Kaspersky、UEFIファームウェアに感染し長期間潜在するルートキット「CosmicStrand」を発見
PR TIMES / 2022年8月4日 13時45分
[本リリースは、2022年7月25日にKasperskyが発表したプレスリリースに基づき作成したものです]
---【概要】---
Kasperskyのグローバル調査分析チーム(GReAT)※1はこのたび、Windowsコンピューターのファームウェアに感染するUEFI(Unified Extensible Firmware Interface)ルートキットを発見しました。このルートキットは、オペレーティングシステムを再起動しても、あるいはWindowsを再インストールしても感染先のマシンに残り続けるため、長期的に見て非常に危険です。「CosmicStrand」と名付けたこのルートキットは、APT(高度サイバー攻撃)攻撃者が開発したとみられ、大半が中国の民間人を対象として使用されており、まれにベトナム、イラン、ロシアの個人もターゲットにされていました。
--------------
UEFIファームウェアは、大半のハードウェアで使用される根幹のコンポーネントです。そのコードは、デバイスを起動して、オペレーティングシステムをロードするソフトウェアコンポーネントを立ち上げる役割を担っています。UEFIファームウェアが何らかの方法で書き換えられて悪意のあるコードが埋め込まれた場合、そのコードがオペレーティングシステムよりも先に起動されるため、セキュリティソリューションとオペレーティングシステムの防御策では、悪意のある活動を検知できない可能性があります。上記の理由と、ファームウェアがハードディスクではなくチップに格納されていることから、UEFIファームウェアに対する攻撃は極めて検知が難しく、オペレーティングシステムを何度再インストールしても、マルウェアはそのデバイスに存在し続けます。
このCosmicStrandについてGReATは、これまで知られていなかった中国語話者の攻撃者によるものとみています。この攻撃者が目指す最終目標はいまだ分かっていませんが、攻撃に遭ったのは企業のコンピューターではなく、個人のコンピューターだったことを確認しています。
攻撃を受けたコンピューターは全てWindowsベースで、再起動するたびにWindowsの起動後にわずかな悪意のあるコードが実行されていました。その目的は、指令サーバーに接続し、追加の悪意のある実行可能ファイルをダウンロードすることです。
GReATのリサーチャーは、そもそもどのようにしてこのルートキットが感染したコンピューターに行き着いたのかは特定できませんでした。しかし、インターネット上の未確認のアカウントによると、一部のユーザーはあるハードウェア部品をオンラインで注文した際に、感染したデバイスを受け取ったことが示されています。
CosmicStrandの最も特筆すべき点は、このUEFIインプラントはUEFIへの攻撃が公に説明され始めるはるか前、2016年末から実環境で使用されていたとみられることです。
Kaspersky GReATのセキュリティリサーチャー、イワン・クフィアトコフスキ(Ivan Kwiatkowski)は、次のように述べています。「最近発見されたにもかかわらず、CosmicStrand UEFIファームウェアルートキットは、何年も前から展開されてきたようです。これは、この攻撃者が非常に高度な能力を有しており、2017年から気付かれずに隠ぺいできていたことを示しています。攻撃者が当時使用したのがこのルートキットだとして、今はどんな新しいツールを開発し使っているのかが疑問で、まだそれを発見できていません」
■ CosmicStrandフレームワークの詳細については、Securelistブログ(英語)「CosmicStrand: the discovery of a sophisticated UEFI firmware rootkit」でご覧いただけます。
https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/
※1 Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
[画像: https://prtimes.jp/i/11471/309/resize/d11471-309-b52e1e9973c1ff63e4dd-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
xzを悪用したサプライチェーン攻撃の顛末、今後も同様の攻撃継続の恐れ
マイナビニュース / 2024年5月7日 10時47分
-
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告
PR TIMES / 2024年4月26日 18時40分
-
Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
PR TIMES / 2024年4月18日 16時45分
-
圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに
マイナビニュース / 2024年4月15日 11時23分
-
Kaspersky、2023年に第三者機関のセキュリティ製品テストに計100回参加し、そのうち93回で1位の成績を収め、卓越した技術力を実証
PR TIMES / 2024年4月12日 16時40分
ランキング
-
1日本郵便と西濃が共同輸送 長距離対象、24年問題に対応
共同通信 / 2024年5月6日 17時34分
-
2ドンキの“固すぎる”Tシャツがじわじわ売れている 開発者が生地の厚みにこだわったワケ
ITmedia ビジネスオンライン / 2024年5月6日 8時0分
-
3GWが明けたら次の祝日は7月の海の日…産業医が教える「年間幸福度」を最大に引き上げる有給の賢い取り方
プレジデントオンライン / 2024年5月7日 7時15分
-
4思わずクリック「フィッシング詐欺」メールの巧妙 専門家も見極め困難、2要素認証と「意識」が大切
東洋経済オンライン / 2024年5月7日 9時0分
-
5京葉線東京駅への「長い長~~い乗り換え」回避する方法とは 実は隣の駅に秘密が!?
乗りものニュース / 2024年5月6日 15時12分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください