HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明


セキュリティ対策ソフト大手のKaspersky(カスペルスキー)が「主要メーカー製のHDDの基本ソフト(ファームウェア)に感染するタイプのマルウェア(スパイウェア)が見つかった」と発表しました。システムの仕組み上、このマルウェアをセキュリティソフトで駆除することは極めて困難とのことです。

Equation_group_questions_and_answers.0.pdf
(PDFファイル)https://cdn1.vox-cdn.com/uploads/chorus_asset/file/3415904/Equation_group_questions_and_answers.0.pdf

Russian researchers expose breakthrough U.S. spying program | Reuters
http://www.reuters.com/article/2015/02/16/us-usa-cyberspying-idUSKBN0LK1QV20150216

Kaspersky Labは、HDDのファームウェアに感染して情報収集をする新手のマルウェアを発見したことを明らかにしました。イラン、ロシア、パキスタン、アフガニスタン、中国、マリ、シリア、イエメン、アルジェリアなどの30カ国のPCからこのマルウェアの感染例が発見されたとのこと。このマルウェアを作成したのはEquation groupとよばれる大規模なハッカー組織で、感染ターゲットには各国の政府関係機関、軍事機関、通信会社、金融機関、原子力研究者、メディア機関、イスラム主義活動家などが含まれているとしています。


HDDのファームウェアは、WindowsなどのOSが起動する前に動く基本プログラムであることから、ファームウェアに感染したマルウェアをセキュリティソフトで削除することは理論上困難。当然、HDDをフォーマット(初期化)したところで問題が解決することはなく、さらにはOSで制御している暗号化機能が突破される可能性すらあるとのこと。

カスペルスキーによると、このマルウェアはWestern Digital、Seagate、東芝、IBM、Micron、Samsungなどの主要メーカーが販売したストレージ上で見つかっています。なお、ロイターの取材に対してWestern Digital、Seagate、Micronはこのマルウェアに関する情報を持ち合わせていないと回答し、東芝、Samsungは回答を拒否。IBMに至っては反応すらなかったそうです。


カスペルスキーのコスティン・ライウ氏によると、一般に公開されている情報を活用してHDDのファームウェアを書き換えることは不可能とのこと。また、かつてイランのウラン濃縮施設を攻撃する目的でNSAによって開発されたスパイウェア「Stuxnet」との類似性から、アメリカという具体的な国名については避けたものの、Equation groupの背後にNSAが存在することをカスペルスキーは示唆しています。

・関連記事
NSAが10万台のPCを無線で監視しマルウェアを送り込んでいる疑いが浮上 - GIGAZINE

NSAは1日で全世界50億台の携帯電話の現在地を追跡していることが判明 - GIGAZINE

97%の企業がセキュリティ対策をしてもマルウェアに侵入されている - GIGAZINE

スマホにマルウェアを感染させ個人の行動を監視する政府向けのサービス「Galileo」の存在が明らかに - GIGAZINE

中国製の電子タバコにマルウェアが仕組まれていた可能性 - GIGAZINE

英ガーディアン紙が選んだ2013年を代表する人物はエドワード・スノーデン氏に決定 - GIGAZINE

1381

in ソフトウェア,   ハードウェア, Posted by logv_to