悪意のあるソフトウェア開発者が、被害者のコンピュータに侵入する別の方法を常に探しているのは事実です。したがって、カスペルスキーがWindows の再インストールやハードドライブの交換後も存続できるマルウェアの存在を検出したことは驚くべきことではありません。
どうやってそれを達成しますか?感染した PC のマザーボード ファームウェアに侵入します。コンピュータセキュリティ会社によると、問題のマルウェアはCosmicStrandと呼ばれており、その作成者が中国のハッカーであると思われる痕跡が検出されたという。ルートキットはマザーボードの UEFI に感染することで、オペレーティング システムの起動時から悪意のあるプロセスを実行できるようになります。
これは、マルウェアがサイバー犯罪者によって制御されているサーバーに接続し、ユーザーが知らないうちにさらに悪意のあるコンポーネントをインストールする可能性があることを意味するため、影響を受けるコンピューターにとっては大きな危険を意味します。
「良いニュース」は、検出された症例が非常に特定の地域に焦点を当てているようで、今のところ西側諸国から遠く離れていることです。カスペルスキーは、これまでのところロシア、中国、イラン、ベトナムのコンピューターでのみ発見されていると述べている。そしてもう 1 つの注目すべき点は、最新世代ではないコンポーネントを備えた機器での感染が記録されていることです。具体的には、 H81 チップセットを搭載した Gigabyte および ASUS マザーボード上です。
このマルウェアの影響を受けた PC はどのようにして感染したのでしょうか?
カスペルスキーの分析によると、CosmicStrandに感染したコンピュータは企業や組織ではなく個人ユーザーだった。しかし、本当に驚くべきことは、マルウェアがどのようにしてこれらのコンピュータに到達したのかについての詳細がまったく記載されていないことです。それでも、研究者らはいくつかのかなり有力な手がかりを追っている。
分析されたマザーボードのファームウェアは、自動パッチによって変更が行われたことを示しました。これにより、 「抽出、変更、上書き」が可能になったと彼らは指摘した。
したがって、専門家は2つの感染経路が考えられると考えています。 1 つは、コンピューター上の既存のマルウェアによるものです。もう 1 つは、ハッカーが機器に物理的にアクセスできることです。 2 番目のケースは実現可能性がやや低いように思えますが、他のセキュリティ専門家は、悪意のあるソフトウェアが中古のマザーボードに埋め込まれている可能性があると考えています。
Kaspersky は、CosmicStrand は洗練されたルートキットであると主張していますが、それは必ずしも新しいという意味ではありません。このマルウェアの古いバージョンは 2016 年または 2017 年に遡って検出されていますが、最新のアクティブな亜種は 2020 年に遡ります。
大きな問題は、Windows の再インストールやハード ドライブの交換だけでは不十分な場合、感染した PC からマルウェアを削除する方法です。 PC Magで説明されているように、最も快適ではありませんが、いくつかのオプションがあります。まず、マザーボードのファームウェアを再度「フラッシュ」します。これは多くのメーカーがその方法を示しているものですが、主に上級ユーザーまたはコンピューター技術者を対象とした作業です。 2 つ目はもう少し極端で、マザーボードを新しいもの、またはより新しいものに変更する必要があります。
カスペルスキーは、このマルウェアがどのように動作し、Windows が PC のメモリに読み込まれる前に実行されるという技術的な障害をどのように克服しているかを理解するために、このマルウェアに関する調査結果を詳細に公開しました。
参考資料一覧
- https://www.pcmag.com/news/malware-that-can-survive-os-reinstalls-found-on-asus-gigabyte-motherboards
- https://securelist.com/cosmicstorm-uefi-firmware-rootkit/106973/