Gigabyte製マザーボード 271モデルにマザーボード自身のUEFIファームウェア自動更新アルゴリズムに、脆弱性が発見されました。ファームウェアは、OSとは別にファームウェアを最新に保つために用いられる更新アルゴリズムが純粋にhttp通信を行い、正規品であることを確認することなく実行ファイルを実行してしまうというものです。
非暗号のhttp通信であれば、ルーターを用いた中間者攻撃やDNSポイズニングによってダウンロードさせるサーバを偽装させることは容易です。しかも今回のケースではダウンロードしたファイルを無条件で実行させることができるため、極めて秘匿性の高いマルウェアを仕込むことができるようになります。パソコン上のOSで活動する様々なセキュリティソリューションに影響されることなく、隠れて様々な目的を実行させることができ、これを検出するには高度なファイアウォール装置などを用いた全通信内容の監視が必要となります。
しかし最近はマルウェアも暗号通信を用いるため、過去に犯罪者が用いたグローバルIPやTORを用いるなど、犯罪者が稚拙でない限り、情報スティーラーに関してはこのようなお金をかけた監視を行っていたとしても、その犯罪行為の発見や検出は難しいと指摘せざるを得ません。今回のことの深刻さはここにあります。
無防備な外部http通信だけでなく、同一ネットワーク内のNASからも実行できる仕様となっていたようで、組織内のGigabyte製マザーボードを持つ端末を一台乗っ取ることができれば、Gigabyte製マザーボードをもつ他の端末への感染も容易になっていたことも、今回の脆弱性を深刻な事態にさせています。
「自社製品用アップデーターであるため認証の厳格化は必要ないのでは」とGigabyte社のエンジニアが軽視していたことに起因していると思います。ファームウェアを開発・実装しているエンジニアがセキュリティに関する知識が少なかったのかもしれませんが、これはPCベンダーに限った話ではありません。
会計ソフトや業務アプリケーションにおいても自動更新アルゴリズムにおいて、デジタル署名がなく、update.exeをPowershellスクリプトや純粋にhttpで引っ張ってきて実行をかけるものを多くみかけます。
残念ながら日本のパソコンベンダーのアップデートプログラム自身がこのようなマルウェア的な仕様であり、PC Matic社のマルウェア分析官が困惑したケースもありました。
業務アプリケーション内の自動更新用dll等において、更新サーバとの通信には必ずhttpsプロトコルを用いて通信し、自動更新ファイルのデジタル署名を正規のものであるかチェックした上で差分を適用させるアルゴリズムの実装を行うなど、自社開発アプリケーション以外が実行されないよう考慮する必要があります。
OTAアップデートに関しては、中間者攻撃リスクは必ずあるものと想定する必要があります。これはパソコン、スマートフォンやWi-Fiルーターなど情報通信機器だけでなく、今後は自動車でもOTAアップデートが実行されるようになるため、ファームウェア更新アルゴリズムの設計・開発にはセキュリティに関して知識があるものの関与が必須になります。ファームウェアが乗っ取られると、そのハードウェアは完全に悪意あるものの手により悪用されます。自動車が乗っ取られることを考えると恐怖で手が震えてきます。
発見者Eclypsiumによる投稿 SUPPLY CHAIN RISK FROM GIGABYTE APP CENTER BACKDOOR
日本語記事(Wired) GIGABYTE製のPC用マザーボードに、ハッカーに悪用される危険性のある“裏口”が見つかった
執筆: 坂本光正 2023/06/02
