OS よりも深部へ:CPU を標的とするランサムウェア
2025 年 7 月 23 日 Ryan Estes 著
ランサムウェアを警戒するということは、もはや当然の話です。ランサムウェアはエンドポイントに甚大な被害をもたらし、効果的な復旧プロセスを持っていなければ、恒久的な損傷を引き起こすこともあります。多くのランサムウェア攻撃では、シャドウコピーやその他の復旧手段すらも削除しようとするため、復旧手段の冗長化も不可欠です。しかし、事態はマイクロコード・ランサムウェアの登場によってさらに深刻になります。もし CPU のわずかなメモリ内で動作するマイクロコードが感染すれば、再起動後も感染が残るため、復旧ははるかに困難になります。これは従来は現実的でないと思われていた脅威でした。
署名されていないパッチを CPU に直接インストールして UEFI ファームウェアを改変することが可能であることを最近実証した研究者がいます。この技術を使えば、従来のウイルス対策ソリューションや OS の防御機能を回避することが可能です。現時点で、実環境では CPU レベルのランサムウェアは確認されていませんが、十分可能性がある脅威のため、その仕組みを理解し、対抗手段を検討することが重要です。
マイクロコードでのランサムウェア攻撃の仕組み
数週間前に研究者が行い発表した実証実験(PoC)において、プロセッサのマイクロコード内で直接ランサムウェア攻撃を実行することに成功しました。これは、マルウェアの進化において大きな転換点となりうる、ほとんど手つかずの攻撃ベクトルの存在を明らかにするものでした。この攻撃は、AMD の Zen プロセッサ(第 1〜第 5 世代)に存在する脆弱性を悪用したもので、署名の検証なしにマイクロコードを読み込めるという問題点を突いています。署名検証は、OS がブートローダなど重要コンポーネントの不正改変を検出するための主要な対策のひとつです。マイクロコードは CPU の基本的な動作を制御しているため、これが書き換えられるとシステム全体の挙動に深刻な影響を与えかねません。
この脆弱性は、Google が AMD の署名検証アルゴリズムに欠陥を発見した際に指摘されたもので、実際のテストでその影響範囲が示されました。テストでは、CPU の乱数生成機能を操作するようマイクロコードを改変し、その結果、常に「4」という数字が返されるようになりました。単純な例に見えますが、チップ内部の根幹的な処理が操作可能であることを示しており、現実の攻撃では暗号鍵の生成や電子署名の検証、システム整合性の確認などに干渉を行える可能性があります。
現時点では、マイクロコードを悪用した攻撃は研究環境の中のみにとどまっていますが、同時にこの発見は、今後の防御戦略において考慮すべき新たな攻撃ベクトルを示しています。では、もしこれが現実の攻撃として現れた場合、どのように検出できるのか、という問題があります。まず重要なのは、異常なふるまいの分析とインフラストラクチャ全体にわたるイベントの相関分析です。エンドポイント、ネットワーク、サーバ、クラウド環境など、システムのさまざまな層から情報を統合できるツールを導入すれば、従来の仕組みだと見逃される可能性のあるアクティビティパターンを検知できます。
拡張検知・レスポンス(XDR)アプローチは、この点で有効な能力を提供します。高度なアクティビティ分析、ネットワーク内での水平移動の監視、不審なアクティビティへの自動対応を組み合わせることで、ランサムウェア攻撃に関連する兆候を特定できます。これは、ハードウェアレベルの脅威に対処するために不可欠な、多層防御戦略を強化します。
CPU レベルのマルウェアが登場しうるという事実は、ランサムウェア攻撃の新たな側面です。進化し続けるサイバー脅威の中で、検知・防止・レスポンス能力を継続的に強化していくことは、今後ますます重要になるでしょう。
最後に、この投稿の基になった研究者の分析から、対策のヒントとなる抜粋を以下に示します。彼の分析は非常に的確であり、その要点が反映されています。
「2025 年になってもランサムウェアについて議論しているようではダメですね —— その責任はベンダ、エンドユーザ、サイバー保険業者、全員にあります」
と研究者の Beek 氏は The Register 誌に語りました。
「12 年経っても、まだこの戦いを続けているんですよ。AIエージェントや機械学習など、技術的進化はたくさん目にしますし、声高に叫ばれています。でも正直に言って、基礎の部分はまだ修正されていません」
ハッカーが侵入する方法は「ロケット科学ではない」と彼は続けます。
「私が多くのランサムウェア侵害を見る中で目にしているのは、深刻な脆弱性、弱いパスワード、多要素認証を導入していない、または間違って導入されているなどといった事例です。これには本当にがっかりします」
では、どうすればよいのでしょうか?
Beek 氏は
「サイバーセキュリティの基本に立ち返ること」を呼びかけています。「我々は業界としてイノベーションに多くの時間と資金を費やしています。しかし同時に、サイバーハイジーン(基本的な衛生管理)は一向に改善していないのです」