ニュース

OS再インストールやHDD交換でも排除できない、UEFIルートキット「LoJax」

 セキュリティソフトベンダーのESETは27日(現地時間)、UEFI(Unified Extensible Firmware Interface)のルートキット「LoJax」を発見したことを発表した。

 LoJaxは、高度な攻撃を行なうサイバー攻撃集団「Sednit」によって使用されたという。同グループはAPT28やSTRONTIUM、Sofacy、Fancy Bearなどの別名でも知られている。

 ESETの調査では、LoJaxの攻撃対象となったのは、バルカン半島中部および東欧のいくつかの政府組織で、最低でも1度は攻撃成功を収めているという。UEFIルートキットとしては、世界で初めて実際に攻撃が確認されたものとなる。

 LoJaxの動作は、悪意のあるUEFIモジュールをシステムのSPIフラッシュメモリに書き込むというもので、悪意あるUEFIモジュールは、PCのブート処理中にマルウェアをストレージへ注入、実行する。

 この動作により、OSの再インストールだけでなく、ストレージが交換されても排除できず、システムのUEFIファームウェアをリフレッシュするという操作も一般的ではないことから、ESETでは机上の空論ではなく、より現実的な脅威として警告している。

 ただしLoJaxは、SPIフラッシュメモリ保護が脆弱、または誤った構成の場合に動作するものであることから、マザーボードの最新のUEFIを使っているかを確認するとともに、悪用された脆弱性が古いチップセットのみに影響を及ぼすため、重要なシステムに関しては、2008年以降のPCH(Intel 5シリーズ・チップセット)を使用するよう呼びかけている。

 また、UEFIルートキットは正しい署名が行なわれていないことから、Secure Bootを有効にしておくことで攻撃を防げるため、同機能を有効にすることも強く推奨している。