ランサムウェアの脅威が新たな段階に入ったようだ。Rapid7社のシニアディレクター・スレットアナリティクスであるChristiaan Beek氏が、CPUレベルで動作するランサムウェアの概念実証(PoC)コードを開発したと警告を発した。この新型ランサムウェアは、既存のあらゆる伝統的なセキュリティ技術をバイパスする可能性を秘めており、サイバーセキュリティ業界に激震が走っている。これは、私たちがこれまで経験したことのない、回避不可能なランサムウェア時代の到来を告げるものとなるのだろうか。
悪夢が現実に? CPUを人質に取るランサムウェアの衝撃
「もし私がランサムウェア犯罪者になるなら、CPUランサムウェアで革新を起こすでしょう」。サイバーセキュリティ企業Rapid7のChristiaan Beek氏のこの言葉は、単なる仮定の話では終わらなかった。同氏は、コンピュータの頭脳であるCPUに直接潜り込み、システムを人質に取るランサムウェアのPoCコードを実際に作成したのである。
Beek氏が指摘する最悪のシナリオは、「CPUレベルのランサムウェア、マイクロコードの改ざん。CPUやファームウェアに侵入されてしまえば、現在我々が持つあらゆる伝統的な(セキュリティ)技術をバイパスされてしまうでしょう」というものである。これは、OSやアプリケーションレベルで動作する従来のマルウェア対策ソフトでは検知・駆除が極めて困難になることを意味する。まさに、セキュリティ担当者にとっては悪夢のようなシナリオと言える。
幸いなことに、Beek氏はこのPoCコードを公開するつもりはないと明言している。しかし、その存在自体が、攻撃者たちに新たな攻撃ベクトルを示唆した可能性は否定できない。
発端はAMD Zenチップの脆弱性 – 理論から現実の脅威へ
Beek氏がこのCPUランサムウェアというアイデアに着想を得たのは、AMD社のZenアーキテクチャを採用したCPUに発見された脆弱性がきっかけだった。この脆弱性を悪用すると、高度な技術を持つ攻撃者は、CPUの動作を制御する低レベルのプログラムである「マイクロコード」を不正にロードし、ハードウェアレベルで暗号化を破ったり、CPUの挙動を意のままに改変したりできる可能性があるとされている。
通常、マイクロコードの更新はCPUメーカーのみが行えるものであり、パフォーマンスの改善やセキュリティホールの修正を目的としている。しかし、このAMDチップの脆弱性ケースでは、Googleの研究者が実際にマイクロコードを注入し、CPUにランダムな数値を生成させる際に常に「4」を選ばせることに成功したと報告されている。この事実は、外部からのマイクロコード操作が理論上可能であることを示す。
この脆弱性は当初AMDのZen 1からZen 4世代のCPUで確認されたが、その後の調査で最新のZen 5世代のCPUにも影響が及ぶことが判明している。IntelのRaptor Lake CPUで見られた不安定性の問題と同様に、この問題も新しいマイクロコードによって修正可能とされているが、Beek氏はこの脆弱性の中に、新たな攻撃手法の可能性を見出したのだ。「ファームウェアセキュリティのバックグラウンドを持つ私にとって、『おや、CPUランサムウェアが書けるかもしれないぞ』と思ったのです」と彼は語っている。
ファームウェア攻撃の進化形 – OS再インストールも無意味に
CPUレベルのランサムウェアは、UEFI(Unified Extensible Firmware Interface)やBIOSといった、コンピュータの起動を司るファームウェアを標的とする攻撃の、さらに進化した形態と捉えることができる。UEFIを標的とするブートキット型マルウェアは2018年頃から確認されており、OSの再インストール後も潜伏し続ける厄介な存在である。
さらに懸念されるのは、悪名高いランサムウェアグループ「Conti」が、数年前にファームウェアベースのランサムウェア開発に取り組んでいたことを示唆する内部情報がリークされたことである。The Registerが報じたContiのチャットログには、以下のような衝撃的なやり取りが記録されていた。
- 「UEFI内部に自身をインストールするランサムウェアのPoCに取り組んでいる。これにより、Windowsを再インストールしても暗号化は残存する」
- 「UEFIファームウェアを改変すれば、OSがロードされる前に暗号化を起動できる。これを検知できるアンチウイルスソフトは存在しない」
- 「署名なしアップデートを許可する脆弱なUEFIファームウェアは既に存在する。あとは適切なエクスプロイトだけだ」
- 「我々がBIOSを制御し、身代金が支払われるまでドライブをロックする独自のブートローダーをロードすることを想像してみてほしい」
Beek氏は、現時点では実際に活動しているCPUランサムウェアのサンプルは発見していないとしつつも、「彼らが数年前にそれに取り組んでいたのなら、いずれ十分に賢い者たちが現れて、このようなものを作り始めるだろうと確信できる」と警鐘を鳴らしている。彼自身がPoCを開発できたという事実が、その現実味を裏付けていると言えるだろう。
我々はCPUレベルの脅威にどう備えるべきか? – Beek氏の警鐘
この新たな脅威に対して、私たちはどのように備えるべきなのであろうか。Beek氏は、「2025年にもなって、我々はランサムウェアについて語るべきではない。その責任はベンダー、エンドユーザー、サイバー保険会社など、関係者全員にある」と、業界全体の取り組みの遅れに苛立ちを隠さない。
彼が指摘するのは、多くのランサムウェア被害が、高リスクな脆弱性の放置、脆弱なパスワードの使用、多要素認証の未導入または不適切な導入といった、基本的なサイバーハイジーン(衛生管理)の不備に起因しているという現実である。「攻撃者が侵入する方法は、ロケット科学のような高度なものではないことが多い。我々はイノベーションに多くの時間と資金を費やしていますが、同時にサイバーハイジーンは改善されていません」とBeek氏は嘆く。
専門家が語る今後の展望と対策 – これは対岸の火事ではない
CPUレベルのランサムウェアは、現時点ではまだ概念実証の段階であり、実際に広範な攻撃に使われているわけではない。しかし、その潜在的な破壊力は計り知れず、ひとたび現実の脅威となれば、個人ユーザーから大企業、さらには重要インフラに至るまで、深刻な影響を及ぼす可能性がある。
この脅威に対抗するためには、チップメーカー、OSベンダー、セキュリティ企業、そして私たちユーザー自身が、それぞれの立場で対策を強化していく必要がある。チップメーカーには、設計段階からのセキュリティ組み込み(セキュアバイデザイン)が一層求められるであろう。OSベンダーやセキュリティ企業は、ファームウェアレベルでの異常検知や保護技術の開発を加速させる必要がある。
そして、私たちユーザーにとっては、Beek氏が繰り返し強調するように、基本的なサイバーセキュリティ対策の徹底が、依然として最も重要な防御策となる。強力なパスワードの使用、多要素認証の有効化、ソフトウェアの定期的なアップデート、不審なメールやファイルの開封を避けるといった基本的な対策を怠らないことが、こうした新たな脅威に対する第一歩となるのだ。
世界初のCPUレベルのランサムウェアの登場は、サイバー攻撃がより深く、より巧妙なレベルへと進化し続けていることを明確に示している。既存のセキュリティ対策が無力化されるかもしれないという現実は、私たちに大きな警鐘を鳴らしている。
この見えざる脅威に対し、過度に悲観的になる必要はないが、楽観視することもできない。最新の技術動向に注意を払い、専門家の警告に耳を傾け、そして何よりも、日々の基本的なセキュリティ対策を愚直に実践すること。それこそが、進化し続けるサイバー脅威から自身を守るための、最も確実な道と言えるだろう。
Sources
「ランサムウェアに不安があるなら自分を変えろ。
それが嫌なら、ネットワークから切り離してスタンドアロンで使え」
コンピューターウイルスはどこからともなく表れてコンピューターに感染するのではない。
ユーザーが実行するのだ。(ワームはともかく)
「表れて」ぢゃねぇ、「現れて」だ。