ESETの研究者が2025年9月11日にHybridPetyaという新型ランサムウェアの発見を発表した。
サンプル自体は2025年2月にVirusTotalにアップロードされていた。HybridPetyaは2月にVirusTotalにアップロードされたサンプルから特定され、PetyaとNotPetyaマルウェアの特徴を組み合わせている。
HybridPetyaは脆弱性CVE-2024-7344を悪用してUEFI Secure Bootをバイパスし、UEFI対応システムを侵害する能力を持つ。マルウェアはNTFS関連のマスターファイルテーブル(MFT)を暗号化し、被害者に1000ドルのビットコイン支払いを要求する。
ESETの研究者Martin Smoláˇrは現時点で野生での使用は確認されておらず、概念実証である可能性が高いと述べた。この発見により、UEFI Secure Bootバイパス機能を持つ公開されたブートキットはBlackLotus、BootKitty、Hyper-V Backdoor PoCに続いて4番目となった。
2017年のNotPetya攻撃は数十億ドル規模の損害をもたらしたとされている
From: 
HybridPetya: More proof that Secure Boot bypasses are not just an urban legend
【編集部解説】
今回発見されたHybridPetyaの最も重要な意味は、UEFI Secure Bootというコンピューターセキュリティの「最後の砦」が再び突破されたことです。UEFI Secure Bootは、コンピューターの起動時にOSが読み込まれる前の段階で、デジタル署名を使って信頼できるソフトウェアのみを実行させるセキュリティ機能として設計されました。
この技術は2012年頃から実用化され、ブートキットやルートキットといった深刻なマルウェアからシステムを守る重要な役割を担ってきました。しかし、2023年のBlackLotus、2024年のBootkitty、そして今回のHybridPetyaと、立て続けにSecure Bootバイパス機能を持つマルウェアが発見されている状況は、この防御技術の限界を示しています。
特にCVE-2024-7344という脆弱性の悪用方法が注目されます。この脆弱性は、UEFIアプリケーションが標準的で安全なLoadImageやStartImage関数の代わりに、カスタムPEローダーを使用していることが原因で発生します。これにより、「cloak.dat」という特別に細工されたファイルから、署名されていない実行ファイルでも読み込むことが可能になってしまいます。
興味深いのは、HybridPetyaのサンプルが複数の時期にアップロードされていることです。2025年2月のアップロード分に加えて、7月下旬にポーランドから「notpetyanew.exe」などの名前で新たなサンプルが発見されており、研究者の継続的な開発活動を示唆しています。
この攻撃手法の技術的な巧妙さは、従来のセキュリティ対策をすり抜ける点にあります。ブートキット型のマルウェアは、OSが完全に起動する前に実行されるため、従来のアンチウイルスソフトやEDR(Endpoint Detection and Response)システムでは検知が困難です。さらに、一度感染すると、OS の再インストールでも除去できない持続性を持っています。
ただし、現実的な脅威レベルを冷静に評価する必要があります。HybridPetyaの実行には、攻撃者がすでにシステムの管理者権限を取得している必要があり、物理的にEFIシステムパーティションにアクセスできる状況でなければ悪用できません。つまり、リモートからの直接的な攻撃は困難で、標的型攻撃やインサイダー脅威のシナリオで使用される可能性が高いといえます。
Microsoftは2025年1月14日のパッチ火曜日(Patch Tuesday)で、CVE-2024-7344を含む159の脆弱性を修正し、脆弱性のあるバイナリを無効化するアップデートをリリース済みです。これにより、適切にアップデートされたシステムでは、この脆弱性を悪用した攻撃は防ぐことができます。
長期的な視点では、この発見はファームウェアレベルのセキュリティ強化の必要性を浮き彫りにしています。UEFI Secure Bootの仕組み自体は有効ですが、実装における脆弱性や証明書管理の複雑さが新たな攻撃面を生み出していることが明らかになりました。今後は、より厳格なコード署名プロセスや、ハードウェアベースの信頼基盤技術の導入が重要になってくるでしょう。
【用語解説】
UEFI(Unified Extensible Firmware Interface)
従来のBIOSに代わる新しいファームウェアインターフェース規格である。より高速な起動、大容量ディスクの対応、グラフィカルユーザーインターフェースなどの機能を提供する。
Secure Boot
UEFI環境でシステム起動時に、デジタル署名が検証されたソフトウェアのみを実行させるセキュリティ機能である。マルウェアやルートキットによる不正な改変を防ぐ目的で設計されている。
ブートキット
オペレーティングシステムが起動する前の段階で動作する悪意のあるソフトウェアである。通常のマルウェア対策ソフトでは検出が困難で、システムの深い部分に感染するため除去も困難である。
CVE(Common Vulnerabilities and Exposures)
情報セキュリティ分野において、脆弱性に割り当てられる識別番号のことである。CVE-2024-7344は2024年に発見された特定の脆弱性を示す。
MFT(マスターファイルテーブル)
NTFSファイルシステムにおいて、ファイルやディレクトリの情報を管理するデータベースである。この領域が暗号化されると、システム全体がアクセス不能になる。
NotPetya
2017年に世界的に拡散した破壊的なマルウェアである。ランサムウェアを装っているが、実際にはデータ復旧不可能な破壊型攻撃であった。
【参考リンク】
ESET公式サイト(日本)(外部)
スロバキア発のセキュリティソフトウェア企業。軽快な動作と高い検出率を誇るアンチウイルス製品NOD32で知られ、世界180カ国以上でセキュリティソリューションを提供している
Microsoft Security Response Center (MSRC)(外部)
Microsoft製品やサービスのセキュリティ脆弱性を調査し、セキュリティパッチの開発・配布を担当するMicrosoftの公式セキュリティ対応組織である
VirusTotal(外部)
Google傘下のオンラインマルウェア検査サービス。複数のアンチウイルスエンジンを使用してファイルやURLを一括検査し、セキュリティ研究者や一般ユーザーに無料で提供している
【参考記事】
Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344(外部)
ESETが発見したCVE-2024-7344脆弱性の技術的詳細を解説。UEFIアプリケーションがカスタムPEローダーを使用することで、署名されていない実行ファイルを読み込める問題を説明している
Microsoft Patch Tuesday – January 2025(外部)
2025年1月14日のMicrosoftパッチ火曜日で修正された159の脆弱性の詳細。CVE-2024-7344を含むセキュリティ修正の内容と影響範囲を解説している
Bad guys testing first-ever UEFI bootkit for Linux – experts(外部)
2024年11月に発見されたLinux向けUEFIブートキット「Bootkitty」について報告。WindowsだけでなくLinuxシステムも標的になり始めている状況を示している
【編集部後記】
この記事を読んで、皆さんのPCのSecure Boot設定について気になりませんでしたか?実は多くの方が、自分のコンピューターの起動プロセスがどのように保護されているか、詳しく知らないのではないでしょうか。Windows 11では標準でSecure Bootが有効になっていますが、古いシステムや自作PCでは設定が異なる場合があります。
もしよろしければ、皆さんのSNSで教えていただけませんか?職場や個人のセキュリティ対策で最も重視していることは何でしょうか?また、ファームウェアレベルの攻撃について聞いたことはありましたか?こうした深い部分のセキュリティについて、皆さんと一緒に考えていければと思います。
