出典:Zoonar GmbH(Alamy Stock Photo経由)
研究者たちは、コンピュータのBIOS内でマルウェアを実行する方法を開発しました。そこは、どんなセキュリティソフトウェアも到達できない場所です。
Black Hat 2025にて、FFRIセキュリティのセキュリティ研究者である松尾和樹氏が、彼と同僚が「Shade BIOS」と呼ぶ技術の詳細を発表します。従来のUEFIルートキットやブートキットとは異なり、Shade BIOSは本質的にオペレーティングシステム(OS)とのやり取りをほとんど必要としません。そのため、攻撃者はアンチウイルス、エンドポイントや拡張検知・対応(EDR/XDR)、OSのセキュリティツールが見たり触れたりできない領域から悪意のある機能を実行できるのです。
従来のUEFIマルウェアの限界
統一拡張ファームウェアインターフェース(UEFI)は、基本入出力システム(BIOS)の後継であり、コンピュータのファームウェアとOSを接続するための業界標準仕様です。高度なサイバー攻撃者は、UEFIがコンピュータの実際のOSよりも先に起動時に動作するため、時折UEFIを標的にします。OSよりも先に動作することで、マルウェアは再起動やOSの再インストールなどに関係なくしつこく居座ることができ、セキュリティプログラムが読み込まれる前にそれらを無効化することができます。
それでも、UEFIマルウェアには避けられない犠牲があります。OSよりも先に動作できても、最終的には実際にマシン上のデバイスとやり取りし、悪意のある行動を行うためにOSを必要とします。ほとんど当たり前のように思えますが、マルウェアはデータを盗んだり、さらなるペイロードを投下したりするための環境が必要なのです。
OSへの依存は、UEFIマルウェアをセキュリティ対策の対象にします。起動時にすべてのセキュリティプログラムを無効化しようとすることもできますが、これは言うほど簡単ではありません。攻撃者は、標的のマシンにどんなプログラムがあるか、それらのプログラムがどんなカーネルドライバーを使っているか、そしてどうやってそれらを無効化するかを知る必要があります。実際には、すべてのUEFIマルウェアが何らかの潜在的な障害を残しています。たとえば、Windowsのカーネルレベルのトレースとログ記録のフレームワークであるEvent Tracing for Windows(ETW)を回避する方法を開発したものはまだありません。そして、もし将来、すべてのセキュリティ障壁を無効化できるブートキットを作り上げた攻撃者が現れたとしても、松尾氏は「すべてのセキュリティ機構が無効化されていたら、それは異常です。すぐに気づくでしょう」と指摘します。
松尾氏とその同僚が提案しているのは、UEFIマルウェアをOSから完全に独立して実行する方法であり、あらゆる種類のサイバーセキュリティ対策を根本から覆す力を与えるものです。
Shade BIOSの仕組み
起動プロセス中にOSが制御を引き継ぐと、UEFI BIOS環境が提供する機能やリソースはもはや必要なくなり、「破棄」されます。
松尾氏の研究のブレークスルーは、BIOSをランタイムに持ち込む手法です。Shade BIOS技術は、OSが起動した後でもマシンがBIOSをメモリに保持し、その後も正しく動作させることを可能にします。
「私はメモリマップを変更することでOSローダーを欺いています」と松尾氏は説明します。メモリマップは、メモリがどのように割り当てられているかを記述するUEFIのコンポーネントです。「BIOSがOSに制御を移すとき、メモリマップをローダーに渡します。しかし、私たちはそれを欺き、BIOSの機能が存在するメモリ領域がランタイム中も使用されるべきだと見せかけるのです。」
BIOSを持ち越すことで、攻撃者はこの環境内だけでマルウェアを実行できます。まるで攻撃者専用の第二の小さなOSが、実際のOSやその上で動作するすべてのものとは並行して、しかし完全に見えない形で動いているようなものです。
実際、攻撃者がBIOS内だけでマルウェアを動作させることに何の問題もありません。「OSと同様に、BIOSにも独自のメモリ管理やデバイスドライバがあります」と松尾氏は指摘します。
たとえば攻撃者は、C言語で通常のマルウェアのように動作するが、BIOS特有の動作に合わせたマルウェアを書くことができます。例えば「Windowsマルウェアではファイルを作成したいとき、WindowsやカーネルのAPIを使いますが、私たちの純粋なBIOSモデルでは、BIOSの機能、例えばディスクI/Oプロトコルを使ってファイルを書き込みます」と述べています。
「これはあくまで私の意見ですが、Shade BIOSの実装は既存のUEFIブートキットを作るよりも複雑ではないと思います。なぜならバイナリ操作が不要だからです。既存のUEFIブートキットは多くのフックやパターンマッチングを使いますが、Shade BIOSにはそうした機能は必要ありません。」
さらに特筆すべきは、UEFIが業界全体の標準であるため、Shade BIOSマルウェアはどんなPC、サーバー、マザーボードでも同じように動作するという点です。クロスプラットフォームどころか、Shade BIOSはクロスハードウェアなのです。
Shade BIOSは防げるのか?
セキュリティソフトウェアが役に立たないため、純粋なBIOSマルウェアを検出するには特別な注意が必要です。
具体的には、セキュリティ専門家が予防的かつ積極的にマシンのメモリダンプを行い、必要性の兆候が何もない状態でも不審なコードがないか検査する必要があります。
しかし、これには2つの朗報があります。第一に、メモリのダンプや解析はそれほど大変なことではありません。松尾氏はBlack Hatで、「Kraftdinner」というオープンソースツールを使った方法を実演する予定です。
さらに、UEFIマルウェアは一般的な組織が遭遇するものではありません。「UEFIの脅威は、国家安全保障の文脈以外ではあまり一般的ではありません」と松尾氏は述べています。「ですので、政府調達の際には通常、PCにバックドアがないか検査します。その際に、この種のマルウェアの検査が有用だと思います。」
翻訳元: https://www.darkreading.com/endpoint-security/shade-bios-technique-beats-security