昨年は、LenovoとDellの両社に影響を与えるセキュリティスキャンダルが数多く発生しました。二要素認証とエンドポイントセキュリティ製品を提供するセキュリティ企業Duo Securityは、顧客をハッキングの危険にさらしているのは、これら2社のノートパソコンメーカーだけでなく、Acer、Asus、HPなどの他社製品も同様であることを明らかにし、その対策を講じました。
Duo Security は 5 社のラップトップを調査し、すべてのアップデーターが HTTPS 暗号化をまったく使用していないか、使用していても適切に設定されておらず、中間者攻撃に対して依然として脆弱である可能性があることを発見しました。
ブロートウェア - 単なるリソースの無駄遣いではない
同社は、これらのラップトップメーカーがPCに「ブロートウェア」をインストールしていると考えています。これらのソフトウェアツールは、Microsoftが最新のWindowsオペレーティングシステムに実装したあらゆるセキュリティ機能にもかかわらず、リソースを浪費するだけでなく、ユーザーを危険にさらす可能性があります。多くの場合、これらのソフトウェアツールはWindowsの防御を完全に回避するため、攻撃者はそれらを悪用することで、それらの保護も回避できます。
「たった一つのソフトウェアで、多くの、いや全ての防御策の効果を無効化するのは、それほど難しくありません。ASLR非準拠のDLL、予測通りにマッピングされたRWXメモリセグメント、簡単に悪用可能なコマンドインジェクションバグなど、これらはすべて攻撃者の攻撃を容易にします。そして、OEMソフトウェアにはこうした脆弱性が満ち溢れています」と、Duo Securityの研究者は最近の論文で述べています。「NSAのTAOグループのチーフであるロブ・ジョイス氏は、私たちのほとんどが既に認識していることを非常に明確に示しました。それは、単に必要がないのに、なぜ困難でリスクの高いことをするのかということです。実際のハッキングとは、最も抵抗の少ない道を選ぶことであり、OEMソフトウェアはしばしばその鎖の弱点となります。OEMベンダーがプリインストールされたソフトウェアでそれらを無力化した場合、魅力的なエクスプロイト緩和策、デスクトップファイアウォール、セーフブラウジング拡張機能はすべて、ユーザーを保護することはできません」と研究者らは付け加えています。
OEM、Windowsのハッキングを容易にする
研究者らは、5 大 OEM すべてが自社のラップトップにカスタム ソフトウェアを同梱していること、そしてそのソフトウェアに少なくとも 1 つの脆弱性が含まれていて、任意のリモート コード実行機能により潜在的な攻撃者がマシンを完全に制御できることを発見しました。
Duo Securityはまた、これらの脆弱性を利用するのに高度な技術的知識は必要ないため、容易に悪用される可能性があると述べています。また、これらのアップデータによって提供される攻撃対象領域が広いため、悪用はさらに容易になります。
セキュリティ企業は、アップデートのHTTPS暗号化の欠如、そしてコード署名と証明書ピンニングの欠如が最大の問題だと考えました。これらの機能により、OEMおよびサードパーティ製のアップデータのセキュリティが大幅に向上し、エクスプロイトに対する耐性が大幅に向上するでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
更新マニフェストの信頼性を検証しないと、マルウェアが特定の脆弱性を修正するさまざまな更新を阻止する可能性があるため、ユーザーにとって大きな危険をもたらす可能性があります。
研究者らが発見したもう一つの問題は、ユーザーへの通知なしのサイレントアップデートです。自動アップデートは一般的にユーザーにメリットをもたらしますが、セキュリティ上の理由から、少なくともアップデートが行われる際にはユーザーに通知する必要があります。そうでなければ、攻撃者がサイレントアップデートを悪用し、ユーザーに気付かれずにマルウェアをインストールしてしまうリスクがあります。
Duo Securityは、DellやAsusなどのOEM企業も批判しました。これらの企業は、アップデートプログラムに無意味な難読化や暗号化機能を追加しているように見えますが、これは「隠蔽によるセキュリティ」という考え方を体現しているようです。セキュリティ研究者は、この難読化はリバースエンジニアリングで簡単に実行できることを発見しました。
シグネチャーエディションは結局それほどきれいではない
Microsoftは以前から「Signature Edition」デバイスを提供しており、少なくとも理論上はPC OEMメーカーのブロートウェアが存在しないはずです。しかし、OEMメーカー提供のアップデータがこれらのマシンに残っているケースがほとんどで、Signature EditionデバイスもOEMメーカーから直接販売される他のデバイスと同様に脆弱性を抱えています。
OEM各社は、自社製のアップデータとサードパーティ製のアップデータを組み合わせ、セキュリティ実装のレベルも様々に異なる方法で使用しているようです。例えば、Duo Securityの研究者によると、Lenovoのアップデータには中間者攻撃(MITM)対策が施されているものもあれば、全く対策が施されていないものもあったとのことです。
ユーザーとOEM向けの緩和策
Duo Securityが推奨する主な緩和策は、新しいノートパソコンを入手したらすぐにOEMインストールをすべて消去することです。それ以外の場合は、Windowsオペレーティングシステム内のすべてのOEMコンポーネントをアンインストールすることを推奨しています。
同社は、ラップトップ OEM に対して、TLS 暗号化、マニフェスト コンテンツの改ざんを防ぐためのマニフェスト署名、および Microsoft の Authenticode サービスによるコード署名の使用を推奨しました。
昨年のLenovoとDellのセキュリティスキャンダルは、両社、そして他の大手ノートパソコンOEMメーカーに大きな衝撃を与えていないようだ。彼らは、暗号化されていない接続でソフトウェアを更新したり、パッケージに署名しなかったりしている。どちらも、かつてないほど容易かつ安価に実行できる時代に。これは既に業界全体で蔓延しているようで、競争だけでは期待通りの効果が得られていないため、OEMメーカーにこれらの問題を解決するよう圧力をかけるのは、ユーザーの役割となるだろう。
ルシアン・アルマスはTom's Hardwareの寄稿ライターです。 @lucian_armasuでフォローできます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
