NSA は、システムをブートキットやルートキットから守るための IT 管理者向けガイドをオンラインで公開しました。
アメリカの監視機関による 39 ページの解説書 [PDF] では、UEFI セキュリティについて、特にセキュア ブートをマスターして互換性の理由でそれをオフにしないようにする方法が説明されています。
ブートキットとは、OSの起動前に実行されるソフトウェアで、OSを改ざんすることで、起動後に何らかの悪意のあるコードを実行させます。このコードはルートキットである可能性があり、スパイウェアやランサムウェアといった別のマルウェアがシステム管理者レベルの権限で展開・実行されることを保証します。セキュアブートは、暗号化技術を用いて、不正に改ざんされていないOSを起動することを保証するメカニズムです。ブートキットやルートキットの追加は、セキュアブートによって検出されるはずです。
このガイドでは、セキュアブートの導入手順を詳しく説明しています。重要なのは、コンピューターへの物理アクセスまたは管理者レベルのアクセス権限を取得した悪意のあるユーザーが、ファームウェアレベルからオペレーティングシステムとその上のソフトウェアを改変することで、マシンを永続的に、かつ隠蔽的に制御するのを阻止することです。
Windows Server は将来のリリースでデフォルトで TPM2.0 とセキュア ブートを要求する
続きを読む
「悪意のある攻撃者は、エンドポイントに残るファームウェアを狙っている」と当局は指摘した。
ファームウェアは、オペレーティングシステムやストレージメディアとは別のメモリに保存され、そこから実行されます。オペレーティングシステムのロード後に実行されるウイルス対策ソフトウェアは、オペレーティングシステムより前に実行されるブート前ファームウェア環境におけるマルウェアの検出と修復には効果がありません。セキュアブートは、ファームウェアの悪用リスクを低減し、公開されている多くのブート前脆弱性を軽減する検証メカニズムを提供します。
この文書は、国防総省などの米国政府機関の管理者向けのガイドとなることを目指しているが、ソフトウェアの不正使用、内部不正者、その他の悪意ある者が企業ネットワークに強固な足場を築くことを懸念する民間部門の人にとっても有益なアドバイスとなっている。
No Such Agencyによると、トラブルを避ける最善の方法は、そもそもセキュアブートをオフにしないことです。NSAは、これが必ずしも現実的ではないこと、そしてセキュアブートが邪魔になる状況が数多くあることを認めています。この点を踏まえ、NSAは以下の対策を推奨しています。
ただし、セキュアブート対応ファームウェアがブートキットやルートキットの感染を完璧に阻止できるというわけではありません。NSAは、UEFI Fast Bootが有効になっているPCではソフトウェアの検査が十分に行われず、LoJaxのようなマルウェアが侵入してしまう可能性があると指摘しています。
このため、同庁は、ネットワーク セキュリティについて特に心配している政府機関に対して、すべてのマシンのセキュア ブート設定をチェックして、適切な保護が設定され、バイパスが無効になっていることを確認するよう勧告しています。
セキュアブートのセキュリティを強化するための他の選択肢としては、独自の許可リストと拒否リストのデータベースを作成することや、オペレーティングシステムとハードウェアコンポーネントのチェックにデフォルトで使用されるMicrosoft証明書データベースを削除することが挙げられます。NSAによると、これにより内部攻撃者によるOSのダウングレードや他のハードウェアコンポーネントのインストールを阻止できるとのことです。
#include <std/nsa_can_already_bypass_this_theory.h>®
