2015.02.21: 中国Lenovo製PCの問題もこのページに追記

GIGAZINEにて気になるニュースを読んでしまったので、自分のブログにもメモです。

HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明 - GIGAZINE
HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明 -GIGAZINE

リンク先要約

  • 主要メーカー製のHDDの基本ソフト(ファームウェア)に感染するタイプのマルウェア。
  • HDDのファームウェアに感染して情報収集をする。
  • システムの仕組み上、このマルウェアをセキュリティソフトで駆除することは極めて困難。
  • イラン、ロシア、パキスタン、アフガニスタン、中国、マリ、シリア、イエメン、アルジェリアなどの30カ国のPCからこのマルウェアの感染例が発見された。
  • HDDをフォーマット(初期化)したところで問題が解決することはなく、さらにはOSで制御している暗号化機能が突破される可能性すらある。
  • 感染ターゲットには各国の政府関係機関、軍事機関、通信会社、金融機関などが含まれる。

国際的、政治的な問題に絡んでいそうなウイルスで、通常のウイルスとは別の意味で怖いです。

原文PDFはもっと詳しい

原文PDF: Equation_group_questions_and_answers.0.pdf

詳しいと言っても、英語とPCに関する色々な知識が無いと理解するのは難しい内容になっています。

PDF内の図解の一部
感染経路図
▲クリックで拡大
web exploit を経由した感染経路図

ちなみに「web exploit」というのはごくごく普通のウィルスの感染手法で、Flash Player、Adobe Reader、JAVAの脆弱性を突いてウィルス感染させる時にも用いられています。2009~2010 年頃に日本で大流行したガンブラーウィルスや、2012年に私のPCがウィルス感染した時も、「web exploit」経由でウイルス感染しています。

 

GrayFish感染経路図
▲クリックで拡大
GrayFishのブートローダーの仕組み
(感染した後のPC内でのマルウェアの活動)

PDFが難しいな・・・と感じた場合

難しいな・・・と感じた場合は、はてなブックマークにメカニズムの概略を解説したコメントが幾つか掲載されていますので、そちらを参考にするのが良いかと思います。

はてなブックマークのコメントの一部
はてなブックマークのコメントの一部
▲クリックで拡大

おまけ (中国Lenovo製PCの問題)

まったく別のお話になるけれど、中国Lenovo製PCの問題は以下。

 

コンシューマーレベルでの脅威を考えると、上記の方が危険度大です。
単なるアドウェアかと思いきや、

  • TLSの暗号化通信を乗っ取り、証明書の書き換えを行っている
  • 乗っ取り、書き換えた秘密鍵を適切に管理していない。
    (全世界すべてのSuperfishで共通のものが利用されている)
  • 誰でも知る事ができる秘密鍵が存在している状態となり、これを悪用すれば攻撃し放題となる。

などが問題となっています。
いちPCメーカーがアドウェアを仕込むだけでも大問題なのですが、それに加えて上記のような深刻なセキュリティーホールが存在しています。

このページの情報は 以上です。