マルウェア
BIOS ルートキット
別称: レガシーファームウェアルートキット
定義
レガシー BIOS ファームウェアに感染し、OS より前に実行されることで OS 下層に深く持続化するルートキット。
BIOS ルートキットは、UEFI が普及する前の x86 システムで用いられていた Basic Input/Output System(BIOS)を改ざんし、初期ブート段階で制御を奪います。BIOS は OS のあらゆる保護機構より先に実行されるため、ルートキットはセキュリティツールを無効化したり、他のマルウェアを隠したり、再インストールされた OS を再度感染させたりできます。初期感染には通常、チップを書き換えるためのカーネル権限、フラッシュ保護の不備、サプライチェーン経由のアクセスが必要です。対策としては、Secure Boot 付き UEFI への移行、ベンダー提供のフラッシュ保護、署名付きファームウェア更新、BIOS の書き込み保護、完全性の遠隔検証、物理およびサプライチェーンの統制などが挙げられます。現代では UEFI 実装に置き換えられつつあります。
例
- 初期の BIOS ルートキット Mebromi がシステムファームウェアからマルウェアを再投下した。
- Computrace 型の盗難防止モジュールが持続化機構として悪用された。
関連用語
UEFI ルートキット
UEFI ファームウェアに植え込まれ、OS より前に読み込まれ、ディスク消去後も残り、多くのエンドポイント保護を回避するルートキット。
ファームウェアマルウェア
BIOS/UEFI、NIC、ストレージ、周辺機器などの機器ファームウェアに潜伏する悪意ある実装で、OS の再インストールや多くのエンドポイント対策を生き延びる。
ルートキット
OS や機器上で高い権限を取得・維持しつつ、その存在を一般的な検知ツールから隠蔽するステルス型マルウェア。
ブートキット
MBR、VBR、UEFI などの起動プロセスを感染させ、OS より前に動作して持続的かつ高権限の制御を獲得するマルウェア。
ステルス型マルウェア
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。