Microsoftが「Windows」PCメーカーと提携し、「Secured-core」イニシアチブを発表した。Appleはハードウェアとオペレーティングシステムを完全に支配下に置いている中、Microsoftはこれまでそれができずにいたが、ハードウェアに対するコントロールをApple並みに引き上げられるかもしれない。Windowsのカーネルよりも、ファームウェアの方が特権レベルが高いことを悪用した攻撃から、デバイスを守る狙いがあるという。
ユーザーはSecured-coreブランドのPCを目にするわけではない。この技術はIntel、Qualcomm、AMDのチップセットを搭載した最新の「Windows 10」ハードウェアで活用される。
Microsoftの「Surface Pro X」やHPのノートPC「Dragonfly」など、ハイエンドハードウェアのユーザーは、新たなセキュリティー強化のメリットを受けることになる。
この新しいファームウェア保護イニシアチブの中核となるのは、「Windows Defender」の「System Guard」機能だ。この機能は、国家が関与したハッキンググループのAPT28(Fancy Bear)が2018年、Unified Extensible Firmware Interface(UEFI)ルートキットを用いて仕掛けた攻撃などから、Windows 10 PCを保護できるようにする狙いがある。
MicrosoftのWindowsセキュリティー担当パートナーディレクターのDavid Weston氏は米ZDNetに対し、次のように説明した。「ほかのメーカーが特定のセキュリティーチップで行なっているのと似た手法かもしれないが、当社はさまざまなCPUアーキテクチャーとOEMを対象にこのソリューションを提供する。そのため、より広範なオーディエンスにこれをもたらすことが可能になる。また、彼らが自社に適したフォームファクターや製品を選びつつ、Microsoftが作ったかのように、同レベルのセキュリティーを保証できるようになる」
Weston氏は、「Windows」「Windows Server」「Azure OS」のセキュリティエンジニアリングのほか、「Windows Red Team」を率いている。
Microsoftはこれまでにも、「Secure Boot」を提供している。しかしこの機能は、ファームウェアはブートローダーを検証するのに信頼できるという前提に立っており、つまり攻撃者は信頼されたファームウェアを悪用できる恐れがあった。
APT28のルートキットは、適切に署名が行われていなかった。つまり、Windows Secure Bootが有効になっていたWindows PCは脆弱ではなかった。このシステムは、署名されたファームウェアのロードしか許可しないためだ。しかし、APT28のマルウェアは一度感染すると、OSの再インストールなどを行なっても、残り続けることがあるという。
Microsoftの新しいイニシアチブは、攻撃者やセキュリティ研究者が、ファームウェアに一層注意を向けるようになっている中で発表された。2016年に発見されたファームウェアの脆弱性は50件に満たなかったが、2017年には400件、2018年には500件弱へと増加したという。
ファームウェアレベルの攻撃から保護するため、Windows Defenderは「System Guard Secure Launch」を導入する。これをサポートすることがSecured-Core PCの要件となり、新しいハードウェアはAMDやIntel、Qualcommの機能を利用する。Microsoftは、Windows DefenderのSystem Guard Secureに関する説明の中で、仮想化ベースのセキュリティ(VBS)の保護にも役立つと説明している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
