今は身を守る方法があり、研究者は・・・
サイバーセキュリティ企業Eclypsiumは、Gigabyteのファームウェアにバックドアを発見し、271種類のマザーボードが危険にさらされていることを明らかにしました。
この中には、過去数年間のIntelおよびAMDチップセットを搭載したモデルから、今日のZ790およびX670 SKUまでが含まれています。
この脆弱性は、Gigabyte社がマザーボードのファームウェアが常に最新であることを保証するために採用している小さなアップデータプログラムに存在します。
どうやらこのプログラムは、安全でない実装を経由して行われているようです。
Windowsをクリーンインストールすると、最新のドライバやファームウェアをダウンロードするプログラムがポップアップ表示されることに気づいたことはないでしょうか。
残念ながら、この小さなコード片が犯罪者のバックドアとなる可能性があるのです。
システムを再起動するたびに、ファームウェア内のコードがアップデータ・プログラムを起動し、インターネットに接続してマザーボードの最新ファームウェアをチェックしダウンロードします。
Eclypsiumは、Gigabyteの実装は安全ではなく、サイバー犯罪者はこのエクスプロイトを利用して被害者のシステムにマルウェアをインストールすることができると評価しています。
大きな問題は、アップデータプログラムがマザーボードのファームウェア内に存在するため、消費者が簡単に削除することができないことです。
ファームウェアの更新を容易にするためにこの種のプログラムを使用するベンダーはGigabyteだけではありません。
他のマザーボードメーカーも同様の方法を利用しており、そのどれもが安全かどうかという疑問が湧いてきます。
例えば、AsusのArmoury Crateソフトウェアは、GigabyteのApp Centerと似たような機能を備えています。
Eclypsiumの調査結果によると、Gigabyteのアップデータプログラムは、ファームウェアの更新のために3つの異なるサイトをpingしています:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Eclypsiumは、アップデータが適切な認証なしにユーザーのシステムにコードをダウンロードすることを確認しました。
これは、暗号化されたデジタル署名の検証やその他の検証方法を一切使用していません。
その結果、HTTPおよびHTTPS接続は、MITM(Machine-in-the-middle)攻撃に対して脆弱であり、前者は後者よりも影響を受けやすくなっています。
Eclypsiumは、インターネットへの接続以外に、アップデータがローカルネットワーク内のNASデバイスからファームウェアアップデートをダウンロードできることも明らかにしました。悪意のある行為者は、同様にNASになりすまし、被害者をスパイウェアに感染させることができます。
このアップデータは、Gigabyte社のマザーボードに搭載されている標準的なツールです。Eclypsiumは、影響を受けるモデルの広範なリストをまとめました。
このリストには、インテルとAMDの両方のマザーボードからなる、最大で271台のマザーボードが掲載されています。
AMDの400シリーズチップセットまでさかのぼるモデルもある。
しかし、最新のIntel 700シリーズやAMD 600シリーズのマザーボードでさえも安全ではありません。
Eclypsiumはすでに発見した情報をGigabyteと共有し、マザーボードベンダーはこの脆弱性に対処するためのソリューションに取り組んでいるところです。
皮肉なことに、この解決策はファームウェアのアップデートで提供されることになりそうです。
一方、Gigabyte社のマザーボードの所有者は、自分のシステムを保護するためにいくつかの対策を講じることができます。
Eclypsiumは、マザーボードのファームウェアにある「APP Center Download & Install」機能を無効にすることを推奨します。
このオプションは、アップデータを開始させるものです。
さらに、BIOSレベルのパスワードを設定することで、不要な悪意のある活動を防止することができます。
最後に、アップデータが接触する3つのサイトをブロックすることができます。
ソース:Tom's - Firmware Backdoor Discovered in Gigabyte Motherboards, 250+ Models Affected
確認:
GigabyteのマザーボードにBIOSの自動ドライバ、BIOSアップデート機能の脆弱性が発見される
どのメーカーも似たような機能は実装していると思いますが、今回のケースは
「暗号化されたデジタル署名の検証やその他の検証方法を一切使用していません。」
とあります。
この手の便利な機能は脆弱性があると一転して厄介な問題になる可能性があります。
脆弱性がBIOSの内部にあるということでユーザー側での対処ができないという厄介な問題なようです。
Gigabyteが問題を発見したEclypsiumと情報を共有して問題の対処に当たるようですので、さほど時間をおかずに修正されると思われます。
それまではドライバの自動アップデートのような機能はオフにしておき、使わないようにしましょう。
他社はどうなのかと言うのは今のところ報告はないようです。
nVidia RTX4000SUPER
nVidia RTX4000
nVidia RTX3000シリーズGPU
RTX3060 12GB GDDR6
RTX3050 6GB
