UEFIのスキャンを行う必要性はどこにあるのか

この記事をシェア

パソコンを起動させると、OSが立ち上がるよりも前に別のプログラムが実行されていることは、感覚的には理解していたとしても、実際の仕組みはよく分からないものだ。そればかりか、OSが起動するよりも前の時点でマルウェアが動き出しているというのも、なかなかその感覚がつかみにくい。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

UEFIのスキャンを行う必要性はどこにあるのか

UEFI(Unified Extensible Firmware Interface)スキャナーの有用性は、UEFIを不正利用してコンピューターを奪取しようとする者からコンピューターを保護するのを助けてくれるという点にある、というのが見出しの質問に対するショートアンサーである。システムのUEFIに対する攻撃が成功すると、攻撃者は完全にそのシステムを制御できるようになる。その結果、再起動やハードドライブの再フォーマットが実施されても、攻撃者は秘密裏に機器への不正アクセスを維持することが永続的にできてしまうのである。

想像に難くないと思うが、この種の永続性が確立されることは望ましくなく、不正コードに感染した際の苦労と不便を長引かせてしまう。もしもドライブやメモリーのみをスキャンしてUEFIをスキャンしないウイルス対策ソフトを使っていると、マルウェアに感染しているのに気付けない可能性もある。

なぜデバイスにUEFIが実装されているのか

なぜデバイスにUEFIが実装されているのか

コンピューターというデバイスはコードを実行することで機能する。コードとは、ソフトウェアと呼ばれる命令の塊のことであり、パソコンやスマートフォンのようなハードウェアに何か有用なことをさせるためにある。コードをデバイスに供給するには幾つかの方法が存在する。例えば、ディスク上のストレージから読み込まれる、メモリーに維持される、もしくはネットワークを介して配信される、などの方法がある。しかし、デジタル機器の電源を入れた際には、その機器はどこからか開始しなければならない(ブートストラップ)。そして最初のコードはたいていの場合、デバイス上のチップの中に保持されている。このコードはファームウェアと呼ばれるが、起動して自動でテストを開始する「POST」というものを含んでいることもある。これは、物事が正しく機能していることを確認し、その後、入出力を扱うための基本的な命令をメモリー上にロードする。

もし少しでもコンピューターに関心を持ったことがあれば、このチップベースのコードがBIOSつまり基本入出力システムであると気付くかもしれない。ESETのセキュリティ専門家であるキャメロン・キャンプ(Cameron Camp)がかつてUEFIスキャニングに関する記事の中で述べているが、BIOS技術の歴史は1970年代までさかのぼり、今日のコンピューターの要求に合致するのにBIOSが苦戦していたというのは特段驚くようなことではない。キャンプが詳述する通り、UEFI技術はBIOSを置き換えるべく進化してきた。なお、幾つかのデバイスはそれをいまだにBIOSと呼んでいる。「古いBIOS同様に、新しいBIOSを使うべきだ」と言いたいところであるが、UEFIは従来のBIOSとは大幅に異なっている。

技術的には、UEFIは規格であり、UEFIフォーラム(uefi.org)が維持管理を実施している。このフォーラムによると、その規格はパーソナルコンピューターのOSとプラットフォームファームウェアの間のインターフェースの新モデルを定義している。そして、その規格は「プラットフォーム関連情報を保持するデータテーブル群と、OSとそのブートローダーが利用できるブートおよびランタイム・サービスコールから構成」されている。技術的詳細についてはここでは触れないが、UEFIはブートプロセスにさまざまな追加機能を有している。その中には、深刻なセキュリティ対策が含まれている(詳細は、この記事で参照しているESETのホワイトペーパーにて議論されている)。

残念なことに、ブートプロセスの早い段階で秘密裏にシステムを乗っ取ることができるコード(一般にブートキットと呼ばれる)を考案することによる違法な利益は、デジタル機器への不正アクセスを専門とする人々にとって強力なモチベーションになる。そのような人々には、サイバー犯罪者、NSA(米国国家安全保障局)やCIA(中央情報局)のような国内外の機関、そして政府に「監視ツール」を販売する民間企業などが存在する。

詳細については、ESETのカッシアス・プージウス(Cassius Puodzius)が執筆した記事を参照いただきたい。その記事では脅威の実行者と彼らのUEFIへの関心について議論されている。また、ESET上席研究員であるデヴィッド・ハーレー(David Harley)が、初期から2012年までのブートキットの進化という、より広範囲なトピックについても詳述している。「Virus Bulletin 2014」に掲載されている「ブートキットの過去と現在、そして将来」という記事もご覧いただきたい。もちろん「UEFI Forum」のサイトにも多くの技術記事が掲載されている。

では、ユーザーにとってUEFIにはどのようなリスクがあるのか

たいていの人々にとって、これこそが重要な質問であるが、その回答は、その質問者が誰であるかにより異なってくる。例えばあなたは、NSAやCIAをはじめ、UEFIを乱用するコード(独自開発コードもしくは商用ベンダーから購入した監視ツールのどちらでも構わない)に十分な投資ができる政府機関が興味を持つようなコンピューターを保持しているだろうか。もしくは、あなたは盗むに値する知的財産を開発・レビュー、もしくはそれ以外の扱いをするために自分のコンピューターを利用しているだろうか。もしこれらの質問のどちらか1つにでも答えが「イエス」であれば、あなたはUEFIマルウェアに遭遇するリスクが平均値以上であると考えられる。

現時点において、UEFIをエクスプロイト攻撃する犯罪的マルウェアの中で、一般ユーザーのコンピューターシステムを攻撃するような大規模かつ広範囲を標的としたものは、確認されていない。しかし、あなたがたとえリスクが高いカテゴリーに属していないとしても、UEFIスキャニング機能を持つウイルス対策ソフトはやはり必要であることを強調しておきたい。

それというのも、UEFI攻撃を開発していた機関であるNSAのことを思い出してほしい。彼らは自分たちの使っているツールを秘密にしておくことができず、著しく評判を落とした。実際、2017年最大のマルウェア関連ニュースは、「ワナクライ」(WannaCry)(別名「ワナクリプター」(WannaCryptor)として知られるマルウェア)であるが、このランサムウェアが非常に速く拡散した理由の一つは、NSAによって開発された「トップシークレットの」エクスプロイトを利用していたためである。なお、NSAはUEFIへの攻撃に手を出したことで知られている機関である。

UEFIに不正侵入してシステム内に永続して存在するようなマルウェアによる攻撃が、いつ新たに発生するかは誰にも分からない。ただ言えることは、定期的にUEFIスキャンを実行する人々は、そうでない人に比べて、マルウェアから自分のシステムを保護する準備ができているということである。そして、それこそがUEFIをスキャンする理由である。

現行のESET製品には、すでに業界初のUEFIスキャニング機能が含まれていることを付記しておく。

この記事をシェア

ランサムウェアのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!