CosmicStrandは、一般的なOSインストールよりもはるかに侵入が難しいと思われるハードウェア部分にまで侵入する、一連の高度なマルウェアの最新版です。しかし、サイバーセキュリティ研究者なら誰でも言うように、侵入が難しいからといって、侵入できないわけではありません。研究者たちは最近、IntelのH81チップセットを搭載したASUSとGigabyteの両マザーボードに潜む、特に巧妙なマルウェアの痕跡を発見しました。CosmicStrandは2016年に初めて登場して以来進化を続けており、今回の感染拡大が両社の大型マザーボード市場向け製品に限定されているのか、それともより深刻な問題を秘めているのかは現時点では不明です。
カスペルスキー研究所の研究者たちは、マザーボードのUnified Extensible Firmware Interface(UEFI)に潜伏していたマルウェアを発見しました。UEFIとはいわばブートセクターのことで、接続されたすべてのハードウェア部品を識別、検証、起動する役割を担っています。ファンの回転速度が急上昇することから、最新鋭のゲーミングCPUによるPCのオーバークロック機能まで、すべてがPCのBIOSに繋がっています。念のため言っておきますが、このような脅威が発見されたのは今回が初めてではありません。しかし、一つだけでも既に多すぎるため、感染経路の可能性が増すことになります。
カスペルスキーによるマルウェアの分析によると、カーネルを乗っ取ることでマルウェアはOS全体の起動フローを制御し、プロセスを優先的に実行することでコマンド&コントロールサーバーにアクセスし、そこから残りのペイロードをダウンロードすることが可能になります。カスペルスキーは、このマルウェアはマザーボードのBIOSに直接書き込まれたと推定しており、インターネット経由で感染したとは考えにくいようです。
現時点では、感染は中国、ベトナム、イラン、ロシアに限定されているようです。カスペルスキー社は、顧客3台のコンピューターでマルウェアを検出したと発表しました。これらの顧客はいずれも異なるバージョンのカスペルスキー製セキュリティソフトウェアを使用しており、企業や雇用主などを通じて接続を共有していた者はいなかったため、そもそもの感染目的については謎に包まれています。
カスペルスキーの分析によると、改変されたCosmicStrandマルウェアは、MyKingsボットネットのペイロードとのコーディングの類似性から、中国語圏の脅威アクターによって作成されたことが示唆されています。MyKingsボットネット自体も、随所に中国語の文字が残っていました。もちろん、これは白黒はっきりした世界ではありません。中国語のスニペットは捜査の手違いを狙って挿入された可能性もあります。決定的な答えを得るには、より多くの時間と、おそらくより多くの事例の調査が必要です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
カスペルスキー社は、CosmicStrandの特徴から、その作成時期が2016年と推定されると述べています。つまり、この感染ベクターが気づかれずに潜伏していた期間がそれだけ長いということです。現時点では、他にどれだけのコンピューターが感染したかは不明です。カスペルスキー社をはじめとするセキュリティプロバイダーがこの脅威に注力するにつれて、感染数は増加すると予想されます。
これにより、これまで未知の脅威であった BIOS マルウェアが今後何年もかけて開発され、改良されていく中で、現在どのような BIOS マルウェアが潜んでいるのかという疑問も生じます。
サイバーセキュリティは、セキュリティ研究者と脅威アクターの間で繰り広げられる、まさにいたちごっこであり、これからもそれは変わりません。しかし、今回のマルウェア感染とその手口について現在わかっていることを踏まえると、中古市場でH81ベースのマザーボードを購入する際には、慎重になることをお勧めします。もし購入する場合は、必ずウイルス対策ソフトでチェックするようにしてください。これは、他人の管理下にあるハードウェアで構築されたPCであれば、必ず実行すべき対策です。
Francisco Pires 氏は、Tom's Hardware のフリーランス ニュース ライターであり、量子コンピューティングに関心を持っています。
