アンチウイルスソフトの死角「ファームウェア」を検査する機能が実装
Googleの提供するセキュリティサービス「VirusTotal」に、ファームウェアと呼ばれるPC起動時にハードウェアとOSとを橋渡しする低水準コードを検査するツールが導入されました。ファームウェアはマルウェアの隠し場所に適しており、アメリカ国家安全保障局などの上級ハッカーはここをターゲットにしてきた場所でもあります。
VirusTotalの開発に携わるITセキュリティエンジニアのFrancisco Santos氏は水曜日にブログにアップした記事の中で、アンチウイルスプログラムが「ファームウェアのレベルで検査を行わないからセキュリティ侵害がまかり通るのだ」と話しており、この記事の中でファームウェアに組み込まれたマルウェアは簡単には消去できず、再起動やOSの初期化も効果がないことがあることにも触れています。
VirusTotalのスキャニングサービスでは、アンチウイルスソフト開発企業は自社製品では検出されなかったものの自社製品以外のソフトでは検出されたファイルのコピーを受け取ることができます。また、他のソフトで検出されたものが本当にマルウェアか、それとも誤検知かを確認するのにも使えます。
ファームウェア内のファイルを根こそぎ検査
今回VirusTotalに導入された機能では、ファームウェアを「正常」か「疑いあり」かにふるい分けます。同時にファームウェアに付属された証明書を参照してその中にも実行可能なファイルがないかを検査します。
Santos氏によるとファームウェア内の携帯機器実行ファイルを抽出することもできるそうで(今までこのファイルが原因で有害な事象が起こったことが多々あります)「抽出された実行可能ファイルは個別にVirusTotalに送信されます。ユーザーは各ファイルが危険なものかのレポートをBIOSイメージで受け取ることができます」とのことです。
VirusTotalは無料のオンラインサービス 一度ファームウェアも含めて検査を
携帯機器実行ファイルはファームウェアよりもWindows上で動くものもあり、悪意あるファイルと正常なファイルの両方の可能性があります。正常なファイルの例としては、コンピュータが初期化されても位置情報がわかるようにする盗難防止機能などが挙げられます。
現在ではユーザー個人が自分の使っているデバイスのファームウェアを抽出してVirusTotalに送信、検査することができます。そして検査したデバイスの母数が大きくなればそれだけ精度も向上していくことになります。悪意あるファイルは知らないうちに入り込むもの。普段のアンチウイルスソフトだけではなく、たまにはファームウェアレベルで検査してみてはいかがでしょうか。