2015年2月23日

サイバー犯罪集団Equationが繰り出す駆除不能なマルウェア – しかし慌てるな!

ニュース 脅威

Kaspersky Labのグローバル調査分析チーム(GReAT)は、サイバースパイ集団Equationの活動に関する調査について発表しました。目新しい技術を操るというよりは、古くからある手法を用いて非常に複雑な悪意ある「埋め込み」行為が行われていたことが明らかになりました。しかし、何よりも興味を引くのは、感染先のハードディスクを再プログラミングする能力を持つマルウェアの存在でしょう。再プログラミングによって、「埋め込み」の事実を隠し、ほぼ駆除不能としているのです。

こうした脅威の出現は、コンピューターセキュリティの怪談のような形で以前から予想されていました。コンピューターのハードウェアに居座り続ける駆除不能なウイルス…そんなものは都市伝説だと長いこと考えられてきました。しかし、伝説を現実とするべく、何者かが大金をつぎ込んだようです。Equationに関する報道レポートの中には「(ハッカーが)世界中のコンピューターのほとんどを覗き見可能になる」とまで述べたものもあります。しかし、私たちは煽られた火を少し沈静化させたいと考えています。そんなことになる可能性は、パンダが町の中を歩き回るのと同じくらいレアケースだからです。

The-Equation-Group

そもそも「ハードディスクファームウェアの再プログラミング」とは何を意味するのか、そこから始めましょう。ハードディスクの構成要素のうち最も重要なのは、記憶媒体とマイクロチップです。記憶媒体は、HDDの場合は磁気ディスク、SSDの場合はフラッシュメモリチップです。マイクロチップは、ディスクに対する読み書きやさまざまなサービスプロシージャ(エラーの検知や修正など)を実質上コントロールするコンポーネントです。サービスプロシージャは膨大かつ複雑であるため、マイクロチップは自ら高度なプログラムを実行して対応します。技術的に言えば、マイクロチップ自体が小さなコンピューターなのです。このプログラムがファームウェアと呼ばれるものです。ハードディスクのベンダーは、不具合の修正やパフォーマンス改善のために、ときどきファームウェアのアップデートを行います。

このメカニズムが、犯罪集団Equationに悪用されました。Equationは、自分たちが用意したファームウェアを12カテゴリ(ベンダー・バリエーション)のハードディスクにダウンロード可能でした。改変されたファームウェアにどのような機能が備わっているのかはまだ不明ですが、コンピューター上のマルウェアは指定のハードディスク領域に対してデータの読み書きが可能でした。推察するに、この領域がOSから完全に見えないようになり、特別なフォレンジックソフトウェアからも見えなくなるのだと考えられます。この領域内にあるデータは、ハードディスクが再フォーマットされても残る可能性があります。また、ファームウェアは理論上、ハードディスクのブート領域に再感染できるため、新たにインストールされたOSも最初から感染状態となります。さらにややこしいことに、ファームウェアによるチェックと再プログラミングはファームウェア自身に依っているため、ファームウェアの完全性やファームウェアの再アップロードを検証することができません。言い方を変えると、いったん感染してしまえば、ハードディスクのファームウェアは検知不能となり、ほぼ駆除不能となるのです。感染が疑われるディスクは諦めて新しいものを買った方が、お金も手間もかかりません。

とはいえ、ハードディスクを壊しにかかるのは待ってください。この究極の感染能力が主流になるとは思えないのです。Equationがこの手段を利用したのも、おそらくはほんの数回と見られます。ハードディスク感染モジュールは、被害者のシステムでほとんど見つかっていないのです。そもそも、ハードディスクの再プログラミングは、たとえばWindowsソフトウェアの記述よりもはるかに複雑です。ハードディスクはモデルごとに独自であり、代替ファームウェアを開発するとなると非常に高コストで骨の折れる作業が待っています。ハードディスクベンダーの内部文書を入手する必要があるでしょうし(まさに「ミッション・インポッシブル」)、まったく同じモデルを購入し、必要な機能を開発してテストして既存のファームウェアに悪意あるルーチンを押し込みつつ元の機能は保持しなければなりません。実に目立つ上に、開発工数が何ヶ月にも及び、多額の投資が必要な作業です。したがって、この類いのステルス技術を犯罪的マルウェアや標的型攻撃に用いるのは、現実的ではないのです。さらに、ファームウェアの開発は、そう簡単に見積もれない小規模で専門的なアプローチです。多くの製造業者が複数ドライブ対応のファームウェアを毎月リリースし、新モデルがコンスタントに出続けている中で、ファームウェアをひとつひとつハッキングしていくのはEquationの可能性(と必要性)を超えています。どんな犯罪集団にとっても同じことです。

今回の件から導き出せる実際的な結論をまとめましょう。ハードディスクに感染するマルウェアは、もはや都市伝説ではありません。けれども、一般的な人々にとっての危険ではありません。ハンマーでハードディスクをぶち壊すのはやめておきましょう…イランの原子力業界で働いているなら話は違うかもしれませんが。あまりセンセーショナルではない、でも危険の確度が高いことに注意を払いましょう…たとえば不適切なパスワードや期限切れのアンチウイルスソフトウェアのせいでハッキングされる、などのような。