Macにマルウェアを感染させる新しい方法を、セキュリティ研究者が発見した。このマルウェアは実質的に検出不能で「削除することができない」という。
「Thunderstrike」と名付けられたこの攻撃は、「Thunderbolt」ポートを介してシステムのブートROMに悪意のあるコードをインストールするというものだ。
キヤノンのデジタル一眼レフカメラ向けオープンソースプログラミング環境である「Magic Lantern」の開発者であり、ヘッジファンドのTwo Sigma Investmentsで働くTrammell Hudson氏は、会社からApple製のノートブックにおけるセキュリティを調査してほしいと頼まれたことがきっかけで今回の脆弱性を発見した。
Hudson氏は最初に、Apple製ノートブックの本体を分解して、マザーボードにハンダ付けされているチップにアクセスすることで、ブートROMの改ざんが可能であるという事実を発見した。同氏はその後、システムのThunderboltポートを介して攻撃を仕掛けられるよう、この技法を洗練させた。
Hudson氏は自身のウェブサイトで「Thunderboltポートを使えば、システムのブート時にコードを実行させることが可能だと分かった。ThunderboltによってPCIeバスが外界に開放されるとともに、EFIファームウェアがブート時に接続中のデバイスに対して実行するべきオプションROMの有無を照会するようになっている」と記している。
Hudson氏は、同社製のギガビットEthernetアダプタ「Apple Thunderbolt」に手を加え、この攻撃が可能であることを実証した。
同氏は「これは『OS X』のファームウェアに対する初のブートキットであるため、今のところそれを検出するものは存在しない。このブートキットによって、システムの起動時に実行される最初の命令からシステムが支配されるようになるため、ハードディスクの暗号化キーを含むキーストロークの記録や、OS Xカーネルへのバックドアの設置、ファームウェアパスワードのバイパスが可能になる」と述べている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス