Lattice Blog

Share:

新しいNIST仕様は最新のサーバー向けアタックベクトルに対抗

Is Your Computer Firmware Safe?
Posted 11/07/2018 by Shyam Chandra

Posted in

サーバーのハッキングで、あまり知られていないアタックベクターがあります。それはファームウェアです。先月、ESET社はLojaxに冠する調査結果を発表しました。それはロシアの軍事情報に繋がっている悪名高いサイバースパイ集団であるセドニットによって開発されたとさるルーツキット(ファームウェアハッキングツール)です。Lijaxはコンピュータハードウェアがオペレーティングシステムと通信できるファームウェアの仕様であるUEFIの脆弱性を利用するように設計されています。一度インストールされると、抗ウイルスのソフトウェアが検出することはほとんど不可能です。また、オペレーティングシステムを新しく再インストールしたり、コンピュータのハードドライブを交換しても、有効な状態を維持できます。

ISACAが2016年に実施した調査では、回答者の半数においてハードウェアのセキュリティが企業における優先事項と回答し、『少なくとも1件以上企業のシステムファームウェアがマルウェアに感染』した事例があり、更に『その17%は重大な影響を及ぼしたi』と報告されています。

ファームウェアはサーバーコンポーネント(CPU、ネットワークコントローラ、RAIDオンチップソリューション等)の起動直後に最初に実行されるブート可能なコードが含まれています。コンポーネントのプロセッサはファームウェアが有効な起点であるとみなしてブートし、サーバーの設定に合わせてより高レベルな機能を段階的に検証し、ロードします。場合によっては、処理コンポーネントはファームウェアを使用して、全体の動作寿命を通して必要な機能を実行します。

システムはインストールされたファームウェアとともに出荷されるため、システムのサプライチェーン上でのアタックに対して脆弱です。製造現場やシステムの輸送中、システム統合中、バグの修正や機能強化中などです。ブート後にファームウェアに組み込まれたマルウェアの検出は難しいため、マルウェアはシステムの更新やアップグレードによって存続する傾向があります。幸い、技術業界はファームウェアを保護するための対策をとっています。今年初めに、アメリカ国立標準技術研究所(NIST)はNIST SP 800 193仕様を発表し、プラットフォームファームウェアレジリエンス(PFR)として知られる一定のセキュリティ対策を定義しました。PFRによって、サーバー内の全てのファームウェアに対する攻撃が包括的に防止されます。この仕様は3つの基本原則に基づいています。

  • システムの起動中にファームウェアをアタックから保護する
  • SPI flashに保存れた不正なファームウェアを検出する
  • 不正ファームウェアから正しいファームウェアへと復元する

NIST SP 800 193仕様は準拠のRoot-of-Trustデバイスを使用して、ハードウェアでプラットフォームファームウェアレジリエンス(PFR)を実装することが規定されています。Root-of-Trust FPGAに基づいた革命的なアプローチはNIST準拠のPFR実装を簡単で、頑丈にします。このアプローチはサーバーシステムすべてのファームウェアを包括的にカバーします。

詳しくはこちら

i. http://www.isaca.org/Knowledge-Center/Research/Documents/CSX-Firmware_whp_eng_1016.pdf?regnum=461390 

Share: