Mac
Mac OS Xをターゲットにしたファームウェアブートキットの存在が初めて公になりました。ドイツのハンブルクで先月開催されたカンファレンス、第31回Chaos Computer Clubでのことです。
セキュリティリサーチャーのトランメル・ハドソン(Trammel Hudson)氏が開発したこのマルウェアは、同氏によって「Thunderstrike」と命名されました。Thunderstrikeは、AppleのOS Xの中核に奥深く潜む脆弱性を悪用します。ハドソンはAppleにコンタクトを取っており、同社は影響を受けるデバイスすべて(Macbookを除く)について問題を解決済みである、と報じられています。
Thunderstrikeは間違いなく、ブートキットおよびルートキットと同様に、皆さんがコンピューターで行うことすべてを掌握するタイプの厄介な脅威です。コンピューター世界のエボラ出血熱のようなものだと考えると早いかもしれません – 病を得ると壊滅的な結果に陥るが感染の可能性は比較的低い、という意味で。
ブートキットとは、ルートキットと呼ばれるマルウェアの一種です。OSの下層にあるブートプロセス内に潜み、感染先コンピューターを完全にコントロールします。また、マスターブートレコードに作用し、OSよりも先に起動します。OSを削除したとしても、ブートキットは残ったままです。したがってブートキットは、非常に削除されにくいうえに発見するのも難しい脅威なのです。高度な機能を備えたアンチウイルス製品であれば削除が可能であるとはいえ。
ThunderstrikeはMac OS Xデバイスに感染するブートキットで、ハードウェアに対する直接アクセスまたはThunderboltポートからの接続を通じてインストールされます。ハードウェアへの直接アクセスについては、可能性は低いと考えてよいでしょう。製造者がブートキットをインストールするか、攻撃者があなたの所有するMacbookを分解して物理的にインストールするか、という話ですから。
#Mac の #ブートキット 「#Thunderstrike 」は、ハードウェアへの直接アクセスまたは #Thunderbolt ポート経由のアクセスで感染する
Tweet
しかし、Thunderboltポート接続を通じた感染については、やや可能性があります。似たようなコンセプトの攻撃として、「Evil Maid」攻撃(持ち主が席を外した隙にコンピューターへ物理的にアクセスしてマルウェアなどを仕掛ける)というものが実在しますし、空港や国境でラップトップを押収して検査するときに仕掛けるパターン(国家主導で)もあります。こうしたやり方は、持ち主が席を外してコンピューターが置き去りになっている状況にも応用可能です。
したがって、皆さんのコンピューターがThunderstrikeに感染する可能性があるのは、直接接触による体液付着が唯一の感染経路であるエボラ出血熱と同様に、誰かがコンピューターを分解したときか、誰かがコンピューターのThunderboltポートに周辺機器を接続して悪意あるファームウェアをインストールしたときくらいのものです。
病気のたとえを続けましょう。一般のマルウェアは、Thunderstrikeほどの影響力はないものの、感染率に関しては遥かに上です。空気感染するインフルエンザは、エボラ出血熱よりも感染が拡がるリスクが高い一方で、致死率は高くありません。
同様に、コンピューターの処理能力を食いつぶしてボットネットの一部とするようなマルウェアの存在は、Thunderstrikeほどの脅威ではありません。しかし、そうしたマルウェアはWebインジェクションや悪意あるメール、ドライブバイダウンロードその他の手段でリモート感染が可能であるために、広く厄介を振りまく存在となり得ます。
ハドソン氏は次のように述べています。「これ(Thunderstrike)は初のOS Xファームウェア向けブートキットであるため、この存在を検知できるものは今のところ存在しない。これは最初の命令からシステムをコントロールするため、ディスクの暗号化キーも含めたキー入力のログを取ること、OS Xカーネル内部にバックドアを仕掛けること、ファームウェアパスワードを迂回することが可能だ。OS Xを再インストールしても、削除はできない。SSDを取り替えても削除できない、そこには何も保存されていないのだから」。
Thunderstrikeから身を守る最善策は、自分が不在にしているとき誰にもMacbookを触られないようにすることです。言い換えると、盗難に遭わないように気をつけているのであれば、危険にさらされることはおそらくないでしょう。
ここで、AC/DCでも聴いていただきましょう:
ヒント