カナダのバンクーバーで2009年3月16~20日に開催されたセキュリティ関連カンファレンス「CanSecWest 2009」はとても有意義だった。特に印象に残ったのは,攻撃者がパソコンの制御権を握り続ける手段としてBIOSを使う,という話題である。
筆者の知る限り,攻撃用コードによるBIOSの悪用はこれが初めてでない。しかし,攻撃用コード全体を格納するのにBIOSが使われた例は聞いたことがない。この攻撃はBIOSを改変して,格納した攻撃用コードをパソコンのハード・ディスク(HDD)やその他デバイスにインストールする。こうして攻撃者は,OSが再インストールされようが,HDDが交換されようが,そのほかの確実と思われる感染除去策を実行されようが,パソコンを手中に収めていられる。パソコンに変更を加えたりハードウエアを交換したりしても,「汚染されていない」イメージでBIOSを完全にクリアにしない限り危険は去らない。
攻撃者にとってこの攻撃の最大のメリットは,遠隔地にいながら「永続的な制御権」を持てることである。さらに筆者の同僚は,BIOS感染がスパイ活動にも役立つと指摘してくれた。そこで,いくつか攻撃シナリオを考えてみた。空想を膨らませ,順法精神の低い企業が産業スパイに手を染めてライバル会社を出し抜こうとしている,としてみよう。この企業はライバル会社のIT部門にスパイを送り込み,「全パソコンのBIOSにコード感染させよ」と命じるのだ。この感染コードは,各種データを記録してスパイ企業に送る攻撃用コードを,いつでも勝手にパソコンへインストールできる。攻撃用コードが発見されたとしても,BIOS感染の疑いが問題解決策リストの上位に記載されることはまずない(もしくは全く記載されない)ので,大抵の対策を跳ね返せる。結果的に,ライバル会社のIT部門がBIOS感染に気付かないと原因究明にコストをかけることとなり,生産性を大きく落としてしまう。もちろん,軍隊や警察機関もBIOS感染を利用することで,諜報対抗手段に対する耐性の強いスパイ活動を実施できる。
最新型マザーボードのなかにはBIOSサイズが3Mバイト前後まで増えたものがあり,攻撃者の活動できる余地は大きい。BIOS内で実行可能な活動に制約があったとしても,攻撃者は外部サイトから追加ファイルをダウンロードする攻撃コードを作ればよいのだ。
今回の制御権獲得手法に関して警告しておきたいのは,通常,BIOSクリアを実行するにはルート権限が必要になる点だ。攻撃者がパソコンに存在するセキュリティ・ホールの悪用に成功してルート権限を手に入れると,その権限を持ち続けるための保険としてBIOS感染を利用できる。さらに,パソコンが物理的にアクセス可能な状態だと簡単にBIOS改変を許してしまう。
Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Persistent Infection」でお読みいただけます。
