VBOSとは?OSレベルのセキュリティ対策では防げない、ファームウェアレベルの脅威

本記事のサマリ

既存のセキュリティ対策で検出できない脅威の原因となりうる「VBOS」をご存知でしょうか?

VBOSとは「Vulnerability below the OS」の略であり、OSより低いレイヤ、すなわちファームウェアやブートローダに存在する脆弱性を指します。近年、このファームウェアレベルの脆弱性を突く攻撃が脅威として注目されています。

3行でわかる本記事のサマリ

  • 「VBOS」はOSより低いレイヤに存在するファームウェアやブートローダの脆弱性を指す新たな脅威。
  • 攻撃者はファームウェアを標的とし、永続性を確保するために改ざんや脆弱性の悪用を行う。
  • ファームウェアセキュリティの必要性が高まり、SBOMを活用して脆弱性管理やファームウェア保護を検討すべき。

目次

  1. ファームウェアセキュリティの必要性
  2. ファームウェアに対する脅威
  3. 脆弱性管理の必要性とファームウェア
  4. 企業のファームウェアセキュリティ投資の状況

1. ファームウェアセキュリティの必要性

昨今のサイバー攻撃の高度化・巧妙化に伴い、EDRやXDRなどに代表されるような、"侵入されることを前提とした"セキュリティソリューションが主流となってきています。こうしたソリューションは、攻撃と思われる兆候を侵入の初期段階で迅速に可視化し、抑止することを目的としています。
現在の攻撃者は、侵入後に長期間検知されないことを目的として活動しているケースが多いです。つまり、目的は永続性の確保です。この永続性を確保するための方法として、ファームウェアに対する攻撃に攻撃者が目をつけました。ファームウェアはSPIフラッシュメモリというハードディスクとは別の領域に書き込まれており、OSより先に起動してOSやその他のソフトウェアを動作させます。そのため、ファームウェアの改ざんや脆弱性悪用が行われた場合、OSでの権限制御や、OSレベルで動作するセキュリティ対策が無効化される可能性があります。また、ファームウェアはSPIフラッシュメモリに書き込まれているため、インシデント対処としてOS再インストールやハードディスク交換が行われても脅威が残存する可能性があります。

GettyImages-904483442 (1).jpg

2. ファームウェアに対する脅威

実際に攻撃者によって利用されているマルウェアにも、ファームウェアの脆弱性の偵察や悪用を行うものが確認されています。
その一例としてTrickbotが挙げられます。Trickbotは端末上の偵察や情報窃取、ランサムウェアのダウンロードなどを行うマルウェアです。Trickbotはロシア系の攻撃者によって作成されているとされ、昨今話題となったEmotetを経由して感染を試みる事例が知られています。
ファームウェアセキュリティソリューションを提供するEclypsium社によると、2020年以降に確認されたTrickbotの亜種に、新たにファームウェアの脆弱性のスキャンを行う機能が追加されているものが出てきています。この機能はTrickBootと呼称され、デバイス上のファームウェアの読み取り、書き込み、削除に関する既知の脆弱性の有無、及び、SPIフラッシュメモリへの外部からの書き込み保護の有無をスキャンします。現時点ではTrickbotにはスキャンした脆弱性の悪用を試みる機能は確認されていませんが、Trickbotにより発見された脆弱なファームウェアに対し、攻撃者が別の方法で攻撃を試みている可能性は十分に考えられます。

マルウェアによるもの以外でも、ファームウェアを標的とした攻撃特有のシナリオとして、機器に物理的に接触することによるファームウェアの書き換えが挙げられます。このシナリオでは、攻撃者は対象のデバイスにSPIフラッシュプログラマと呼ばれる機器を接続することで、ファームウェアを直接書き換えます。このような攻撃が実際に発生した事例として、ある金融系のグローバル企業で海外出張先に持参したノートPCが攻撃者に短時間持ち去られ、ファームウェアの改ざんを受けて返されるといった攻撃が確認されています。

このように、ファームウェアの脆弱性や改ざんをターゲットとした攻撃は単なる理論上のものではなく、今や実際に攻撃者に使用されています。

3. 脆弱性管理の必要性とファームウェア

2021年5月に、米国のサイバーセキュリティ改善に関する大統領令※1が公開されました。この大統領令の中で、ソフトウェア全般の脆弱性対策として、SBOM(Software Bill of Materials)の必要性が提唱されています。SBOMとは、ある製品を構成するすべてのソフトウェアやコンポーネントを一覧化することで、その製品のサプライチェーンを可視化したものです。ソフトウェア製品は、一般的に多くのコンポーネントから構成されます。そうしたコンポーネントで脆弱性が発見された場合、それを使用して作成されたソフトウェアも脆弱性の影響を受けます。記憶に新しい事例としては、2021年12月に公表されたApache Log4jの脆弱性(Log4Shell)が、多くの製品で使用される基幹的なソフトウェアで脆弱性が発見されたものです。こうした場合に備え、公表された脆弱性や攻撃を受けたサプライチェーンとその製品の関係を明らかにするのがSBOMの目的です。
SBOMの必要性は、いわゆるソフトウェアだけではなく、ファームウェアに対しても同様のことが言えます。ファームウェアが攻撃対象として注目されるにつれ、ファームウェア関連の脆弱性の報告件数も増加しています。組織で利用されているファームウェアのベンダやバージョンを可視化し、脆弱性の有無を洗い出すことができるのが理想的です。

※1 Source: Executive Order on Improving the Nation's Cybersecurity
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

4. 企業のファームウェアセキュリティ投資の状況

一方で、企業のファームウェアセキュリティへの投資はまだ少ないのが現状です。Microsoftが2021年に発表したレポート※2によれば、企業の80%以上が2019年から2021年までの間にファームウェアへの攻撃を経験しているものの、ファームウェア保護に割り当てられている予算はまだ少ないとされています。
脆弱性管理についても、組織で利用されているOSやソフトウェアのバージョンを管理し、脆弱性を可視化するソリューションは多く存在しますが、ファームウェアまでをカバーしているものは多くありません。

※2 Source: Security Signals March 2021 
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWPStZ

まとめ

ファームウェアが攻撃者に攻撃対象として認識されるにつれ、OSやソフトウェアの脆弱性と同様に、VBOS対策についても必要性が高まってきています。端末やサーバ、ネットワーク機器ファームウェアについても、種類やバージョン、設定状況等の可視化を行い、セキュアな状態が保たれているかどうか、脆弱性が存在するかどうかを把握することが推奨されます。

当社では、VBOS対策ソリューションとしてEclypsium製品をご紹介しております。
オンデマンド動画や 製品紹介資料もご用意してますので、詳しく知りたいかたは以下より、ご確認下さい。

Eclypsiumオンデマンド.PNG

動画の視聴はこちら.jpg

Eclypsium資料請求.PNG

資料のダウンロードはこちら.png

メルマガ登録バナー(セキュリティ).jpg

ランキング