UEFIコンポーネントに潜むマルウェア検出に機械学習を利用する

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「機械学習を利用し､UEFIコンポーネントに潜む脅威を検出する方法とは?」を再編集したものです。

ここ数年、UEFI (Unified Extensible Firmware Interface) に関連するセキュリティが注目を集めている。しかし、UEFIはさまざまな制約もあるため、過去にこれを悪用したマルウェアはほとんど検出されてこなかった。最初のUEFIルートキット(LoJaxとして知られる) が発見されたことで、ESETでは膨大なUEFIの状況を検索し、新たなUEFIの脅威を確実に発見できるシステムの構築を開始するに至った。

ESETは当初､自らが所有するUEFIスキャナーを用いて収集したテレメトリデータ（遠隔的に取得したデータ）を活用し、UEFI実行ファイルのための特別な処理用パイプラインを考案した。これは機械学習を利用して､受信したサンプルの中から異常を検出するものである。このシステムは疑わしいUEFI実行ファイルを特定する強力な機能の他に、UEFIの状況をリアルタイムに監視できる。サンプルをすべて手動で解析しなければならない場合と比較すると、実に解析者の作業負荷を最大90%も低減することが可能だ。

この処理用パイプラインでUEFIの脅威を探索する中で、興味深いUEFI コンポーネントがいくつか発見された。これらは、UEFIファームウェアに潜むバックドアとOSに付随するパーシステンスモジュール*1に関連するものと､大きくふたつに分類できる｡中でも､一番注目を集めたのが｢ASUSバックドア｣だ。このUEFIのファームウェアに潜むバックドアは数種類のASUSラップトップモデルで発見され、ESETの通知後にASUSTeK Computer Inc.（以下ASUS（エイスース）社）は修正を行っている。

*1 インテルの一部のビデオカードに付随するドライバーのことを指す｡

調査レポート｢A machine-learning method to explore the UEFI landscape｣（英文）をダウンロードする

そもそもUEFIとは?

UEFIはOSとデバイスのファームウェアの間にあるインターフェイスを定めた規格である。また、UEFIファームウェアの主要なAPIである一連の標準サービス (「ブートサービス」と「ランタイムサービス」) を定めたものでもある。UEFIは、BIOSの技術的な制約を解決するために導入され、従来のBIOS (基本的な入出力システム) ファームウェアインターフェイスの後継となるものだ。

UEFIファームウェアは、SPIフラッシュメモリ (システムのマザーボードにはんだ付けされたチップ) に格納されている。そのため、OSの再インストールやハードドライブの交換でも、ファームウェアのコードが影響を受けることはない。UEFIファームウェアはモジュール形式で構築されており、何百とまではいかなくても、何十もの異なる実行ファイル/ドライバーが含まれている。