強力なサイバーセキュリティ戦略には、サイバー攻撃に対する事後対応的なアプローチだけでなく、ブートキットなどの感染に対する予防的なプロアクティブな方法も含まれている必要があります。ブートキット感染の影響を軽減し、感染を除去することは、サイバーセキュリティチームにとって貴重なツールです。ブートキットはステルス性を備えており、ブートキットがどのように機能するか、およびブートキットに対抗する方法を理解することで、脅威アクターからビジネスを安全に守ることができます。

ブートキットとは

ブートキットは、脅威アクターが悪意のあるソフトウェアをコンピューターシステムに接続するために使用する最新のマルウェアの一種です。ブートキットはビジネスにとって重大なセキュリティ脅威となる可能性があり、多くの場合、検知を回避するためのルートキットツールが含まれます。これらの攻撃は、PCのオペレーティングシステムとデバイスのファームウェアを接続するソフトウェアであるUEFI（Unified Extensible Firmware Interface）を標的としています。

ルートキット感染の1つの例として、2020年のSpicy Hot Potブラウザのハイジャックルートキットがあります。これは、ユーザーのホームページを脅威アクターがコントロールするホームページに変えるものでした。

ブートキットとルートキットの比較

ルートキットは、ソフトウェアツールのコレクション、または脅威アクターがコンピューターシステムをリモート制御できるように設計されたプログラムです。ルートキットは、エンドポイントのウイルス対策ソフトウェアやマルウェア対策ソフトウェアを無効にすることで、検知されずに機能するようになります。これにより、ネットワークまたはアプリケーションのセキュリティを攻撃する目的を持つ悪意のあるソフトウェアがシステムに導入される可能性があります。

ブートキットはこのプロセスをさらに進化させ、ボリュームブートレコードまたはマスターブートレコードに感染するように設計されています。そうすることで、ブートキットはコンピューターのオペレーティングシステムがロードされる前に機能することができます。この方法により、コンピューターのオペレーティングシステムが起動する前に、ブートキットによってインストールされた悪意のあるコードが起動して実行されます。

すべてのコンポーネントが Microsoft Windows ファイルシステムの外部にあり、標準のオペレーティングシステムプロセスからは見えないため、ブートキットの感染は検知されません。コンピューターがブートキットに感染している可能性があることを示す警告には、システムが不安定になってブルースクリーン警告が表示される場合や、オペレーティングシステムを起動できない場合などがあります。

ブートキットのリスクと影響

UEFIブートキットは、特に精巧に作られたものは事実上検出されない可能性があるため、ビジネスにとって深刻な問題になる可能性があります。ブートキットなどのルートキットはセキュリティに対する重大な脅威であり、さらにマルウェアがインストールされる道を開きます。ルートキットが検知されなかった結果として、ファイルの削除や情報の盗難が発生する可能性があります。

ブートキットが重大なセキュリティ上の脅威であるのはなぜですか？

UEFIブートキットは、取り除くのが難しいため特に危険です。UEFIファームウェアはハードドライブに書き込まれるのではなくマザーボードに埋め込まれているため、ハードドライブの操作の影響を受けません。これらのブートキット攻撃は一般に検知することが難しく、無料のダウンロードと一緒にインストールされたり、ブラウザの脆弱性を悪用する悪意のあるWebサイトを通じてインストールされたりする場合があります。

システム内にルートキットマルウェアが侵入すると次のような結果が発生します。

• ファイルの削除：オペレーティングシステムのコードやその他のファイルはルートキットに対して脆弱です。
• リモートアクセス：構成設定の変更、ファイアウォール設定でのバックドアポートの開放、起動スクリプトの変更などを行います。これらのいずれも、攻撃者がコンピューターにリモートアクセスしてさらなる攻撃を行うことを可能にします。
• 情報の盗難：ルートキットによってインストールされたマルウェアが、検知されずにパスワード、個人情報、機密データを盗む可能性があります。
• 追加のマルウェア：ルートキットがインストールされていると、脅威アクターは追加の悪意のあるソフトウェアをインストールし、ランサムウェアのように機能して、コンピューターを復元するための支払いを要求する可能性もあります。

ブートキットの感染は、継続的な企業スパイ活動など、追加の潜在的な結果をもたらします。UEFIファームウェアブートキットは、標準的なサイバーセキュリティ対策からは見えない可能性があり、オペレーティングシステムがロードされる前に起動するため、システムがオンになっているときは常にアクティブになります。ブートキット感染に対する最善の安全対策は、ブートキット感染の発生を防ぐことです。

ブートキット感染の防止

ソフトウェアプログラムまたはルートキットスキャナーを使用して疑わしいアクティビティをスキャンすることは、アプリケーションルートキットを検知するために効果的ですが、この方法ではブートキット、カーネルモードルートキット、またはファームウェア攻撃を検出することはできません。ソフトウェアの限界を確実に理解している場合は、複数レイヤーのスキャナーを使用すると、予防策を作成するのに役立ちます。しかし、ブートキット攻撃を防ぐための最善の方法は、セキュアブートです。

保護とリスク軽減

UEFIセキュアブートは、信頼できるソフトウェアだけを使用してデバイスを起動することを保証するセキュリティ標準です。ファームウェアが、UEFIファームウェアを含むすべてのブートソフトウェアの署名を確認し、すべての署名が有効であれば、PCが起動します。このセキュアブートにより、ブートキット感染が見つかるとPCが起動しなくなるため、感染による被害を防ぐことができます。

そもそもブートキット攻撃を受けるリスクを軽減するための予防措置を講じることもできます。これには、信頼できないメディアからオペレーティングシステムを起動するなどの行動を回避することが含まれます。サプライチェーン攻撃を回避するために、ファームウェアとオペレーティングシステムのバージョンを更新するときにベンダーの侵害に関する情報を確認することもできます。潜在的に悪意のあるアクティビティを監視することは、ブートキット感染に対して脆弱になった時期を特定するために役立つ方法です。ブートキット攻撃がすでに行われている場合、最初に実行するステップはそれを削除することです。

ブートキットの削除

ブートキットを削除することは可能ですが、特別なマルウェア削除ソフトウェアが必要です。ルートキットは、ハードドライブをクリーンアップして削除できるため、多くの場合より簡単に削除できます。システム上のブートキット感染を除去するには、適切なツールを見つけることが重要です。

ブートキットを取り除く方法

必要な種類のツールは、マスターブートレコードをクリーンアップできるブート修復ディスクです。このソフトウェアは、マスターブートレコードを修復するのではなく、ワイプするために使用する必要があります。この方法で、ブートキットを確実に削除できます。ワイプしたら、クリーンなマスターブートレコードを作成して、新しいドライブパーティションを再フォーマットできます。

ブートキットは、内蔵ハードドライブやUSBスティックから削除できるだけでなく、SPIフラッシュプログラマを使用して削除することもできます。これらのプログラミングデバイスは、ストレージチップの動作を消去、プログラミング、および検証することができます。ルートキット感染は、回避性があるため、特殊なツールを使用しないと、多くの場合、自己防衛されます。

マルウェア攻撃から保護する

脅威アクターがシステムに密かにリモートアクセスできないように、ブートキット攻撃からビジネスを保護することが重要です。ブートキットは、検出や削除が難しく、将来のマルウェア攻撃を容易にするため、危険です。ブートキットを防止および削除することで、ビジネスの安全を守ります。

CrowdStrike Falcon^® Completeを使用すると、専門家の管理、脅威ハンティング、モニタリングと修復により、エンドポイント、ワークロード、アイデンティティの侵害を阻止できます。常にシステムの準備を整え、隠れたマルウェアの脅威さえも認識できるようにすることで、ブートキットやその他のルートキット攻撃からビジネスを守ることができます。