ファームウェアセキュリティ企業Binarlyが、GIGABYTE製のマザーボードに搭載されたUEFIファームウェアに、極めて深刻な4つの脆弱性が存在することを公表した。この問題は、Intelの旧世代チップセットを搭載した240以上のモデルに影響を及ぼす可能性があり、PC業界全体のファームウェア・サプライチェーンが抱える構造的な脆さを浮き彫りにしている。攻撃者がOSの再インストールすら生き延びる「見えないマルウェア」を仕込むことを可能にするこの脆弱性は、我々のデジタル世界の土台がいかに脆弱であるかを突きつける、静かな、しかし重大な警告である。

AD

「究極のゴースト」が潜むSMMの闇:脆弱性の技術的深淵

今回の問題の核心を理解するには、まずPCの起動プロセスの根幹をなすUEFI(Unified Extensible Firmware Interface)と、その中でも特に特権的な動作モードであるSMM(System Management Mode)に目を向ける必要がある。

UEFIは、OSが起動する前にハードウェアを初期化し、制御するソフトウェアだ。現代のPCにおける「魂」のような存在であり、そのセキュリティ機能の中核を担うのが「セキュアブート」である。セキュアブートは、起動時に実行されるコードが、信頼できる発行元によってデジタル署名された正規のものであることを検証し、不正なマルウェアの実行を防ぐための重要な防衛ラインだ。

一方、SMMは「リング-2」とも呼ばれる、OSすら介入できない極めて高い特権レベルで動作する特殊なモードである。電源管理やハードウェア制御といった低レベルのシステム管理タスクを実行するために存在し、そのコードはSMRAM(System Management RAM)と呼ばれるOSから隔離・保護されたメモリ空間に置かれる。このSMMへのアクセスは、SMI(System Management Interrupt)という特別な割り込みを通じてのみ可能であり、いわばシステムの「聖域」である。

Binarlyが発見した4つの脆弱性(CVE-2025-7029, CVE-2025-7028, CVE-2025-7027, CVE-2025-7026)は、いずれもCVSS(共通脆弱性評価システム)スコアで8.2(High)と評価されており、この聖域の扉をこじ開ける鍵となる。具体的には、SMIハンドラにおける入力データの検証が不十分であるため、攻撃者は管理者権限を足がかりに、不正なデータを送り込むことでSMRAM内のデータを任意に書き換えることが可能になる。

これが意味するのは、セキュアブートという堅牢な城壁を内側から、あるいはその土台そのものを破壊するに等しい。攻撃者はSMMを掌握することで、以下のような悪夢のシナリオを実現できる。

  • 永続的なファームウェア・インプラント: OSの起動プロセスよりも早く活動を開始するブートキットやファームウェア・マルウェアを埋め込む。
  • 完全なステルス性: これらのマルウェアはOSや一般的なセキュリティソフト(アンチウイルス、EDR)からは完全に不可視となる。
  • 不滅の脅威: OSをクリーンインストールしたり、ストレージを物理的に交換したりしても、マザーボードのファームウェア上に残り続け、システムが起動するたびに蘇る。

過去に猛威を振るった「BlackLotus」などのUEFIブートキットが示したように、一度このレベルで侵害されると、その検知と駆除は極めて困難を極める。まさに、システムに憑りつく「究極のゴースト」と言えるだろう。

氷山の一角か?GIGABYTEを超えて広がるサプライチェーンの影

この深刻な脆弱性は、なぜかGIGABYTEという一社の製品に集中して見つかっている。だがその根源をたどると、問題はより広範で構造的なものであることが見えてくる。

これらの脆弱性の源流は、世界中の多くのマザーボードメーカーにUEFIファームウェアのベースコードを供給している巨大ベンダー、American Megatrends Inc. (AMI) のリファレンスコードにあるとされる。AMI自身は、これらの問題を認識し、修正パッチを作成して顧客である各OEMベンダー(GIGABYTEなど)に非公開で提供していたという。

ここで、現代の複雑なIT製品開発における「ファームウェア・サプライチェーン」の問題が浮かび上がる。

  1. リファレンスコードの提供: AMIのような上流ベンダーが、汎用的なファームウェアの「原型」を作成する。
  2. OEMによるカスタマイズ: GIGABYTEのような下流のOEMベンダーは、その原型を基に自社製品向けのカスタマイズや機能追加を行う。
  3. パッチ適用の遅延・欠落: 上流からセキュリティパッチが提供されても、OEMベンダーがそれを自社の無数の製品ラインのファームウェアに適切に統合し、テストし、リリースするまでには時間とコストがかかる。場合によっては、そのプロセスが見過ごされたり、優先順位を下げられたりすることもある。

BinarlyのCEOであるAlex Matrosov氏は、AMIが脆弱性情報を顧客にNDA(秘密保持契約)の下で「サイレント開示」したことが、結果として下流ベンダーでのパッチ適用が遅れる一因になった可能性を指摘している。オープンな情報公開がなければ、ユーザーやセキュリティコミュニティからのプレッシャーが働きにくいためだ。

つまり、今回の問題はGIGABYTE一社の責任というよりも、上流から下流へと続くサプライチェーン全体の情報の流れ、検証プロセス、そして責任の所在が曖昧であるという構造的欠陥の現れと見るべきではないだろうか。GIGABYTE製品で発見されたのは、あくまで氷山の一角であり、同様のリスクは他のOEMベンダーの製品にも潜在している可能性は否定できない。

AD

影響は240モデル以上に。あなたのPCは大丈夫か?

今回脆弱性が指摘されたのは、主にIntelの100シリーズから500シリーズまでのチップセットを搭載したGIGABYTE製マザーボードで、BleepingComputerはその数をリビジョン違いなども含め240以上と報じている。これは、数世代前のメインストリームからハイエンドまで、非常に広範囲のユーザーが影響を受けることを意味する。

GIGABYTEは、Binarlyによる公開後、公式Webサイトにセキュリティ情報を掲載し、影響を受ける製品リストと修正済みのBIOS(UEFIファームウェア)バージョンを公開した。ユーザーは、自身のマザーボードのモデル名を確認し、最新のBIOSにアップデートすることが強く推奨される。

しかし、ここにもう一つの深刻な問題が横たわる。それは、多くの影響を受ける製品がすでに「EOL(End-of-Life)」、つまり生産・サポートが終了しているという事実だ。EOL製品に対しては、メーカーがセキュリティパッチを提供することは稀であり、これらのデバイスは「無期限に脆弱なまま」放置される可能性が高い。これは、中古市場でPCを購入するユーザーや、古いハードウェアを使い続ける企業にとって、看過できないリスクとなる。

「OSレベルの防御は無力」専門家が鳴らす警鐘

この事態に対し、セキュリティ専門家は強い懸念を示している。Cobalt社のCTO、Gunter Ollmann氏はHelp Net Securityに対し、「ファームウェアの脆弱性は悪夢のシナリオだ。OSレベルの防御を事実上すべて回避する、永続的で検知困難な制御を可能にする」と語り、セキュリティテストの対象をファームウェア層まで拡大する必要性を訴えた。

彼の言葉は、現代のセキュリティ対策の盲点を的確に突いている。我々はこれまで、OS、アプリケーション、ネットワークといった層に防御を集中させてきた。しかし、その土台であるファームウェアが汚染されれば、その上に築かれたすべてのセキュリティ対策は砂上の楼閣と化す。

この事件は、セキュリティを考える上で、「どこまで信頼できるのか」という問いの始点を、OSからさらに深いファームウェアの層まで引き下げなければならないという、認識の転換を迫る物だ。

見えない脅威と向き合うために

GIGABYTE製マザーボードのUEFI脆弱性は、単なる技術的なインシデントではない。それは、複雑化し、不透明になったテクノロジー・サプライチェーンがもたらす必然的な帰結であり、我々のデジタル社会の根幹を支える信頼の基盤が、いかに脆いものであるかを物語っている。

個々のユーザーは、自身のPCのBIOSアップデートを怠らないという基本的な対策を徹底する必要がある。企業の情報システム部門は、資産管理の対象にファームウェアのバージョンを含め、EOL製品のリスクを再評価すべきだろう。

そして、業界全体としては、ファームウェア・サプライチェーンの透明性を高め、脆弱性情報の共有とパッチ適用のための、より迅速で実効性のある仕組みを構築することが急務である。上流ベンダーによる非公開の通知だけでなく、業界標準として、よりオープンな情報開示と連携が求められる。

我々の足元に潜む「見えないゴースト」の存在が明らかになった今、この問題を対岸の火事と見過ごすことは、もはや許されない。

Sources