ブートキット
ブートキット とは何ですか?
ブートキットMBR、VBR、UEFI などの起動プロセスを感染させ、OS より前に動作して持続的かつ高権限の制御を獲得するマルウェア。
ブートキットは、マスターブートレコード(MBR)、ボリュームブートレコード(VBR)、UEFI ファームウェアといった早期の起動コンポーネントを侵害する特殊なルートキットである。OS やセキュリティツールよりも前に実行されるため、防御を無効化し、カーネルコードにフックを仕掛け、OS の再インストールにも耐え得る。最新のブートキットは UEFI 変数や EFI システムパーティションを狙う。検知にはファームウェア整合性検証、TPM アテステーションと組み合わせたセキュアブート/メジャードブート、起動メディアのオフラインフォレンジックが必要で、対策としては失効リストを最新に保った UEFI セキュアブート、BIOS/ファームウェアパスワード、レガシー CSM ブートの無効化、ブートチェーン改ざんを検知するためのフルディスク暗号化などが挙げられる。
● 例
- 01
パッチ済みシステムでもセキュアブートを回避できる UEFI ブートキット BlackLotus。
- 02
APT 級の UEFI ファームウェアインプラント MoonBounce。
● よくある質問
ブートキット とは何ですか?
MBR、VBR、UEFI などの起動プロセスを感染させ、OS より前に動作して持続的かつ高権限の制御を獲得するマルウェア。 サイバーセキュリティの マルウェア カテゴリに属します。
ブートキット とはどういう意味ですか?
MBR、VBR、UEFI などの起動プロセスを感染させ、OS より前に動作して持続的かつ高権限の制御を獲得するマルウェア。
ブートキット からどのように防御しますか?
ブートキット に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ブートキット の別名は何ですか?
一般的な別名: ブート型ルートキット, MBR ルートキット。