マルウェア
UEFI ルートキット
別称: UEFI インプラント, EFI ブートキット
定義
UEFI ファームウェアに植え込まれ、OS より前に読み込まれ、ディスク消去後も残り、多くのエンドポイント保護を回避するルートキット。
UEFI ルートキットは、BIOS の後継である Unified Extensible Firmware Interface(UEFI)に潜伏し、通常は SPI フラッシュモジュールやブートドライバ内に存在します。OS より前に実行されるため、セキュリティ制御の無効化、ブートコンポーネントの改ざん、OS 再インストール後の他マルウェア再配布などが可能です。多くは資源を持つ高度な攻撃者がカーネル権限、物理アクセス、サプライチェーン侵害を通じて展開します。対策としては、Secure Boot の強制、署名付きファームウェア更新、TPM ベースの Measured Boot 検証、ベンダー整合性ツール(CHIPSEC など)、Boot Guard、BIOS の書き込み保護、ファームウェア更新のサプライチェーン管理などが挙げられます。
例
- LoJax は公に確認された最初の野生の UEFI ルートキット。
- 企業を狙う UEFI ブートキットの MoonBounce と BlackLotus。
関連用語
BIOS ルートキット
レガシー BIOS ファームウェアに感染し、OS より前に実行されることで OS 下層に深く持続化するルートキット。
ファームウェアマルウェア
BIOS/UEFI、NIC、ストレージ、周辺機器などの機器ファームウェアに潜伏する悪意ある実装で、OS の再インストールや多くのエンドポイント対策を生き延びる。
ルートキット
OS や機器上で高い権限を取得・維持しつつ、その存在を一般的な検知ツールから隠蔽するステルス型マルウェア。
ブートキット
MBR、VBR、UEFI などの起動プロセスを感染させ、OS より前に動作して持続的かつ高権限の制御を獲得するマルウェア。
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。