PCハードウェアに「rootkit」の脅威--セキュリティ研究者が警告

　バージニア州アーリントン発--米国時間2月28日、当地で開催のBlack Hat DC 2007」の講演で、セキュリティ研究者が発した警告によれば、PCのハードウェアコンポーネントによって、コンピュータに悪意のあるコードをもぐりこませることができるという。

　Next Generation Security SoftwareのリサーチディレクターJohn Heasman氏はこの講演で、グラフィックカード、DVDドライバ、電源などのPCのコンポーネントすべてに、ファームウェアと呼ばれるソフトウェアが稼動するためのメモリ領域があり、次にPCが起動したときに読み込まれる悪意のあるコードを隠すために攻撃者がこの領域を利用することが考えられると語った。

　「これは重要な領域であり、考慮すべき問題だ。ソフトウェアセキュリティは改善されていっているが、われわれが利用するハードウェアは複雑になる一方だ。ハードウェアセキュリティに取り組まなければ、攻撃を許す巧妙な侵入口を放置することになる」とHeasman氏は語った。

　Heasman氏によれば、ハードウェアコンポーネントのメモリ領域から送り込まれた悪意のあるコードは、OSが立ち上がる前にPC上で動き始めるため、「rootkit」の脅威の引き起こすという。さらに、これはセキュリティソフトウェアなどの保護機能はすり抜けてしまう可能性があることも、同氏は指摘した。このようなローレベルでの悪意あるコードはrootkitとして知られている。

　その上、悪意のあるコードがPCのハードディスクではなくハードウェアコンポーネントに存在するため、OSの再インストールなどでハードディスクを一掃しても脅威は取り除かれない。

　同氏の研究では、PCのマザーボード上のPCI、PCI Express、AGPスロットに挿入されたグラフィクカードに注目し、こうしたカードのメモリに数キロバイトの追加コードを読み込ませることができることを、Heasman氏は発見した。攻撃者がユーザーを騙して悪意のあるファイルを開かせれば、これが可能になると同氏は述べている。

　「PCIバスは1990年代にIntelによって開発された。周知のように、当時はセキュリティに高い関心は払われていなかった。順調に運営されているネットワークで、管理者はネットワーク上にどのマシンがあるかは知っていても、PCIデバイスが何かまでは知っているだろうか？おおかたの場合、知らないだろうと私は思う」とHeasman氏は語った。

　Heasman氏が提起した概念は新しいものではない。これまでにもこの危険性について注目したセキュリティ研究者はいた。業界もこれに応えて、非営利団体Trusted Computing Group（TCG）を組織し、追加チェックを行う「Trusted Platform Module」（TPM）を作成して対応した。だが、TPMはすべてのPCに搭載されているわけではなく、機能も常時使用されているわけではないとHeasman氏は言う。

　防御を強めるために、PC拡張カードなどのハードウェアコンポーネントのメモリをスキャンし、どんなコードが存在するかを分析することをHeasman氏は推奨している。