MicrosoftがHypothesis Groupに委託した、2021年3月の「Security Signals」レポートによると、過去2年間にファームウェア攻撃を経験した企業が80%に上る一方、ファームウェアの保護に充てられているセキュリティ予算は3分の1にも満たないという。
ファームウェア攻撃は厄介だ。国家支援のハッキンググループであるAPT28(別名Fancy Bear)は2018年に、Unified Extensible Firmware Interface(UEFI)ルートキットを使ってWindows PCを攻撃した。また「RobbinHood」「Uburos」「Derusbi」「Sauron」「GrayFish」などのハードウェアドライバーを悪用した攻撃や、Thunderboltポート備えるデバイスを標的にした「ThunderSpy」などもあった。
Microsoftは2019年、高度なマルウェアによるシステムの改ざんや攻撃をファームウェアレベルで防止する「Secured-core PC」を発表した。また、ファームウェアのファイルシステムをスキャンしてマルウェアを発見できるように「Microsoft Defender ATP」にUEFIスキャナーを搭載した。
しかし、Microsoftの調査レポートによると、企業はファームウェア攻撃を真剣に受け止めていないという。
「調査から、現在の投資はセキュリティアップデート、脆弱性のスキャン、そして高度な脅威防御(ATP)ソリューションに向けられていることが分かった」と同社は指摘する。
「それにもかかわらず、多くの組織はマルウェアがシステムにアクセスすることや、脅威を検出することの難しさを懸念しており、ファームウェアの監視と制御がより困難であることを示唆している。また認識不足や自動化の欠如が、ファームウェアの脆弱性をさらに悪化させている」(同社)
同社の言うことにも一理ある。ファームウェアは、ウイルス対策ソフトウェアからは見えないOSの下にあり、認証情報や暗号鍵がメモリーに保存されている。
「現在市販されている多くのデバイスは、デバイスの起動中やカーネルの実行時に、攻撃者がデバイスを侵害しないように、そのレイヤーを可視化していない。しかし、攻撃者はそれに気づいたようだ」(同社)
Security Signalsレポートから、ハードウェアベースのメモリー暗号化に投資している企業は36%で、ハードウェアベースのカーネル保護を購入しているのは46%であることが分かった。
またセキュリティチームは、セキュリティの「保護と検出」モデルに重点を置いており、チームは予防に時間の39%しか費やしていないことが明らかになった。
Microsoftによると、このモデルが時代遅れな例として、カーネル攻撃に対する予測的防御の投資が不十分なことを挙げている。
調査対象となった企業のセキュリティ意思決定者1000人の多く(82%)は、影響の大きいセキュリティ業務に対応するリソースが不足しているのは、パッチの適用、ハードウェアのアップグレード、社内および社外の脆弱性の緩和に追われているためだと述べた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。