一般的なファームウェアLoJackにより、ハッカーがノートパソコンにアクセスできる可能性があります（更新）

LoJaxが非常に懸念される理由は2つあります。標的となるデバイスの数の多さと、システムからLoJaxを削除することの難しさです。第一の問題は、LoJackがほぼどこにでも存在することです。Absolute Softwareが提携していない企業を挙げる方が、提携している企業をすべて列挙するよりも簡単です。このユーティリティのウェブサイトには、Apple、Microsoft、Acer、東芝など、多くの企業がパートナーとしてリストアップされています。これらのパートナーすべてがLoJackをプリインストールした状態でラップトップを出荷しているわけではありませんが、多くの企業がプリインストールしており、これらのデバイスはLoJaxの標的となるリスクにさらされている可能性があります。

しかし、LoJackがシステムにプリインストールされていることに気づいていない人も多いでしょう。ノートパソコンが盗難に遭った場合に備えて、メーカーが盗難対策会社と提携して適切な準備をするのは当然のことです。ノートパソコンが紛失したことに気づいてから盗難対策ソフトウェアをインストールするわけにはいきません。しかし、LoJackとの提携を宣伝したり、顧客にその存在を直接開示しているノートパソコンメーカーは、私たちの知る限り一つもありません。そもそもLoJackについて知らされなければ、人々はLoJackのサービスに登録できることをどうやって知ることができるのでしょうか？

LoJaxのもう一つの問題は、その持続性です。LoJackは、窃盗犯が新しいOSをインストールしたり、ノートパソコンのストレージを交換したりしても動作し続けるように設計されています。LoJaxはその持続性を利用して、一般のユーザーがその存在を検知したり、検知したとしてもシステムから削除する方法を知ったりすることをほぼ不可能にします。Windowsのセキュアブートを有効にして署名のないファームウェアのインストールを防ぐなど、自衛策はありますが、一般ユーザーにできるのはそれくらいです。

ESETは次のように説明した。

このような脅威をシステムから自動的に削除する簡単な方法はありません。前述のケースでは、ルートキットを削除するには、SPIフラッシュメモリをマザーボード固有のクリーンなファームウェアイメージで再フラッシュする必要があります。これは手動で実行する必要がある繊細な操作であり、ほとんどのコンピューター所有者が使い慣れている手順ではありません。UEFI/BIOSを再フラッシュする唯一の代替手段は、侵害されたシステムのマザーボードを完全に交換することです。

明るい兆しもある。ESETによると、発見したマルウェアは、プラットフォーム・コントローラー・ハブを統合したチップセットを搭載したマザーボードには存在しないはずの、古いチップセットの脆弱性を悪用するものだ。しかし、こうした問題は単一の脆弱性攻撃に留まるものではない。研究者がIntelのマネジメント・エンジンで数ヶ月ごとに新たな問題を発見しなかった時代、あるいはメルトダウンとスペクターの脆弱性がそれぞれ独自のものだった時代を思い出せ。UEFIルートキットが1つ発見された今、今後さらに多くのルートキットが発見されると考えるのは当然だ。

詳細を把握するため、Absolute Software社に連絡を取りました。Microsoft社がWindowsの防御機能にLoJackの例外を設けたことで、このルートキットが誤って機能してしまったという苦情を受け、Absolute Software社にも連絡を取りました。両社から回答が得られ次第、この記事を更新します。ESET社のLoJaxに関する論文全文はこちらでご覧いただけます。また、Arbor Networks社が5月に公開したブログ記事では、LoJaxに関するより詳しい背景情報が提供されています。

ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。