数百のギガバイトマザーボードモデルがファームウェアバックドアとともに出荷される
サイバーセキュリティ企業 Eclypsium の研究者らは、ゲーム PC や高性能コンピューターで一般的に使用されているギガバイト マザーボードのファームウェアに組み込まれた秘密のメカニズムを発見しました。影響を受けるマザーボードを搭載したコンピュータが再起動すると、この隠しコードがファームウェア内のアップデータ プログラムを起動します。その後、プログラムは追加のソフトウェアをコンピュータにダウンロードして実行します。
Gigabyte は、この隠しコードがファームウェアのアップデートのための無害なツールとして機能することを意図していましたが、Eclypsium は、それが安全に実装されていないことを発見しました。これにより、Gigabyte が意図したソフトウェアの代わりにマルウェアをインストールするために攻撃者によって悪用される可能性がある潜在的な脆弱性が生じます。アップデーター プログラムはオペレーティング システムの外部にあるコンピューターのファームウェアから開始されるため、ユーザーが検出または削除することが困難になります。
Eclypsium の戦略および研究のリーダーである John Loucaides は、ユーザーのマシンが適切なセキュリティ対策なしで無意識のうちにインターネットからコードを取得して実行するため、この動作に関してユーザーが抱くべき懸念を強調しています。同氏は、基盤となるプロセスがユーザーの関与なしにユーザーのマシンを制御するという考えは、ほとんどの人にとって不安をもたらすものだと強調しています。
影響を受ける数百のマザーボード モデル
Eclypsium はブログ投稿の中で、影響を受けると考えられる 271 ギガバイトのマザーボード モデルのリストを提供しています。 Loucaides 氏は、ユーザーが Windows の「スタート」メニューにアクセスし、「システム情報」に移動することで、自分のコンピュータがどのマザーボードを使用しているかを確認できると提案しています。
Gigabyte のアップデータの存在だけでも、特にソフトウェア サプライ チェーンで提供される隠されたアクセス ポイントを考慮すると、メーカーによってコードがマシンにサイレントにインストールされることに警戒しているユーザーにとっては懸念が生じる可能性があります。しかし、Eclypsium の調査により、更新メカニズム自体に重大な脆弱性があることが明らかになりました。適切な認証を行わずに、場合によっては HTTPS ではなく安全でない HTTP 接続を介してコードをユーザーのマシンにダウンロードします。これにより、不正な Wi-Fi ネットワーク経由でユーザーのインターネット接続を傍受するなど、中間者攻撃によってインストール ソースがなりすますことが可能になります。
場合によっては、Gigabyte のファームウェア メカニズムによってインストールされるアップデータは、ローカルのネットワーク接続ストレージ デバイス (NAS) からダウンロードするように構成されています。この機能は主に企業が各マシンのインターネット接続に依存せずに更新を集中管理するために設計されています。ただし、Eclypsium は、同じネットワーク上の悪意のある攻撃者が NAS の位置を操作して、独自のマルウェアを密かにインストールする可能性があると警告しています。
問題の潜在的な影響
Eclypsium の発見は、数百万台のデバイスに影響を与える可能性があるため、厄介な問題となっています。サプライチェーンに焦点を当てたサイバーセキュリティの新興企業クラッシュ オーバーライドの最高セキュリティ責任者であるリッチ スミス氏は、この状況が 2000 年代半ばのソニーのルートキット スキャンダルを彷彿とさせると感じています。この場合、ソニーはデジタル著作権管理コードを CD に隠し、それがユーザーのコンピュータに密かにインストールされ、ハッカーがマルウェアを隠すために悪用する脆弱性を作成しました。 Smith 氏は類似点を示し、悪意のある攻撃者が使用するテクニックが Gigabyte に採用された可能性があるが、ファームウェアの分野では同様の一線を越えていると述べています。