Technologiesのファームウェアを使用するPCメーカーは、脆弱性の影響を受ける可能性があるということだ。

　Eclypsiumの脅威リサーチおよびインテリジェンス部門のディレクターであるネート・ウォーフィールド氏によると、2024年6月時点でUEFIcanhazbufferoverflowの悪用は確認されていない。「UEFIcanhazbufferoverflowは、攻撃者が標的システムにアクセスできるようになった後、継続してアクセスできるようにするために使うものなので、ある程度攻撃者に技術的なスキルが必要であり、悪用の可能性は低い」とウォーフィールド氏はみる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。