Intel CPUのセキュリティ機構「SGX」にマルウェアを隠すことでセキュリティソフトで検出できない危険性、概念実証用のプログラムも公開済み

IntelはSkylake世代のCPUから、センシティブな情報を悪意ある者に読み取られないように隔離して実行するセキュリティ機構「SGX(Software Guard Extensions)」を取り入れました。しかしCPU内にデータと実行プロセスを隔離する「飛び地」を作るSGXにマルウェアを仕込ませることで、セキュリティソフトでさえ脅威を検出できない危険性があるとセキュリティ専門家が指摘しています。

Practical Enclave Malware with Intel SGX
(PDFファイル)https://arxiv.org/pdf/1902.03256.pdf

Researchers hide malware in Intel SGX enclaves | ZDNet
https://www.zdnet.com/article/researchers-hide-malware-in-intel-sgx-enclaves/

Researchers Implant "Protected" Malware On Intel SGX Enclaves
https://thehackernews.com/2019/02/intel-sgx-malware-hacking.html

Intel第6世代Coreプロセッサ「Skylake」シリーズで初めて採用されたセキュリティ機構「Intel SGX」については、以下のムービーで解説されています。

Intel® Software Guard Extensions (SGX) | Intel Software - YouTube


Intel SGXでは、CPU内に「enclave」と呼ばれる隔離スペースを作りその中でセンシティブなデータを保持し処理を実行可能です。そのため、OSやソフトウェアで重要なデータ実行しないため、データを読み取られることがなくセキュリティを高められます。

SGXを使うとプログラムはコードやデータ用の保護されたenclaveを確立できます。enclave内はシステム上のプログラムから盗み見たり改ざんしたりすることはできないため安全性が保たれています。そしてSGXではホワイトリスト化された署名キーのついたプロセスのみ実行許可することで、悪意あるプログラムの実行を予防しています。

これに対して、グラーツ工科大学のSamuel Weiser氏らの研究チームは、return oriented programming(ROP)を活用することで、通常よりも広範囲のコマンドセットへのアクセス権をenclaveに与えることに成功したとのこと。

すでにGitHubにおいて概念実証用のプログラムについても公開されています。

GitHub - sgxrop/sgxrop: The code to the SGX-ROP paper
https://github.com/sgxrop/sgxrop

研究者によるとSGXのenclave内にマルウェアを隠せば、SGXの持つ機密性ゆえに内部をチェックできないため、マルウェアなどをセキュリティ対策ソフトなどで検出することは理論上不可能だとのこと。SGXの機密性ゆえにセキュリティチェックが不能なためマルウェアを隠す絶好の場所としてSGXが悪用される危険性があるようです。