FFRI Securityのセキュリティ研究者である松尾和樹氏が、ラスベガスで開催されるBlack Hat USA 2025において「Shade BIOS」と呼ぶ新たなマルウェア技術を発表する。
従来のUEFIルートキットやブートキットとは異なり、Shade BIOSはオペレーティングシステム(OS)との相互作用を本質的にゼロレベルまで抑制する。この技術は、OSローダーを欺くことでメモリマップを変更し、BIOS機能をランタイム時に保持することで、攻撃者がOS起動後もBIOS環境内でマルウェアを実行することを可能にする。
アンチウイルス、エンドポイント検知・対応(EDR/XDR)、OSセキュリティツールが到達できない領域から悪意のある機能を実行できるため、あらゆる種類のサイバーセキュリティ保護を回避する。検出にはメモリダンプと解析が必要で、松尾氏はオープンソースツール「Kraftdinner」を使用した検出方法を実演する予定である。UEFIが業界標準であるため、この技術はクロスハードウェア対応が可能である。
From: 
New ‘Shade BIOS’ Technique Beats Every Kind of Security
【編集部解説】
この「Shade BIOS」技術は、従来のサイバーセキュリティの前提を根底から覆す可能性を秘めています。これまでUEFIマルウェアの問題点とされていた「OS依存性」という弱点を完全に排除し、文字通りあらゆるセキュリティソフトの手が届かない聖域を作り出したからです。
難解な技術の核心
この技術の核心は、本来ならOS起動とともに破棄されるはずのBIOS機能をメモリ上に「騙し残す」点にあります。コンピューターはOSローダーがメモリマップ(メモリの配置情報)を確認して、不要になったBIOS機能を削除するのですが、Shade BIOSはこのメモリマップ自体を偽装することで、BIOS機能が「まだ必要である」とOSに錯覚させます。
セキュリティ業界への衝撃
現在のサイバーセキュリティ防御は、OS上で動作することを前提としています。エンドポイント検知・対応(EDR)、アンチウイルス、XDRシステム、さらにはWindowsのEvent Tracing(ETW)まで、すべてがOS内で動作するため、OS外の活動を監視することは構造的に不可能です。これは、セキュリティソフトが「警備員」だとすれば、建物の外で起こっていることは一切見えないという状況に例えられます。
研究の建設的な意図
FFRI Securityによる今回の研究は、脅威を悪用することではなく、セキュリティ業界全体の防御力向上を目的としています。松尾氏は「UEFIマルウェアの脅威を防ぐためには、まずUEFIマルウェアがどのような攻撃を行えるのかを明らかにする必要がある」と述べており、これまでのUEFIマルウェアは「BIOSからできる事の一端に過ぎない」という認識のもと研究を進めています。
検出手法の提供
松尾氏はオープンソースツール「Kraftdinner」を通じて検出方法も提示しており、政府機関や重要インフラの調達時における事前検査の重要性を啓発しています。また、UEFIマルウェアは一般企業よりも国家レベルの攻撃で使用される傾向があるため、通常の企業が直面するリスクは相対的に限定的です。
将来への影響
この研究発表は、サイバーセキュリティがハードウェアとソフトウェアの境界を超えた包括的なアプローチを必要とする時代の到来を示唆しています。今後は、製造段階からの信頼性確保、定期的なファームウェア監査、そしてゼロトラスト原則のハードウェアレベルでの適用が、企業のセキュリティ戦略において重要な要素となっていくはずです。
【用語解説】
UEFI(Unified Extensible Firmware Interface)
BIOS(Basic Input/Output System)の後継となる現代的なファームウェアインターフェース規格である。コンピューターの電源投入時にOSより先に実行され、ハードウェアとOSの橋渡しを担う。
EDR/XDR(Endpoint Detection and Response / Extended Detection and Response)
エンドポイント上で発生する不審な活動を検知し、自動的に対応を行うセキュリティソリューションである。XDRはEDRの機能を拡張し、ネットワークやクラウドまで監視範囲を広げる。
ETW(Event Tracing for Windows)
Windowsのカーネルレベルで動作するイベントトレースおよびログ記録フレームワークである。システムの動作を詳細に監視し、セキュリティ分析に活用される。
メモリマップ(Memory Map)
コンピューターのメモリ領域がどのように配分されているかを示す設計図のようなものである。OSがどの領域を使用可能かを判断する際に参照する。
Kraftdinner
松尾氏が開発したオープンソースの検出ツールで、Shade BIOSのような純粋なBIOSマルウェアを検出するためのメモリダンプ解析機能を提供する。
【参考リンク】
株式会社FFRIセキュリティ(外部)
純国産サイバーセキュリティコア技術の研究開発を行う日本のセキュリティベンダー
Black Hat USA 2025(外部)
松尾和樹氏による「Shade BIOS」の講演が予定される世界最大級のサイバーセキュリティカンファレンス
Dark Reading(外部)
今回のShade BIOS技術に関する記事の掲載元であるサイバーセキュリティ分野の専門メディア
【参考記事】
弊社リサーチエンジニアの松尾がBlack Hat USA 2025に登壇します!(外部)
FFRI Security公式ブログでの松尾氏のBlack Hat USA 2025登壇発表記事
【編集部後記】
Shade BIOS技術の登場で、従来の「セキュリティソフトがあれば安心」という常識が大きく揺らいでいます。
このような革新的な攻撃手法が研究発表される背景には、セキュリティ業界全体の技術向上という願いがあります。一方で、こうした情報公開によってこの手法を真似た犯罪が起きるなど、新たなリスクの可能性があります。こうしたセキュリティ研究の透明性と潜在的なリスクのバランスについて、皆さんはどのようにお考えになりますか?また、皆さんの組織ではOSより深い層での脅威にどのような備えをお持ちでしょうか?
詐欺などの犯罪と同じく、サイバー攻撃とサイバーセキュリティは常にいたちごっこの関係にあり、完璧な盾というものは存在しないのだと痛感させられます。だからこそ私たちは日々新しい情報を知り、それを共有していきたいと思います。
