マルウェア
ブートキット
別称: ブート型ルートキット, MBR ルートキット
定義
MBR、VBR、UEFI などの起動プロセスを感染させ、OS より前に動作して持続的かつ高権限の制御を獲得するマルウェア。
ブートキットは、マスターブートレコード(MBR)、ボリュームブートレコード(VBR)、UEFI ファームウェアといった早期の起動コンポーネントを侵害する特殊なルートキットである。OS やセキュリティツールよりも前に実行されるため、防御を無効化し、カーネルコードにフックを仕掛け、OS の再インストールにも耐え得る。最新のブートキットは UEFI 変数や EFI システムパーティションを狙う。検知にはファームウェア整合性検証、TPM アテステーションと組み合わせたセキュアブート/メジャードブート、起動メディアのオフラインフォレンジックが必要で、対策としては失効リストを最新に保った UEFI セキュアブート、BIOS/ファームウェアパスワード、レガシー CSM ブートの無効化、ブートチェーン改ざんを検知するためのフルディスク暗号化などが挙げられる。
例
- パッチ済みシステムでもセキュアブートを回避できる UEFI ブートキット BlackLotus。
- APT 級の UEFI ファームウェアインプラント MoonBounce。
関連用語
ルートキット
OS や機器上で高い権限を取得・維持しつつ、その存在を一般的な検知ツールから隠蔽するステルス型マルウェア。
UEFI ルートキット
UEFI ファームウェアに植え込まれ、OS より前に読み込まれ、ディスク消去後も残り、多くのエンドポイント保護を回避するルートキット。
BIOS ルートキット
レガシー BIOS ファームウェアに感染し、OS より前に実行されることで OS 下層に深く持続化するルートキット。
ブートセクタウイルス
ディスクのブートセクタやマスターブートレコードに感染し、OS の読み込み前に実行されるウイルス。
ファームウェアマルウェア
BIOS/UEFI、NIC、ストレージ、周辺機器などの機器ファームウェアに潜伏する悪意ある実装で、OS の再インストールや多くのエンドポイント対策を生き延びる。
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。