数百万のギガバイトマザーボードがファームウェアバックドア付きで販売された

Dec 14, 2023

アンディ・グリーンバーグ

コンピュータの UEFI ファームウェア (PC にオペレーティング システムのロード方法を指示する根深いコード) に悪意のあるプログラムを隠すことが、ステルス ハッカーのツールキットの潜伏手口となっています。 しかし、マザーボード メーカーが数百万台のコンピュータのファームウェアに独自の隠れたバックドアをインストールし、その隠れたバックドアに適切なロックさえかけない場合、事実上、ハッカーの仕事を代わりに行っていることになります。

ファームウェアに焦点を当てたサイバーセキュリティ企業Eclypsiumの研究者らは本日、台湾のメーカーGigabyteが販売するマザーボードのファームウェアに隠されたメカニズムを発見したことを明らかにした。Gigabyteのコンポーネントはゲーム用PCやその他の高性能コンピュータで一般的に使用されている。 Eclypsium は、影響を受けるギガバイトのマザーボードを搭載したコンピューターが再起動されるたびに、マザーボードのファームウェア内のコードが目に見えない形でコンピューター上で実行されるアップデーター プログラムを開始し、別のソフトウェアをダウンロードして実行することを発見しました。

Eclypsiumは、この隠しコードはマザーボードのファームウェアを最新の状態に保つための無害なツールであるとしているが、研究者らは、このコードが安全でない方法で実装されており、そのメカニズムがハイジャックされ、Gigabyteが意図したプログラムの代わりにマルウェアをインストールするために使用される可能性があることを発見した。 また、アップデータ プログラムはオペレーティング システムの外部にあるコンピュータのファームウェアから起動されるため、ユーザーが削除したり、発見したりすることさえ困難です。

「これらのマシンのいずれかを持っている場合、それは基本的にインターネットから何かを取得し、ユーザーの関与なしにそれを実行しており、これらのことを安全に実行していないという事実を心配する必要があります」と戦略をリードするジョン・ルカイデス氏は言うそしてエクリプシウムでの研究。 「エンドユーザーの下に入り込み、ユーザーのマシンを乗っ取るという概念は、ほとんどの人には受け入れられません。」

Eclypsium は、この研究に関するブログ記事の中で、研究者らが影響を受けるとしているギガバイト マザーボードの 271 モデルをリストアップしています。 Loucaides 氏は、自分のコンピュータがどのマザーボードを使用しているかを確認したい場合は、Windows の「スタート」から「システム情報」に移動して確認できると付け加えています。

Eclypsium は、顧客のコンピュータでファームウェア ベースの悪意のあるコードを探していたときに、Gigabyte の隠されたファームウェア メカニズムを発見したと述べています。ファームウェア ベースの悪意のあるコードは、洗練されたハッカーによって使用されるツールがますます一般的になっています。 たとえば、2018年には、ロシアのGRU軍事情報局に代わって活動するハッカーが、スパイ戦術として被害者のマシンにファームウェアベースの盗難防止ソフトウェアLoJackをサイレントにインストールしていたことが発見された。 2年後、中国国家支援のハッカーたちが、ハッカー派遣会社Hacking Teamが作成したファームウェアベースのスパイウェアツールを再利用し、アフリカ、アジア、ヨーロッパの外交官やNGOスタッフのコンピュータを標的にしていたことが発見された。 Eclypsium の研究者らは、Gigabyte のアップデーター メカニズムが、ファームウェアに隠れてインターネットからコードをダウンロードするプログラムをサイレントにインストールするなど、国家支援のハッキング ツールと同様の怪しい行為を実行していることを、自動検出スキャンで検出したことに驚きました。

ローレン・グッド

WIREDスタッフ

ブレンダ・ストーリヤー

ウィル・ナイト

Gigabyte のアップデータだけでも、Gigabyte がほとんど目に見えないツールを使用して自分のマシンにコードを黙ってインストールすることを信頼していないユーザー、または Gigabyte のメカニズムがハッカーによって悪用され、マザーボードのメーカーを侵害してその隠されたアクセス権を悪用されるのではないかと心配しているユーザーにとって懸念を引き起こした可能性があります。ソフトウェアサプライチェーン攻撃。 しかし、Eclypsium は、更新メカニズムがハイジャックされる可能性のある明らかな脆弱性を持って実装されていることも発見しました。Eclypsium は、コードを適切に認証せずに、場合によっては HTTPS ではなく保護されていない HTTP 接続を介してユーザーのマシンにダウンロードします。 これにより、不正な Wi-Fi ネットワークなど、ユーザーのインターネット接続を傍受できる者による中間者攻撃によって、インストール ソースがなりすますことが可能になります。

他のケースでは、Gigabyte のファームウェアのメカニズムによってインストールされたアップデータは、ローカルのネットワーク接続ストレージ デバイス (NAS) からダウンロードされるように構成されており、この機能はビジネス ネットワークがすべてのマシンにアクセスすることなくアップデートを管理できるように設計されていると思われます。インターネットへ。 しかし、Eclypsium は、そのような場合、同じネットワーク上の悪意のある攻撃者が NAS の位置を偽装し、目に見えないように独自のマルウェアをインストールする可能性があると警告しています。

Eclypsiumは、マザーボードメーカーに調査結果を開示するためにGigabyteと協力しており、Gigabyteは問題を修正する予定だと述べていると述べた。 ギガバイトは、『WIRED』がEclypsiumの調査結果に関して何度もコメントを求めたが、返答はなかった。

たとえギガバイトがファームウェア問題の修正を推し進めたとしても――結局のところ、問題はファームウェアの更新を自動化することを目的としたギガバイトのツールに起因している――Eclypsium の Loucaides 氏は、多くの場合、ファームウェアの更新はユーザーのマシン上でサイレントに中止されることが多いと指摘している。複雑さと、ファームウェアとハ​​ードウェアのマッチングの難しさ。 「これは今後何年にもわたって、ギガバイトのボード上でかなり蔓延する問題になるだろうと今でも思っています」と Loucaides 氏は言う。

影響を受ける可能性のある数百万台のデバイスを考慮すると、Eclypsium の発見は「憂慮すべきことだ」と、サプライチェーンに焦点を当てたサイバーセキュリティの新興企業 Crash Override の最高セキュリティ責任者である Rich Smith 氏は述べています。 Smith はファームウェアの脆弱性に関する研究を発表し、Eclypsium の調査結果をレビューしました。 同氏はこの状況を、2000年代半ばのソニーのルートキットスキャンダルと比較している。 ソニーはデジタル著作権管理コードを CD に隠し、ユーザーのコンピュータに目に見えない形でインストールし、それによってハッカーがマルウェアを隠すために使用する脆弱性を作成していました。 「悪意のある攻撃者が伝統的に使用してきたテクニックを使用することはできますが、それは許容できませんでした。一線を越えていました」とスミス氏は言います。 「Gigabyte がソフトウェアの配信にこの方法を選択した理由については話せません。しかし、私にとって、これはファームウェアの分野で同様の一線を越えているように感じます。」

Smith 氏は、Gigabyte が隠しファームウェア ツールに悪意や欺瞞的な意図を持っていなかった可能性があることを認めています。 しかし、非常に多くのコンピューターのオペレーティング システムの下にある目に見えないコードにセキュリティの脆弱性を残すことで、ユーザーが自分のマシンに対して抱いている信頼の基本的な層が損なわれてしまいます。 「ここには意図はなく、ただずさんなだけです。しかし、ずさんなファームウェアを書いている人には望まないのです」とスミス氏は言います。 「ファームウェアを信頼できなければ、砂の上に家を建てているようなものです。」