悪意のあるプログラムを隠す コンピュータの UEFI ファームウェアに組み込まれている、オペレーティング システムのロード方法を PC に指示する奥深いコードが、ステルス ハッカーのツールキットの巧妙なトリックとなっています。 しかし、マザーボード メーカーが数百万台のコンピュータのファームウェアに独自の隠れたバックドアをインストールし、その隠れたバックドアに適切なロックさえかけない場合、事実上、ハッカーの仕事を代わりに行っていることになります。
ファームウェアに焦点を当てたサイバーセキュリティ企業Eclypsiumの研究者らは本日、台湾のメーカーGigabyteが販売するマザーボードのファームウェアに隠されたメカニズムを発見したことを明らかにした。Gigabyteのコンポーネントはゲーム用PCやその他の高性能コンピュータで一般的に使用されている。 Eclypsium は、影響を受けるギガバイトのマザーボードを搭載したコンピューターが再起動されるたびに、マザーボードのファームウェア内のコードが目に見えない形でコンピューター上で実行されるアップデーター プログラムを開始し、別のソフトウェアをダウンロードして実行することを発見しました。
Eclypsiumは、この隠しコードはマザーボードのファームウェアを最新の状態に保つための無害なツールであるとしているが、研究者らは、このコードが安全でない方法で実装されており、そのメカニズムがハイジャックされ、Gigabyteが意図したプログラムの代わりにマルウェアをインストールするために使用される可能性があることを発見した。 また、アップデータ プログラムはオペレーティング システムの外部にあるコンピュータのファームウェアから起動されるため、ユーザーが削除したり、発見したりすることさえ困難です。
「これらのマシンのいずれかを持っている場合、それは基本的にインターネットから何かを取得し、ユーザーの関与なしにそれを実行しており、これらのことを安全に実行していないという事実を心配する必要があります」と戦略を率いるジョン・ルカイデス氏は言います。そしてエクリプシウムでの研究。 「エンド ユーザーの下に入り込み、ユーザーのマシンを乗っ取るという概念は、ほとんどの人には受け入れられません。」
その中で 研究に関するブログ投稿, Eclypsiumには、研究者が影響を受けるとしているギガバイト製マザーボード271モデルがリストされている。 Loucaides 氏は、自分のコンピュータがどのマザーボードを使用しているかを知りたい場合は、Windows の「スタート」から「システム情報」に移動して確認できると付け加えています。
Eclypsium は、顧客のコンピュータでファームウェア ベースの悪意のあるコードを探していたときに、Gigabyte の隠されたファームウェア メカニズムを発見したと述べています。ファームウェア ベースの悪意のあるコードは、洗練されたハッカーによって使用されるツールがますます一般的になっています。 たとえば、2018年には、ロシアのGRU軍事情報局に代わって活動するハッカーが、スパイ戦術として被害者のマシンにファームウェアベースの盗難防止ソフトウェアLoJackをサイレントにインストールしていたことが発見された。 2年後、中国国家支援のハッカーたちが、ハッカー派遣会社Hacking Teamが作成したファームウェアベースのスパイウェアツールを再利用し、アフリカ、アジア、ヨーロッパの外交官やNGOスタッフのコンピュータを標的にしていたことが発見された。 Eclypsium の研究者らは、Gigabyte のアップデーター メカニズムが、ファームウェアに隠れてインターネットからコードをダウンロードするプログラムをサイレントにインストールするなど、国家支援のハッキング ツールと同様の怪しい行為を実行していることを、自動検出スキャンで検出したことに驚きました。
Gigabyte のアップデータだけでも、Gigabyte がほとんど目に見えないツールを使用して自分のマシンにコードを黙ってインストールすることを信頼していないユーザー、または Gigabyte のメカニズムがハッカーによって悪用され、マザーボードのメーカーを侵害してその隠されたアクセス権を悪用されるのではないかと心配しているユーザーにとって懸念を引き起こしたかもしれません。ソフトウェアサプライチェーン攻撃。 しかし、Eclypsium は、更新メカニズムがハイジャックされる可能性のある明らかな脆弱性を持って実装されていることも発見しました。Eclypsium は、コードを適切に認証せずに、場合によっては HTTPS ではなく保護されていない HTTP 接続を介してユーザーのマシンにダウンロードします。 これにより、不正な Wi-Fi ネットワークなど、ユーザーのインターネット接続を傍受できる者による中間者攻撃によって、インストール ソースがなりすますことが可能になります。