マルチライセンス割引
Computer Security 数百万の PC マザーボードでバックドア ファームウェアが見つかる

数百万の PC マザーボードでバックドア ファームウェアが見つかる

Computer SecurityChanceまで
翻訳内容:
日本語

サイバー犯罪者は、コンピューターの UEFI ファームウェア (オペレーティング システムの起動に関与する基本コード) 内に悪意のあるプログラムを隠蔽するという不正な戦術を採用することが増えています。しかし、マザーボード メーカーが数百万台のコンピュータのファームウェアに隠れたバックドアを組み込んだだけでなく、その入り口を適切に保護できなかった場合、状況はさらに憂慮すべきものになります。

最近、ファームウェアを専門とするサイバーセキュリティ研究者のチームが、ゲーム用 PC や高性能コンピュータで広く使用されている有名な台湾企業である Gigabyte が製造したマザーボードのファームウェアに組み込まれた隠されたメカニズムを発見しました。影響を受ける Gigabyte マザーボードを搭載したコンピュータを再起動すると、ファームウェア内の隠されたコードがコンピュータ上のアップデータ プログラムを慎重に起動します。その後、このプログラムはユーザーの認識や同意なしに別のソフトウェアをダウンロードして実行します。

意図は良いが、実装はあまり良くない

ギガバイトのマザーボードファームウェアで発見された隠しコードは、おそらくファームウェアアップデートのための無害なツールとして意図されていたものと思われますが、研究者らはその実装において重大なセキュリティ上の欠陥を特定しました。これらの脆弱性により、悪意のある攻撃者がこのメカニズムを悪用し、目的のギガバイト プログラムの代わりにマルウェアをインストールするために利用される可能性があるという潜在的なリスクが生じます。

問題をさらに複雑にしているのは、アップデータ プログラムがコンピュータのファームウェアから起動され、ユーザーのオペレーティング システムの範囲外で動作しているという事実です。このため、ユーザーが問題のあるコードを検出または削除することが非常に困難になり、セキュリティの脆弱性による潜在的な影響がさらに悪化します。

270 を超えるモデルが参加

コンピューターのマザーボードに問題のバックドアが含まれているかどうかを確認するには、Windows の [スタート] に移動し、[システム情報] にアクセスします。

研究者たちは、ファームウェア ベースの悪意のあるコードを調査しているときに、Gigabyte の隠蔽ファームウェア メカニズムに関する重要な発見をしました。洗練されたハッカーが同様の戦術を頻繁に使用するため、この発見は特に注目に値します。驚くべきことに、研究者の自動検出スキャンにより、ギガバイトのアップデーター メカニズムが国家支援のハッキング ツールを思わせる不審な活動に関与していることが検出されました。具体的には、ファームウェア内に隠れて、インターネットからコードをダウンロードするプログラムをサイレント実行することが含まれていました。

Gigabyte のアップデータ メカニズムだけでも、ほとんど知覚できないツールを通じてサイレント コードがインストールされるのではないかと不安を抱いているユーザーの間で懸念を引き起こしています。さらに、Gigabyte のメカニズムがマザーボード メーカーに侵入したハッカーによる悪用の被害に遭い、その隠れたアクセスを利用して極悪なソフトウェア サプライ チェーン攻撃が行われる可能性があるという真の恐怖があります。しかし、エクリプシウムの調査により、さらに驚くべき事実が明らかになりました。ユーザー エクスペリエンスを向上させるために設計された更新メカニズムには、悪意を持ってハイジャックされる可能性のある明らかな脆弱性が含まれています。驚くべきことに、適切な認証を受けずにコードをユーザーのマシンにダウンロードし、場合によっては、より安全な HTTPS の代わりに安全でない HTTP 接続を利用することもあります。

この大きなセキュリティ ホールにより、悪意のある攻撃者が中間者攻撃を組織し、インストール ソースを偽装して無防備なユーザーを欺くことが可能になります。本質的には、不正な Wi-Fi ネットワークであっても、ユーザーのインターネット接続を傍受し、システムの完全性を損なう危険の手段となる可能性があります。

他の例では、Gigabyte のファームウェア メカニズムにより、アップデータがローカルのネットワーク接続ストレージ デバイス (NAS) からダウンロードを取得できるようになります。この機能は、ビジネス ネットワーク内での更新を容易にすることを目的としているようで、すべてのマシンによる広範なインターネット アクセスを回避します。ただし、これが発生すると、同じネットワーク上の悪意のある攻撃者が NAS の位置を不正に操作し、承認されたアップデートを密かに独自のマルウェアに置き換える可能性があります。

修正はうまくいくかもしれない...それともうまくいかないのか?

ファームウェアの問題に対処するためのギガバイトの潜在的な取り組みにもかかわらず、プロセスの複雑な性質とファームウェアとハードウェアの調整という課題により、ファームウェアの更新はユーザーのマシン上でサイレントに終了することがよくあります。影響を受ける可能性のある膨大な数のデバイスを考慮すると、この事実は非常に憂慮すべきことです。 Gigabyte は、隠蔽ファームウェア ツールに悪意や欺瞞の意図を持っていなかった可能性がありますが、オペレーティング システムの下に隠蔽されたコード内のセキュリティの脆弱性により、ユーザーのマシンに対する基本的な信頼が損なわれます。

読み込んでいます...