セキュアブートは、UEFI経由で未検証のソフトウェアが読み込まれるのを防ぐために数億台ものPCに組み込まれているツールであり、現代のコンピュータセキュリティの根幹を成すものです。ハードウェアコンポーネントの暗号署名を使用することで、PCに接続されたデバイスが、ユーザー(または少なくともPC)が検証していないコードを読み込むことを防ぎます。だからこそ、暗号鍵の漏洩は大きな問題なのです。
関連: Windows 11のセキュリティを強化する方法
セキュリティ調査会社Binarlyの報告によると、漏洩した暗号鍵によって、Dell、Acer、Gigabyte、Supermicro、さらにはIntelなど、PC業界の大手ベンダーのハードウェアが侵害されたという。過去4年間にリリースされたファームウェアイメージの8%が侵害を受けており、22個の信頼できない鍵が直ちに発見された。
また、Ars Technica の投稿によると、これらのベンダーの「200 を超えるデバイス モデル」が、2022 年後半にオープンな GitHub リポジトリに投稿された特定のキーの影響を受けています。
Binarlyはこのエクスプロイトを「PKfail」と呼んでいます。状況の本質は、コンシューマー向けとB2B向けの両方の分野で、多くのデバイスがブートプロセスへの攻撃に対して脆弱になっていることです。これはコンピューターを侵害する最も危険な方法の一つですが、攻撃が成功するには特に複雑なものが必要です。
これは国家支援のハッカーが好む類のエクスプロイトです。なぜなら、極めて特定のデバイスを標的とし、WindowsなどのOSに侵入すればほぼ検知不可能なコードを実行できるからです。(一般ユーザーへの大規模な攻撃も可能ですが、その可能性は低いでしょう。)
この報告書で強調されている最も気がかりな問題の一つは、複数のベンダーが実際に「信頼しないでください」または「発送しないでください」というラベルが付いたファームウェアを搭載したデバイスを出荷していたことです。これは、キーの侵害された状態を認識していながら、それを無視していたことを示しています。
ハードウェア ベンダーがデバイスのファームウェアを更新し、侵害されたバイナリ ファイルを削除するのは簡単なはずですが、脆弱性の範囲が広いため、一部の PC では、影響を受けるすべてのコンポーネントをカバーするために、複数のファームウェア更新が必要になる可能性があります。
Binarlyは、PKfail検出用のオンラインツールを開発しました。このツールを使用すると、ファームウェアファイルをスキャンして、該当するデバイスが侵害されたキーを使用しているかどうかを確認できます。Ars Technicaの記事では、さらに詳細な情報と、影響を受けるハードウェアモデルの完全なリストが掲載されています。
この件で最も気がかりなのは、悪意は全くなかったたった一つの不注意な投稿が、瞬く間に多くのメーカーのデバイスを危険な状態に陥れてしまう可能性があることです。セキュアブートの性質上、細心の注意を払う以外に、このような事態の再発を防ぐ方法はないようです。
さらに読む: PCがハッキングされたことを示す警告サイン
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
