Monthly Research 「プラットフォームセキュリティ評価フレームワーク”CHIPSEC”について」
脆弱性はOSやその上で動作するアプリケーションのみでなく、マザーボードなどのハードウェアに付随するBIOS/UEFI等にも存在します。BIOS/UEFIに関する脆弱性を利用したマルウェア感染の脅威がセキュリティカンファレンスで発表されています。今後、こうした脅威が実際に増加する恐れがあるため、BIOS/UEFIについても脆弱性対策が必要と考えられます。
今回のMonthly ResearchはBIOS/UEFIに注目し、これらに存在する脅威を検査することができる数少ないオープンソースのツールであるCHIPSECについて利用方法と検証した結果と共にご紹介します。
CHIPSECについて
CHIPSECとはIntelが開発・提供しているセキュリティ研究者向けのハードウェアセキュリティ評価ツールです。このツールを利用すると、各種ハードウェアやBIOS/UEFI等、ファームウェアの脆弱な設定などを検出することが可能になります。
ハードウェアやBIOS/UEFIの設定に問題があると、マルウェアによって勝手に設定が変更される危険があり、設定が変更された場合は最悪の結果PCが起動しなくなるなどの被害が予想されます。
また、ハードウェアやBIOS/UEFIに対する問題はPCをリカバリしても解決しない場合もあるので注意が必要です。
CHIPSECがサポートしているOSはWindowsとLinuxで、UEFI Shellによる利用もサポートしています。CHIPSECはPythonで記述されているスクリプトのため、既存の検査ツール等に組み込むといった使い方なども想定できます。
検査項目について
CHIPSECは検査項目がそれぞれモジュール化されており、ハードウェアやBIOS/UEFIに対する様々な検査項目が提供されています。検査項目の一部を抜粋するとSPI Controller LockingやBIOS Keyboard Buffer Sanitization等の検査が行えます。
SPI Controller Lockingは名前の通りSPI Controllerのロック状態を検査するための項目です。もし、Controllerの設定が変更可能であった場合、マルウェア等によって設定が変更される事によってPCの起動に影響が出るといったことが予想されます。
BIOS Keyboard Buffer Sanitizationはキーボードバッファーが残っていないか検査するための項目で、キーボードバッファーが残っていた場合はパスワードの流出などに繋がる恐れがあります。
CHIPSECのインストールについて
CHIPSECをWindowsマシンで利用するための方法を解説します。Windowsで利用するためには、まずPython 2.7系統をインストールする必要があります。
Pythonのインストールが完了したら次のステップとしてPython用の各種パッケージをインストールします。
パッケージのインストールが完了したら次にドライバ署名チェックの無効化を行います。無効化が完了するとCHPSECのドライバをインストールすることが可能になります。
インストールの詳細についてはCHIPSECのマニュアルをご参照ください。
CHIPSECの利用方法について
CHIPSECの利用方法は至って簡単です。検査を行う場合はchipsec_main.pyの引数に実行したい検査項目を指定するだけで検査が開始されます。CHIPSECにはハードウェアセキュリティ検査以外にもハードウェアやBIOS/UEFIに対する調査ツールが提供されています。
調査ツールはchipsec_util.pyに記述されており、SPI ROMダンプなどを行うことができます。
検査結果の確認
CHPSECの検査を実行すると、サマリーに検査結果が表示されます。検査の結果、ハードウェアやBIOS/UEFIに問題がない場合は緑文字でPASSEDと表示され検査が完了します。
まとめ
Windows 10 IoT Core は無料で配布され Raspberry Pi 等にインストールすることもできることから、Raspbian同様にホビー用途で利用するユーザーが今後増える事を踏まえ、どのような脅威分析や調査結果が発表されるのか注目です。
CHPSECを実際に調査し、利用した感想として、第一に検査項目の多さが挙げられます。ハードウェアやBIOS等に対する脅威はソフトウェアなどと比べ決して多くないですが、マルウェアなどによってBIOS/UEFIの設定が変更されるとPCが起動しなくなるなど、ハードウェアやBIOS/UEFIに起因する問題は比較的重大な被害になりやすいのが現状です。
そういった中で、検査できる項目が多いと、多角的にハードウェアを評価することができ、研究者やハードウェア開発者はより多くの情報を得ることができるので調査や開発を行う際の貴重な情報源になると思われます。
ハードウェアセキュリティの脅威は中々気付きにくいものでありますが、CHIPSECのような検査ツールがあるとハードウェアやBIOS/UEFIに問題がある場合、定量的に判断することができるので積極的に利用していくことを推奨します。
注意 CHIPSECはセキュリティテスト用のツールです。利用する際はご自身の責任で利用してください。
Monthly Researchのダウンロードはこちら(日本語 / English)
関連記事
Windows 10 IoT Core に対する脅威分析と実施するべきセキュリティ対策
Monthly Research 「Mac OS X を狙う新たなランサムウェアの登場」
Monthly Research 「不正な開発環境によるマルウェアの拡散」
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。
FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。