画像: Thiago Trevisan/Foundry
コンポーネントサプライヤーのGigabyteには、いくつか緊急の疑問が突きつけられている。まず、そして最も切実な疑問は、「なぜ誰にも知らせずに、自社のマザーボードファームウェアにアップデータ用のバックドアを仕込んだのか?」だ。次に、「なぜ、知られずに済むと期待して、何らかの意味のある方法でロックダウンしなかったのか?」だ。セキュリティ調査会社Eclysiumは、GigabyteのUEFIファームウェアに、数百種類もの市販およびエンタープライズ向けマザーボードに搭載されているバックドアを発見した際に、こうした疑問を投げかけた。
Eclysiumによると、このコードはGigabyteがインターネット経由またはローカルネットワーク上の接続ストレージ経由でファームウェアアップデートをインストールするためのものだという。しかし、研究者らによると、このツールはほぼセキュリティ対策が不十分であり、悪意のある攻撃者がこのツールの存在を知れば、PCのマザーボードに独自のコードをロードできる可能性があるという。この問題は、新しいUEFIファームウェアをインストールできるWindowsスタートアップ実行ファイルによって発見された。このファイルは、セキュリティ対策が不十分なGigabyteのサーバーからダウンロードされ、署名検証なしにインストールされる。
研究ブログの投稿によると、このセキュリティ脆弱性により、悪意のある人物がOEMバックドアを利用して、ルートキットなどの有害なコードをユーザーのマシンに直接、あるいはGigabyte自身のサーバーに侵入してロードする可能性があるとのことです。また、ダウンロードプロセスを別の経路で傍受する「中間者」攻撃も可能となります。Eclysiumは、ユーザーまたは管理者がインターネット経由のアップデートをブロックできるGigabyteのURLを3つ提供していました。
影響を受けるマザーボードは数百種類に上り、その中にはハイエンドシステムビルダー向けの最新市販ボードも含まれています。全リストはこちら(PDFリンク)でご覧いただけます。EclysiumはGigabyteにこの脆弱性について報告済みであり、おそらくファームウェアアップデートでこの問題に対処する予定であると述べています。
最新情報: GigabyteはPCWorldに対し、「オペレーティングシステムの起動プロセス中に、より厳格なセキュリティチェックを実装した」と発表しました。Intel 500、Intel 600、AMD 600マザーボードの更新されたファームウェアには、リモートサーバー証明書の署名検証と暗号検証が含まれています。
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
