マイクロソフト、増加するファームウェア攻撃への準備が不十分と警告

今回は「マイクロソフト、増加するファームウェア攻撃への準備が不十分と警告」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　MicrosoftがHypothesis Groupに委託した、2021年3月の「Security Signals」レポートによると、過去2年間にファームウェア攻撃を経験した企業が80％に上る一方、ファームウェアの保護に充てられているセキュリティ予算は3分の1にも満たないという。

　ファームウェア攻撃は厄介だ。国家支援のハッキンググループであるAPT28（別名Fancy Bear）は2018年に、Unified Extensible Firmware Interface（UEFI）ルートキットを使ってWindows PCを攻撃した。また「RobbinHood」「Uburos」「Derusbi」「Sauron」「GrayFish」などのハードウェアドライバーを悪用した攻撃や、Thunderboltポート備えるデバイスを標的にした「ThunderSpy」などもあった。

　Microsoftは2019年、高度なマルウェアによるシステムの改ざんや攻撃をファームウェアレベルで防止する「Secured-core PC」を発表した。また、ファームウェアのファイルシステムをスキャンしてマルウェアを発見できるように「Microsoft Defender ATP」にUEFIスキャナーを搭載した。

　しかし、Microsoftの調査レポートによると、企業はファームウェア攻撃を真剣に受け止めていないという。

　「調査から、現在の投資はセキュリティアップデート、脆弱性のスキャン、そして高度な脅威防御（ATP）ソリューションに向けられていることが分かった」と同社は指摘する。

　「それにもかかわらず、多くの組織はマルウェアがシステムにアクセスすることや、脅威を検出することの難しさを懸念しており、ファームウェアの監視と制御がより困難であることを示唆している。また認識不足や自動化の欠如が、ファームウェアの脆弱性をさらに悪化させている」（同社）

　同社の言うことにも一理ある。ファームウェアは、ウイルス対策ソフトウェアからは見えないOSの下にあり、認証情報や暗号鍵がメモリーに保存されている。

　「現在市販されている多くのデバイスは、デバイスの起動中やカーネルの実行時に、攻撃者がデバイスを侵害しないように、そのレイヤーを可視化していない。しかし、攻撃者はそれに気づいたようだ」（同社）

　Security Signalsレポートから、ハードウェアベースのメモリー暗号化に投資している企業は36％で、ハードウェアベースのカーネル保護を購入しているのは46％であることが分かった。

　またセキュリティチームは、セキュリティの「保護と検出」モデルに重点を置いており、チームは予防に時間の39％しか費やしていないことが明らかになった。

　Microsoftによると、このモデルが時代遅れな例として、カーネル攻撃に対する予測的防御の投資が不十分なことを挙げている。

　調査対象となった企業のセキュリティ意思決定者1000人の多く（82％）は、影響の大きいセキュリティ業務に対応するリソースが不足しているのは、パッチの適用、ハードウェアのアップグレード、社内および社外の脆弱性の緩和に追われているためだと述べた。