BIOSに隠れて常駐する高度な新型マルウェア「Shade BIOS」の脅威：セキュリティニュースアラート

FFRIセキュリティの松尾和輝氏がBIOS上でOSに依存せず動作するマルウェア「Shade BIOS」についてBlack Hat USA 2025で発表する。Shade BIOSは、BIOSの環境をOS起動後も維持し、従来のUEFIマルウェアを超える検出困難な構造を持つ。

[後藤大地，有限会社オングス]

　FFRIセキュリティのセキュリティ研究者である松尾和輝氏が米国で開催されるセキュリティカンファレンス「Black Hat USA 2025」において、BIOS上で動作するマルウェア「Shade BIOS」に関する発表を行うことが明らかになった。米国のセキュリティメディア「Dark Reading」が先行して報じており、発表は現地時間2025年8月6日に予定されている。

OSに依存しないマルウェア、Shade BIOSとは

　Shade BIOSは、従来のUEFIルートキットやブートキットとは異なり、OSとの連携を前提としない点に特徴がある。

　通常、UEFIマルウェアは起動時にOSより先に動作するが、最終的にはOS上での動作やAPIを通じた通信、データ操作に依存する。これにより、エンドポイント検出応答（EDR）や拡張検出と応答（XDR）といったセキュリティ製品の検知対象となる可能性が残る。

　松尾氏らが提唱するShade BIOSは、BIOSの環境をOS起動後のランタイムまで維持し、その内部でマルウェアを完全に動作させる仕組みだ。UEFIが通常破棄するはずのBIOS領域を意図的に保持し、UEFIがOSローダーに渡すメモリマップを改ざんすることでBIOSの機能を維持したままマルウェアの実行が可能になる。この仕組みにより、OSやその上で動作する全てのセキュリティ対策を迂回する構造だ。

　Shade BIOSは、BIOS内で独自のメモリ管理やデバイス制御機構を備えており、攻撃者にとってはOSとは別の「隠れた実行環境」として機能する。ファイル作成などの処理もWindowsのAPIを使うのではなく、BIOSのディスクI/Oプロトコルで実行される。この構造ではマルウェアがBIOSレベルで独立して動作するため、OSの協力を必要としない。

　既存のUEFIマルウェアと比べて、Shade BIOSはバイナリの改変やフックといった複雑な処理を必要とせず、従来のUEFIブートキットと比べて実装が簡素化できる可能性があると松尾氏は同メディアに述べている。UEFIが業界共通の仕様のため、Shade BIOSはハードウェアに依存せず、幅広い機種で動作可能という点も注目されている。

　このようなマルウェアの検出は従来のセキュリティ製品では困難であり、システムのメモリを起動中に手動でダンプし、コードを調査する必要がある。松尾氏はこの検出手法についても発表内で取り上げ、オープンソースツール「Kraftdinner」を使った実演も予定する。