カスペルスキー、OSの再インストールでも排除が困難な、UEFIファームウェアに感染するカスタマイズされたブートキットを発見
- 2020/10/09 10:30
- SecurityInsight
カスペルスキーの調査チームは10月8日、コンピューターのファームウェアに感染するブートキットとして知られる、極めてまれなタイプのマルウェアを使用した高度サイバー攻撃(APT)によるスパイ活動を確認したことを発表した。
今回新たに発見したマルウェアは、UEFI(Unified Extensible Firmware Interface)ファームウェアに埋め込まれており、既知および未知の脅威を検知するUEFI/BIOSスキャン技術によって発見された。今回発見したUEFIブートキットは、2015年に流出が確認されたHacking Team社のブートキットを流用している。
UEFIファームウェアはハードウェアの動作を設定するためのソフトウェアで、OSやインストールされているプログラムが起動する前に実行される。UEFIファームウェアが何らかの方法で書き換えられて悪意のあるコードが埋め込まれた場合、そのコードがOSよりも先に起動するため、セキュリティソリューションが悪意のある活動を検知できない場合がある。
さらに、ファームウェアそのものがフラッシュメモリーに格納されていることから、UEFIファームウェアの感染は極めて検知が難しく、その結果、マルウェアが長期間潜在する可能性がある。ファームウェアが感染した場合、基本的にOSを再インストールしてもブートキットによって埋め込まれたマルウェアがデバイスに存在し続けることになる。