昨年、ブルームバーグは、Supermicro製サーバーには中国製のバックドアが仕込まれており、これがAppleが2016年にそれらのサーバーを廃止した理由かもしれないという記事を掲載しました。ただし、Appleは当時、スパイ活動への懸念を否定していました。本日発表された新たな調査は、Supermicro製サーバーにバックドアがプリインストールされた状態で出荷されているというブルームバーグの報道を完全に裏付けるものではありませんが、Supermicroが使用するマイクロコントローラーとそれに付属するファームウェアは、検知されることなく簡単にバックドアを仕掛けられる可能性があることを指摘しています。
Supermicroの「寄生サーバー」は簡単に悪用される可能性がある
これまでの研究では、マザーボードに接続されたマイクロコントローラであるベースボード管理コントローラ(BMC)が、データセンター内のサーバーへの高度なリモートアクセスを可能にすることが示されています。これらのBMCの管理機能は、インテリジェント・プラットフォーム管理インターフェース(IPMI)を介して提供されます。IPMIは多くの点でIntelのマネジメント・エンジンやアクティブ・マネジメント・テクノロジーに類似しており、攻撃者がサーバーをリモートから乗っ取るという、同様に大きなリスクをもたらします。
IPMIは、サーバーの電源がオフになっている場合でも、組織が多数のサーバーをリモートで設定できるようにするものです。2013年には、研究者らがこれらのBMCが「寄生サーバー」を作成し、攻撃者がデータセンター内のサーバー群全体を乗っ取る可能性があることを指摘しました。
ホワイトハットセキュリティ研究者のダン・ファーマー氏は当時、BMC と IPMI について次のように述べています。
マザーボード上に小型ながらも強力な寄生サーバーを搭載したコンピューターのセキュリティ確保を想像してみてください。この寄生サーバーは電源を切ることも、ドキュメントを一切持たない吸血ヒルのような存在で、ログインもパッチ適用も、問題の解決もできません。サーバーベースの防御ソフトウェア、監査ソフトウェア、マルウェア対策ソフトウェアも保護に使用できません。設計は秘密で実装も古く、コンピューターのハードウェアとソフトウェアを完全に制御できます。さらに、パスワードは他の重要なサーバーと多数共有され、攻撃者がアクセスできるように平文で保存されています。
当時、これらのBMCの脆弱なファームウェアは、台湾企業ATEN Technologyによって開発されました。これらのBMCは、Dell、HP、その他のプロバイダーのサーバーにプリインストールされていました。新たな論文によると、IBMのサーバーも、SuperMicroのBMCにインストールされた検出不可能なバックドアに対して非常に脆弱であることが示されています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
サーバーのBMCの侵害が意味するもの
攻撃者がサーバーのBMCに侵入すると、様々な攻撃シナリオが生まれます。例えば、サーバーがブロックされる可能性があります。これは、過去のDDoS攻撃と同様に、攻撃者がクラウドサービスプロバイダーに「さもなければ」金銭を脅迫することを意味します。
BMCを介して接続・制御されているすべてのサーバーに低レベルのアクセス権を持つということは、攻撃者が多くのクラウドサービス利用者のサーバーからあらゆる種類のデータを抽出できることを意味します。また、侵害されたサーバーの多くには、ランサムウェアや、場合によっては暗号通貨マイニングマルウェアがインストールされる可能性もあります。
Eclypsium の研究者は、クラウド サービス プロバイダーに対し、以前の顧客から回収されたベアメタル サーバーが意図的に侵害されていないことを保証するために、回収プロセスをファームウェア レベルまで拡張することを推奨しました。
復旧プロセスには、BMCファームウェアの手動更新と、BMC経由のUEFIファームウェアの更新も含まれる必要があります。また、サービスプロバイダーは、サーバーのファームウェアの変更を継続的に監視し、攻撃の発生を即座に検知する必要があります。
ここ数年、サプライチェーンのセキュリティがソフトウェアパッチの適用と同等、あるいはそれ以上に重要であることに気づく企業が増えています。購入したハードウェアが工場内またはサプライチェーンのどこかで改ざんされていないことを確認することは、何百万人もの顧客のデータ保護を担うクラウドサービスプロバイダーにとって、さらに重要な優先事項となるはずです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
