米国 CISA がコンピューターの主要コンポーネントの改善を要求

ガバナンスとリスク管理、パッチ管理

昨年発見された強力なブートキットにより永久的なマル​​ウェア感染に対する懸念が高まったことを受け、米国連邦政府はコンピュータメーカーに対し、デバイスを起動するファームウェアアーキテクチャのセキュリティを向上させるよう求めている。

関連項目: ライブウェビナー | ペガサスの正体を暴く: 脅威を理解し、デジタル防御を強化する

サイバーセキュリティ・インフラストラクチャ・セキュリティ庁は木曜日、パッチ配布、コーディング、ロギングの実践を改善するために、統合拡張ファームウェア・インターフェースの背後にある標準開発者に向けた行動喚起を発表した。

UEFI は、UEFI フォーラムによって発行された、コンピューターの電源投入時のハードウェア初期化に関する業界標準です。 広報担当者はフォーラムからコメントはないと述べた。

この呼びかけは、ハッキング フォーラムで 5,000 ドルで販売されている強力なブートキットである BlackLotus として知られるマルウェアの発見を受けて行われたもので、国家安全保障局は 6 月にその脅威について Windows システム管理者に警告しました。

BlackLotus は、Windows オペレーティング システムが制御を引き継ぐ前に行われるブート プロセスにハッカーが感染するのを防ぐことを目的とした Microsoft のセキュリティ機能をバイパスします。 マルウェアが UEFI ソフトウェアに感染すると、システムを完全に制御できるようになります。 ブートローダー感染は検出が難しく、BlackLotus に感染したコンピュータは完全に再イメージ化され、場合によっては破棄される必要があります。

MicrosoftはBlackLotusを阻止するために複数のパッチをリリースしたが、NSAはパッチ適用はマシンをマルウェアに対して強化するための最初のステップにすぎないと述べた（参照：NSAがBlackLotusマルウェアに対する修復ガイダンスを発行）。

「UEFI ブートキットは非常に強力な脅威であり、OS ブート プロセスを完全に制御するため、さまざまな OS セキュリティ メカニズムを無効にし、OS 起動の初期段階で独自のカーネル モードまたはユーザー モード ペイロードを展開することができます」とマルウェアの Martin Smolár 氏は述べています。 Esetのアナリストは3月1日のレポートでBlackLotusの正体を明らかにした。 「これにより、彼らは非常に密かに、高い権限で活動することが可能になります。」

Microsoftは、BlackLotusがセキュリティ保護を回避するために悪用する脆弱なブートローダーのバージョンを無効にする修正を段階的に導入しているが、展開が完了するのは来年の第1四半期になる見通しだという。 Microsoftによると、このペースが測定される理由の1つは、バックアップイメージなどの古いブータブルメディアが使用できなくなるためだという。

CISA はまた、すべての UEFI 開発者が更新用に専用の公開キー インフラストラクチャを実装することを推奨しています。 CISA関係者はDark Readingに対し、Microsoftが複数のファイルに署名するために単一のキーを使用しているため、BlackLotusに対するWindowsコンピュータへのパッチ適用プロセスがはるかに困難になっていると語った。

同庁はまた、UEFI コンポーネント用のソフトウェア部品表と、管理者がイベント ログを収集するためのより優れたネイティブ UEFI 機能を推奨しています。