rootkitがBIOSを狙う――セキュリティ専門家が警鐘

rootkitをBIOSに隠すとディスクに痕跡が残らず、検出・削除が難しいと、セキュリティ研究者が警告した。

» 2006年01月30日 13時43分 公開
[ITmedia]

 rootkit作者がBIOSを標的にする恐れがあると、セキュリティ研究者が警鐘を鳴らした。

 Next Generation Security Software(NGS)のセキュリティコンサルタント、ジョン・ヒースマン氏は先週ワシントンD.C.で開かれたBlack Hatカンファレンスでこの問題に関するプレゼンテーションを行った。

 同氏によると、rootkitをBIOSに隠すと、ディスクに痕跡が残らず、検出・削除が難しい。またOSを再インストールしても、rootkitは残り、再び感染するという。

 ただし、このような攻撃手法の問題として、BIOSの機能は低レベルであるため、これを乗っ取っても高レベルの目的達成は難しいと同氏は指摘する。各種BIOSに合わせてrootkitを開発し直さなければならない点や、アップグレードに対応しなければならない点もrootkit作者のハードルとして挙げている。

 同氏はプレゼンテーションの中で、BIOSの電力制御技術ACPI(Advanced Configuration and Power Interface)を悪用する手法を披露した。

 こうした攻撃の検出方法として、同氏は既存のツールや、OSのACPIメッセージ監査機能を利用することを挙げている。また防止策として、BIOSの再フラッシュを防ぐことや、署名付きBIOSを搭載したコンピュータに移行することを勧めている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ