Windowsコンピューターのファームウェアに感染し、オペレーティングシステムを再起動しても、Windowsを再インストールしても感染先のマシンに残り続けるため、長期的に見て非常に危険です。
[本リリースは、2022年7月25日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのグローバル調査分析チーム(GReAT)※1はこのたび、Windowsコンピューターのファームウェアに感染するUEFI(Unified Extensible Firmware Interface)ルートキットを発見しました。このルートキットは、オペレーティングシステムを再起動しても、あるいはWindowsを再インストールしても感染先のマシンに残り続けるため、長期的に見て非常に危険です。「CosmicStrand」と名付けたこのルートキットは、APT(高度サイバー攻撃)攻撃者が開発したとみられ、大半が中国の民間人を対象として使用されており、まれにベトナム、イラン、ロシアの個人もターゲットにされていました。
UEFIファームウェアは、大半のハードウェアで使用される根幹のコンポーネントです。そのコードは、デバイスを起動して、オペレーティングシステムをロードするソフトウェアコンポーネントを立ち上げる役割を担っています。UEFIファームウェアが何らかの方法で書き換えられて悪意のあるコードが埋め込まれた場合、そのコードがオペレーティングシステムよりも先に起動されるため、セキュリティソリューションとオペレーティングシステムの防御策では、悪意のある活動を検知できない可能性があります。上記の理由と、ファームウェアがハードディスクではなくチップに格納されていることから、UEFIファームウェアに対する攻撃は極めて検知が難しく、オペレーティングシステムを何度再インストールしても、マルウェアはそのデバイスに存在し続けます。
このCosmicStrandについてGReATは、これまで知られていなかった中国語話者の攻撃者によるものとみています。この攻撃者が目指す最終目標はいまだ分かっていませんが、攻撃に遭ったのは企業のコンピューターではなく、個人のコンピューターだったことを確認しています。
攻撃を受けたコンピューターは全てWindowsベースで、再起動するたびにWindowsの起動後にわずかな悪意のあるコードが実行されていました。その目的は、指令サーバーに接続し、追加の悪意のある実行可能ファイルをダウンロードすることです。
GReATのリサーチャーは、そもそもどのようにしてこのルートキットが感染したコンピューターに行き着いたのかは特定できませんでした。しかし、インターネット上の未確認のアカウントによると、一部のユーザーはあるハードウェア部品をオンラインで注文した際に、感染したデバイスを受け取ったことが示されています。
CosmicStrandの最も特筆すべき点は、このUEFIインプラントはUEFIへの攻撃が公に説明され始めるはるか前、2016年末から実環境で使用されていたとみられることです。
Kaspersky GReATのセキュリティリサーチャー、イワン・クフィアトコフスキ(Ivan Kwiatkowski)は、次のように述べています。「最近発見されたにもかかわらず、CosmicStrand UEFIファームウェアルートキットは、何年も前から展開されてきたようです。これは、この攻撃者が非常に高度な能力を有しており、2017年から気付かれずに隠ぺいできていたことを示しています。攻撃者が当時使用したのがこのルートキットだとして、今はどんな新しいツールを開発し使っているのかが疑問で、まだそれを発見できていません」
■ CosmicStrandフレームワークの詳細については、Securelistブログ(英語)「CosmicStrand: the discovery of a sophisticated UEFI firmware rootkit」でご覧いただけます。
※1 Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。