Sponsored Contents

appleの最新記事

Image credit:
Save

Macのファームウェアに感染するワームをセキュリティ研究者が開発、BlackHatで発表予定

Munenori Taniguchi, @mu_taniguchi
2015年8月4日, 午後03:10 in Apple
376シェア
0
205
0
171

連載

注目記事

チートレベルの操作性!  最強ゲームスマホ「ROG Phone」✕「ハズキルーペ」でドン勝しまくる:ベストバイ2018

チートレベルの操作性!  最強ゲームスマホ「ROG Phone」✕「ハズキルーペ」でドン勝しまくる:ベストバイ2018

View
 
コンピュータセキュリティ企業 LegbaCore の研究者 Xeno Kovah、Trammell Hudson、Corey Kallenberg が、Mac のファームウェアに感染するワーム「Thunderstrike 2」を開発、ラスベガスで開催中のセキュリティカンファレンス BlackHatでの発表を予告しました。

Kovah らは昨年暮れ、Macのファームウェアの脆弱性を突いて感染する Thunderstrike を開発、公表していました。この問題はアップルがファームウェアアップデートを公開することで解決したはずでした。ところが Kovah らは新たに Thunderstrike 2 を開発し、脆弱性がまだ完全には塞がれていないことをアピールしています。

このワームは昨年開発した周辺機器などから Mac のファームウェアへ感染する能力を持ち、一般的なウィルス対策ソフトウェアでは対処できないとしています。
 

 
ファームウェアいえば、コンピューター機器における最も基礎的なソフトウェア。一般的には専用のROMに格納され、ハードウェアに所定の動作をさせる役割を担います。PC や Mac では BIOS や EFI /UEFI がファームウェアの一種と言えます。

Kovah らが開発したのは、Mac のファームウェアを不正に書き換え、感染活動をするワーム「Thunderstrike 2」。ワームとはコンピューターウィルスの一種で自己複製機能を持つもので、Thunderstrike 2 も感染を拡大する能力を備えています。

ファームウェアに感染するという点でこのワームは非常に大きな脅威となる可能性を秘めています。一般的なウィルス対策ソフトは OS 上で動作する悪質なプログラムの検出を目的としており、ファームウェアに感染するこのワームを検出できません。
 

 
感染のしくみは、まずフィッシングサイトなどで気付かずに感染コードをダウンロードし実行した Mac が、ファームウェアのフラッシュメモリーを書き換えられます。さらにこのとき外付けの周辺機器(たとえば Thunderbolt-ギガビットイーサネットアダプターなど)を接続していれば、その機器のオプション ROM と呼ばれる領域にに感染コードを複製します。

この時点ですでに Mac と周辺機器のファームウェアはワームに感染しています。Mac を再起動すると、OS のブートプロセスが開始する前にワームが起動、動作します。

一方、周辺機器のほうに感染したワームは、先ほどとは別の Mac に接続して起動するだけで、その Mac の OS が立ち上がる前に感染、ワームを起動します。この状態ではまだ Mac のファームウェアには感染していませんが、画面を閉じるなどしていったんスリープモードに入ってしまえば、再び起動するときのレジューム動作を乗っ取り、ファームウェアに感染します。その後 Mac を再起動すれば、やはり OS よりも先にワームが起動することになります。

しくみだけを見れば、最初にフィッシングサイトへ誘導されなければ大丈夫と思うかもしれません。ただフィッシングサイトの部分がなくとも、たとえばワームに感染した周辺機器がオークションに出されてしまえば、そこから誰も知らない間にワーム感染が拡大することも考えられます。

また Mac のファームウェアに感染するということは OS をクリーンインストールしなおしてもワームを取り除くことができないことを意味します。

今年2月には、HDD のファームウェアに感染するマルウェアが発見され、このときもウィルス対策ソフトで削除できないことが話題となりました。またイタリアのセキュリティ企業 Hacking Team が流出させてしまった情報からは、PC の BIOS や UEFI に感染させるルートキットもみつかっています。

Xeno Kovah は、「これまでいくつかの PC メーカーの製品について、こうしたファームウェアの脆弱性を指摘しました。そのなかではデルとレノボが素早く対策行動を起こしたものの、多くのメーカーはそうではありませんでした。そこにはアップルも含まれます」と語ります。そして、「ファームウェア攻撃に対する世の中の認識を向上するとともに、メーカーにはより良いファームウェアセキュリティの必要性を知ってもらいたい」としています。

下は2007年に放送された Mac の CM。 


376シェア
0
205
0
171

Sponsored Contents