GIGABYTE製マザボの“バックドア的な動作”を軽視できない訳 「LotL」とは？：GIGABYTE製品への懸念に見る「環境寄生型」（LotL）攻撃の脅威【後編】

攻撃者がバックドアとして悪用し得る動作が、GIGABYTE製品に見つかった。専門家はこうした動作を軽視できない理由として「LotL」攻撃が広がっていることを挙げる。LotL攻撃とは何なのか。その実態を探る。

[Alexander Culafi，TechTarget]

　セキュリティベンダーEclypsiumは、PC用マザーボードベンダーGIGA-BYTE Technology（GIGABYTEの名称で事業展開）のマザーボード用ファームウェア更新ツール「APP Center」に、バックドア（不正侵入の入り口）として悪用可能な動作を見つけた。EclypsiumはAPP Centerの動作を懸念すべき理由として、攻撃者の間で「LotL」攻撃を仕掛ける動きが広がっていることを挙げる。LotL攻撃とはそもそも何なのか。その脅威とは。

「LotL」攻撃とは？　“バックドア的動作”を軽視できない訳

併せて読みたいお薦め記事

連載：GIGABYTE製品への懸念に見る「環境寄生型」（LotL）攻撃の脅威

• 前編：GIGABYTE製マザーボードに見つかった“バックドア的な動作”とは何だったのか

IT製品を脅かす脆弱性

• TP-Link製ルーターに侵入する犯罪者集団「カマロドラゴン」の悪質な手口とは？
• プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは？
• ハッキング大会で攻撃がことごとく成功してしまった“不名誉”なIT製品とは？

　「環境寄生型」（Living off the Land）攻撃とも呼ばれるLotL攻撃は、管理ツールやコマンド実行機能といった、攻撃対象のシステムが備える正規リソースを流用した攻撃だ。LotL攻撃の中には、今回のAPP Centerに見つかった動作と同じく、正規ベンダーの製品に潜む「バックドア的な動作」を悪用した攻撃があるとEclypsiumは指摘する。

　Eclypsiumによると、正規リソースが含むバックドア的な動作の悪用例は既にある。例えばロシアの標的型攻撃グループFancy Bearは、Absolute SoftwareのPC盗難防止ソフトウェア「Computrace LoJack for Laptops」（現「Absolute Home & Office」）に存在した同様の動作を悪用していたという。

　LotL攻撃につながる問題がIT製品に見つかった場合、ベンダーは修正プログラム（パッチ）を提供することが一般的だ。ただし「パッチの効果は限定的だ」と、Eclypsiumの戦略担当シニアバイスプレジデントであるジョン・ルーカイズ氏は強調する。

　OSやアプリケーションへのパッチ適用の重要性については、ユーザー企業やエンドユーザーの間で認識が広がっている。ただし今回のAPP Centerのように、ファームウェア関連のパッチ適用の重要性については「ほとんど認識されていない」とルーカイズ氏は説明する。

　「ほとんどのPCユーザーは、ファームウェア関連の問題を解決するためのパッチを取得しない」とルーカイズ氏は指摘。結果として、ファームウェア関連の問題は「何年にもわたって脅威となる」と注意を促す。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。