研究者が作成した Mac に感染できる初のファームウェア ワーム

研究者チームが Mac に感染できる初のファームウェア ワームを作成したと Wired が報じています。 今年初めに発見された 「Thunderstrike」エクスプロイトに基づいて構築された、「Thunderstrike 2」と呼ばれるこのワームは、ファームウェア レベルで Mac に感染し、除去することをほぼ不可能にします。ファームウェアに組み込まれたマルウェアは、ファームウェアやソフトウェアのアップデートに耐性があり、それらを完全にブロックしたり、意のままに再インストールしたりできます。

このワームは、Thunderstrike エクスプロイトを最初に発見したセキュリティ エンジニアの Trammell Hudson 氏と、ファームウェア セキュリティ コンサルタント会社 LegbaCore のオーナーである Xeno Kovah 氏によって作成されました。今年初めに Thunderstrike が話題になったとき、それは限定的な概念実証攻撃であり、実際に存在するかどうかは知られていませんでしたが、Thunderstrike 2 は、同じ一般的な脆弱性を利用して Mac を標的にすることができる現実世界のワームを実証しています。

Thunderstrike 2 は、Thunderstrike の最初のデモンストレーションとは異なり、悪意のある Web サイトや電子メールを通じてリモートから Mac に感染することができます。 Mac に侵入すると、Apple 独自の Thunderbolt – ギガビット イーサネット アダプタ、外付け SSD、RAID コントローラなどの周辺機器のオプション ROM に潜伏することで、他の Mac に感染を広げることができます。 Thunderstrike 2 ワームが感染した Mac に感染すると、その周辺機器は接続している他の Mac にも感染し続けます。

「人々は、これらの小型で安価なデバイスが実際にファームウェアに感染する可能性があることに気づいていません」とコバー氏は言います。 「非常に低位かつゆっくりと拡散するワームが世界中で発生する可能性があります。人々がこのレベルで攻撃が発生する可能性があるという認識を持っていない場合、警戒が緩んで攻撃が行われる可能性があります。」彼らのシステムを完全に破壊してください。」

Mac のファームウェアに埋め込まれたマルウェアを削除するにはハードウェア レベルで行う必要があり、特に危険です。研究者らによると、Apple は Mac をこの種の攻撃にさらす脆弱性を修正するのに十分な措置を講じていないという。

「Dell や Lenovo などの一部のベンダーは、ファームウェアから脆弱性を迅速に削除することに非常に積極的です」と Kovah 氏は指摘します。 「ここで紹介している Apple を含め、他のほとんどのベンダーはそうではありません。私たちは調査結果を利用してファームウェア攻撃に対する意識を高め、ファームウェアのセキュリティを向上させるためにベンダーに責任を負わせる必要があることを顧客に示しています。」

コバー氏とハドソン氏は、Thunderstrike 2の脆弱性についてAppleに通知したが、これまでのところ、Appleが修正したのは5つのセキュリティ上の欠陥のうち1つだけで、1秒間の部分的な修正を導入しただけだ。脆弱性のうち 3 つはまだパッチされていませんが、Apple は今後のセキュリティ アップデートで欠陥を修正するために取り組んでいる可能性があります。

Kovah と Hudson の研究と Thunderstrike 2 エクスプロイトの詳細については、 Wired の 長いレポートを参照して ください。