2012 年に、新しい形式のブーツ キットがデモンストレーションされました。このようなブートローダーの 1 つは、BIOS やマスター ブート レコードを通じてマシンをターゲットにするのではなく、ブート プロセスを開始するファームウェア パッケージである EFI に感染することで Mac OS X システムを攻撃しました。 2 番目のプリミティブ ブートキットは、UEFI の前身である UEFI ブートキットにパッチを適用することで、Windows 8 マシンをターゲットにします。 2013 年頃、ある研究者が Dreamboat と呼ばれる Windows 用のより高度な UEFI ブート キットをデモンストレーションしました。
UEFI をターゲットとした実際の攻撃の最初の既知のケースは、2018 年に LoJax と呼ばれるマルウェアの発見とともに発生しました。 LoJack として知られる正規の盗難防止ソフトウェアのリメイクで、クレムリンが支援するハッキング グループによって作成され、Sednit、Fancy Bear、APT 28 などの名前で追跡されています。このマルウェアは、UEFI ファームウェア フラッシュ メモリの一部を読み取り、上書きできるマルウェア ツールを使用してリモートからインストールされました。
2020 年、研究者たちは、UEFI を攻撃する現実世界のマルウェアの 2 番目の既知の事例を発見しました。感染したデバイスが再起動されるたびに、その UEFI は Windows スタートアップ フォルダーに悪意のあるファイルがあるかどうかを確認し、存在しない場合はそのファイルをインストールします。このマルウェアを発見したセキュリティ ベンダー Kaspersky の研究者は、これを「MosaicRegressor」と名付けました。研究者たちは、影響を受けた UEFI がどのようにして感染したのかをまだ特定していません。それ以来、いくつかの新しい UEFI ブート キットが発見されました。これらは ESpecter、FinSpy、MoonBounce などの名前で追跡されています。
必要は発明の母
この脅威に対応するため、Microsoft はデバイス メーカーと協力してセキュア ブートを開発しました。セキュア ブートは、暗号化署名を使用して、ブート中にロードされるすべてのソフトウェアがコンピュータ メーカーによって信頼されることを保証する業界標準です。セキュア ブートは、攻撃者が意図したブート ファームウェアを悪意のあるファームウェアに置き換えることを防ぐ信頼のチェーンを作成するように設計されています。ブート チェーン内の 1 つのリンクが認識されない場合、セキュア ブートによりデバイスの電源がオンになりません。
