Last Updated on 2025-05-12 08:10 by admin
サイバーセキュリティ企業Rapid7の脅威分析シニアディレクターChristiaan Beekが、CPUレベルで動作するランサムウェアの概念実証コード(PoC)を開発した。この内容は2025年5月11日に開催されたRSAカンファレンス(RSAC)で発表され、同日The Registerが報じた。
Beekは、AMDのZenプロセッサに存在する脆弱性からこのアイデアを得た。この脆弱性は「EntrySign」(CVE-2024-56161)と呼ばれ、AMD Zen 1からZen 4までのCPUに影響する。脆弱性はCPU ROMのマイクロコードパッチローダーにおける署名検証の不備によるもので、攻撃者が未承認のマイクロコードをプロセッサに読み込ませることが可能になる。
Googleの研究チームはこの脆弱性を利用して、AMD CPUが乱数を要求された際に常に「4」を返すよう操作できることを実証した。AMDは2025年2月4日に脆弱性情報を公開し、CVSSスコア7.2(高)と評価されている。
Beekは実際にこの脆弱性を利用したCPUレベルのランサムウェアの概念実証コードを作成したが、公開はしないとしている。彼によれば、「CPUレベルのランサムウェア、マイクロコードの改変により、CPUやファームウェアに侵入すれば、既存のあらゆる従来型セキュリティ技術をバイパスできる」という。
この種の攻撃は現時点では理論上のリスクに近いが、2022年2月に流出したランサムウェアグループ「Conti」のチャットログによれば、同グループの開発者たちはすでにファームウェアレベルのランサムウェア開発に取り組んでいた形跡がある。
Beekは、「2025年になってもランサムウェアについて話し合っているべきではない」と述べ、ベンダー、エンドユーザー、サイバー保険会社など業界全体の責任を指摘した。彼によれば、多くのランサムウェア侵害は高リスクの脆弱性、弱いパスワード、多要素認証の未導入または誤った導入など、基本的なセキュリティ対策の欠如によるものだという。
AMDはこの脆弱性に対する修正として、セキュリティアップデートを提供している。ユーザーには最新のBIOSアップデートの適用が推奨されている。
References:
You think ransomware is bad now? Wait until it infects CPUs
【編集部解説】
今回のニュースは、サイバーセキュリティの世界に新たな脅威の可能性を示すものとして注目に値します。Rapid7のChristiaan Beek氏が開発したCPUレベルのランサムウェアの概念実証は、従来のセキュリティ対策では防ぎきれない新たな攻撃ベクトルを示しています。
この攻撃手法の基盤となっているのは、AMDのZenプロセッサに存在する「EntrySign」と呼ばれる脆弱性(CVE-2024-56161)です。Googleの研究者たちによって発見されたこの脆弱性は、2025年2月4日に正式に公開されました。脆弱性の深刻度は高く、CVSSスコアは7.2と評価されています。
特筆すべきは、この脆弱性がAMDのZen 1からZen 4までの世代のZenプロセッサに影響するという点です。問題の根本は、AMDがマイクロコードの署名検証に使用している暗号化方式にあります。AMDはRSASSA-PKCS1-v1_5署名アルゴリズムを使用していますが、セキュアなハッシュ関数であるSHA-256の代わりに、AES-CMACを採用していました。
AES-CMACは衝突攻撃に対して脆弱であり、これにより攻撃者は偽のRSA公開鍵を作成して、既に認証されたパッチの署名と一致させることが可能になります。さらに問題なのは、古いAMD Zen CPUでは、NIST SP 800-38B公開文書から取得できる公知の鍵が使用されていたことです。
この脆弱性を利用するには、攻撃者はまず管理者権限を取得する必要があります。その上で、CPUに悪意のあるマイクロコードを注入できます。Googleの研究者たちは実際に、AMD CPUが乱数を要求された際に常に「4」を返すよう操作することに成功しています。
Beek氏の研究が示す最も懸念すべき点は、CPUレベルのランサムウェアが従来のセキュリティ対策をすべてバイパスできるという事実です。通常のアンチウイルスソフトウェアやエンドポイント保護ソリューションは、オペレーティングシステムレベルで動作するため、ファームウェアやハードウェアレベルの脅威を検出できません。
このような攻撃は現時点では理論上のリスクに近いものですが、サイバー犯罪の世界では既に類似の方向性を持つ動きが見られます。2022年2月に流出したランサムウェアグループ「Conti」のチャットログからは、同グループがIntel Management Engine(ME)やConverged Security Management Engine(CSME)を標的にした攻撃手法を研究していたことが明らかになっています。
また、UEFIブートキットと呼ばれる攻撃手法も進化を続けています。2023年4月には、セキュアブートを回避できる初の「野生の」UEFIブートキット「BlackLotus」が発見され、2024年11月にはLinuxを標的とした初のUEFIブートキット「Bootkitty」が確認されました。
これらの攻撃手法の共通点は、オペレーティングシステムの起動前に動作し、システムの再インストールやハードディスクの交換後も残存する点です。一度感染すると、通常の方法では除去が困難であり、ハードウェアの交換が必要になる場合もあります。
Beek氏は、2025年になっても私たちがランサムウェアについて議論していることに失望を示しています。彼によれば、多くのランサムウェア侵害は基本的なセキュリティ対策の欠如によるものであり、業界が最新のAIやML技術に注目する一方で、サイバーセキュリティの基礎が疎かになっていることを指摘しています。
私たちinnovaTopiaの読者の皆さんにとって、このニュースは二つの重要なメッセージを持っています。一つは、サイバーセキュリティの脅威が常に進化し続けていること。もう一つは、最新の高度な対策技術も重要ですが、基本的なセキュリティ対策(定期的なアップデート、強力なパスワード、多要素認証の適切な導入など)がいかに重要であるかということです。
AMDはこの脆弱性に対する修正として、セキュリティアップデートを提供しています。Zen系プロセッサをお使いの方は、マザーボードメーカーから提供される最新のBIOSアップデートを適用することをお勧めします。
【用語解説】
ランサムウェア:
コンピュータに感染し、ファイルを暗号化して使用不能にした上で、復号のために身代金を要求するマルウェア。「ransom(身代金)」と「software」を組み合わせた言葉である。
マイクロコード:
CPUの内部で実行される低レベルの命令セット。機械語(バイナリ)と物理ハードウェアの間を橋渡しする役割を持つ。通常はCPUメーカーのみが書き換え可能だが、今回の脆弱性ではこれが悪用される。
EntrySign:
AMDのZenプロセッサに存在する脆弱性(CVE-2024-56161)の名称。マイクロコードのパッチローダーにおける署名検証の不備により、未承認のマイクロコードを実行できる問題がある。
UEFI:
Unified Extensible Firmware Interface(統合拡張ファームウェアインターフェース)の略。従来のBIOSに代わるコンピュータの起動ファームウェア。OSが起動する前に動作する。
ブートキット:
コンピュータの起動プロセスに感染し、OSが読み込まれる前に動作するマルウェア。通常のセキュリティソフトウェアでは検出が困難である。
概念実証(PoC):
Proof of Conceptの略。理論上可能とされる技術や攻撃手法が実際に機能することを証明するためのデモンストレーション。
Conti:
2020年に登場したランサムウェア。ロシアを拠点とするハッキンググループが開発し、その後RaaS(Ransomware as a Service)として他の攻撃者グループにも提供された。2022年2月にソースコードとチャットログが流出した。
【参考リンク】
Rapid7(外部)
サイバーセキュリティプラットフォームを提供する企業。脆弱性管理、侵入検知、SIEMなどの統合ソリューションを展開
AMD(外部)
半導体メーカー。Ryzenプロセッサなどを製造。セキュリティアップデートやドライバは公式サポートページから入手可能
RSA Conference(外部)
世界最大級のサイバーセキュリティカンファレンス。業界トレンドや最新脅威について議論される場
【編集部後記】
CPUレベルのランサムウェアという新たな脅威について、皆さんはどう感じられましたか? 日々進化するサイバー攻撃に対して、私たち一人ひとりができる対策は限られているかもしれません。しかし、定期的なアップデートや多要素認証の導入など、基本的な対策の重要性が改めて浮き彫りになりましたね。皆さんの環境ではどのようなセキュリティ対策を実施していますか? また、ハードウェアレベルのセキュリティについて、もっと知りたいことはありますか? SNSでぜひ共有してください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
