サイバー攻撃の標的はOS以下のレイヤーへ - 求められる「信頼たる端末」

「サイバー攻撃」のニュースが日々世間を騒がせている。国家が支援する攻撃グループや、巨額な資金のもと活動する犯罪グループが暗躍しており、非常に高い技術力のもと、手の込んだ巧妙な手口が次々と明らかとなっている。

守る側も指をくわえて黙って見ているわけではない。端末内を監視して悪意ある挙動を検知、修復する「EDR」、毎回認証認可をおこなうことで不正な利用を排除する「ゼロトラスト」など、より高度な対策が登場し、導入する企業も増えている。

しかしこうした先進的な対策を進める前に、重要な視点が抜け落ちていることはないだろうか。

「EDR」や「ゼロトラスト」など先進的な対策も、稼働する機器そのものが悪意あるプログラムで事前に汚染されていれば意味がない。実力を発揮するには、「信頼できる機器」上で動作していることが大前提となる。

ファームウェアなど、OSより低いレイヤーが侵害された場合、汚染を除去するのは難しい。「端末を初期化すれば良い」との声も聞こえてきそうだが、端末のストレージを初期化し、OSやアプリケーションを再インストールしたところで、ファームウェアが侵害されたままで安全性を担保することは困難だ。

本記事では、脅威の動向、端末における信頼性確保の重要性などを紹介しつつ、対策に力を入れはじめた業界の動向を取り上げる。一部の先進企業ではすでに対策が進められており、標準化にも貢献した日本HPの取り組みなども紹介したい。

※本記事は、外部メディア「Security NEXT」で掲載された当社提供のPR記事を、許諾のもと転載しています。

ハードウェアやOS以下が侵害されたときの深刻なリスク

パソコンのさまざまな機能はOSやアプリケーションによってもたらされるが、これらを動作させるため、システム全体の起動を制御する重要な土台となるのが、ハードウェアであり、「BIOS」「UEFI」といったファームウェアだ。

これら土台を侵害してしまえば、攻撃者はその端末に対してさまざまな悪事を働くことが可能となる。しかもその悪事は、ファームウェアより上のレイヤーで動作する「OS」や「アプリケーション」から認識することは難しい。先進的なセキュリティソリューションであっても同様だ。

それゆえに、ファームウェアが侵害されていないクリーンな状態は、セキュリティソリューションを導入するうえで大前提となる。ファームウェアレベルで汚染された環境では、端末の挙動を監視しても「まったく意味をなさない」とまでは言わないが、その有効性は大きく損なわれてしまう可能性が高い。

正規の「OS」が動作していると見せかけて悪意あるコードを挿入されることはもちろん、悪意ある活動の検知を阻害される、ログを改ざんされるなど虚偽の情報をつかまされれば、むしろ「安全を確保している」との思い込みを逆手に取られ、長期にわたり侵害状態が続いてしまうことにもなりかねない。

ハードウェアやファームウェアにマルウェアが感染した場合も、端末の動作が表面的には正常に見えることが多く、被害へ気付きにくい上、仮に発見できたとしても除去が難しいなど厄介だ。

一般的なマルウェアであれば、ストレージの初期化や「OS」の再インストールによって復旧が可能だ。しかしながら、ファームウェアに潜り込むマルウェアは除去が難しく、特別な対策が必須となる。こうした事情も攻撃を後押しする理由となっている。

徐々に現実味が増すファームウェアに対する攻撃

「侵害後に見つかりにくい」など攻撃者にとって魅力はあるものの、少し前までファームウェアに対する攻撃が注目を集めることはそれほど多くなかった。

ファームウェアを不正に操作するには、ハードウェアやブートシーケンス、署名検証機構など、従来の攻撃対象とされてきたOSとは異なる高度な知識と技術が求められる。攻撃側のコストは大きく、得られるメリットに比べてハードルが高かったことも理由のひとつだろう。

しかし、ここにきて状況は変化しており、ハードウェアの信頼を揺るがすような攻撃が展開されるようになってきたと日本HPでセキュリティエバンジェリストを務めるワークフォースソリューション事業本部の木下和紀エドワルド氏は指摘する。

政治、経済を含め、グローバルでコンピューティングへの依存度が高まり、活発に諜報活動を展開する国家も現れ、経済安全保障を脅かすようになった。サイバー犯罪が巨大な利益をもたらすようになった今日、攻撃の研究に多くのコスト、リソースが費やされるようになっている。

皮肉なことに「EDR」や「ゼロトラスト」などOSやアプリケーションレベルにおける対策の強化が進み、攻撃の難易度が上昇している背景もあるだろう。攻撃者側にあらたな攻撃手法を探る動きが進み、標的となる組織へ長期にわたって潜伏したり、インフラ破壊を目的とする攻撃のニーズが増加していることも相まって、攻撃者の技術力も向上している。

ブラックマーケットにおいて高度なファームウェア攻撃ツールが出回っているとの話も出ており、ファームウェアレベルの汚染も「特別な話」ではなくなりつつある。

すでに具体的な攻撃事例も報告されている。2018年には、UEFI領域を書き換え、再インストールしても感染状態が続く「LoJax」が確認された。また2022年にもセキュアブートを回避し、UEFIブートプロセスに潜むブートキットの「BlackLotus」なども明らかとなっている。

ファームウェア改ざんリスクの排除に挑む動き

一部PCメーカーでは、早くからこうしたリスクを予見しており、ファームウェア保護の必要性を認識し、対策を検討してきた。

ハードウェアにおいて信頼性を「ルートオブトラスト」として上位レイヤーに提供し、「OS」や「アプリケーション」と信頼性の連なり「チェーンオブトラスト」を確保する重要性を認識していた。

そのなかでもいち早く取り組みを進めていたのが日本HPだ。改変できないROM領域よりファームウェアの改ざんをチェックする「HP Sure Start」を先駆けて開発し、2013年という早い段階から市場に展開している。

木下氏によれば、端末を立ち上げると、まずBIOSとは独立した独自開発チップに実装されたセキュリティコントローラに給電されるという。電子署名によってファームウェアの真正性を検証し、問題がないことを確認してはじめてCPUが稼働し、端末全体が起動するしくみだ。

また、正規ファームウェアのバックアップを、改変できない専用の保護領域に保存している。常時ファームウェアの改ざんを監視し、問題を検知した場合は警告を表示し、自己回復を実行することが可能だ。

特にこのファームウェアの自己回復機能は業界としても先進的な取り組みで、その仕様は2018年にファームウェアの復元力強化に関するガイドライン「NIST SP 800-193」として標準化されている。

「つねに最新の脅威を研究しており、5年先を見据えて対策を講じてきた。リリース当初はなかなか注目されることはなかったが、ここに来て調達仕様として採用されることも増えてきた」と日本HP営業戦略本部でプログラムマネージャーを務める大津山隆氏は語る。

「HP Sure Start」がこだわった「自動回復」の強み

インシデントが発生し、端末がマルウェアに感染した場合、それら端末を初期化して再利用するか、新規に端末を調達するか、悩ましい問題だ。

先に説明したとおり、「OS」よりも低いレイヤーで動作するファームウェアがマルウェアによって侵害されていれば、「OS」などを再インストールして一見復旧したように見えても、侵害状態が解消されたわけではない。

低レイヤーまで侵害するマルウェアは数としてはまだまだ少ないが、ミッションクリティカルな業務で使用する端末ともなれば、根拠もなく端末のファームウェアが健全であると判断するのはリスクが大きいだろう。とはいえ、ファームウェアの改ざんがないか調べるのは至難の業だ。

より慎重に判断するのであれば、侵害された端末を放棄し、あらたな端末を調達することになる。しかし、数台ならまだしも、数十台から数百台規模となれば、調達コストや調達時間なども膨らみ、その分ダメージも大きくなる。

インシデントにおいて障害から迅速に回復するいわゆる「レジリエンス」において、「信頼性」の確保は避けては通れない問題だ。無謬性を否定し、侵害を前提とする現実的なセキュリティ対策において、課題のひとつとして捉えておくべきだろう。

ファームウェアの自動回復機能は、こうした不安を払拭するひとつの武器となる。ファームウェアの健全性をチェックし、異常があれば停止、警告するだけではなく、自動回復を行うことで出荷時と同等のクリーンな状態へ人手を介さずに回復できる。

端末の再調達における時間を大幅に短縮し、バックアップから復元したり、「OS」を再インストールでき、コストの削減にもつながる。

こだわりはチップ調達から国内製造、流通まで

日本HPでは、「HP Sure Start」による「ルートオブトラスト」を実現しているが、同機能がより高い信頼性のもと提供できるよう、ハードウェアチップなど部品の調達や製造プロセスにおいて、米国防総省（DOD）の要件など高い水準をクリアしているのも大きな特徴だ。

オプションとはなるが、製造部品表（BOM）をプラットフォーム証明書として提供している。出荷時のファームウェアのハッシュ値などを比較することで、部品などが差し替えられていないかチェックすることも可能だ。

またすべての機種ではないが、東京都内で製造する「Made in Tokyo」にも強いこだわりを持つ。さらに物流、配送時に不正なソフトウェアなどが混入しないよう対策の徹底を図るなど、コンピューティングの信頼性を提供するため、あらゆる方策を取っている。

ハードウェアの信頼性確保の動きが加速

日本HPがいち早く取り組んできたハードウェアにおける信頼性の確保だが、ここに来てコンピューティング業界全体に広がりつつある。

マイクロソフトでは「Windows 11」以降、ついに「TPM 2.0」をハードウェア要件とし、より厳密にセキュアブートを実施するよう求めた。パソコンの設計ガイドラインである「セキュアドコアPC（Secured-core PC）」においても、ファームウェアの信頼性確保の要件を盛り込んだ。

ファームウェアの健全性や信頼できる起動プロセスの確保を定め、異常の検知時に起動を停止するよう定めている。ようやく業界全体として、ハードウェアとソフトウェアの両面より対策を講じていくことに本腰を入れ始めた。

エンドポイントは、ときに数万台規模で導入され、場所や時間など分散した環境で使われることも多く、企業の情報システム部門がすべての端末を管理する負担は大きい。

そのうえ人が操作するデバイスであるため、ソーシャルエンジニアリングなどを使われマルウェアに侵害されやすい環境にあると大津山氏は指摘。そのような観点からも端末における信頼性確保の重要性を訴えた。

インシデント対策としてOSやアプリケーションレベルのセキュリティ対策に注目が集まりがちだが、これら対策における真の実力を発揮したり、侵害された場合の安全なレジリエンスを実現するためにも、ぜひ「ルートオブトラスト」となる端末の信頼性確保にも目を向けてみてほしい。

※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。