【セキュリティ】ハッカーが2分以内にマルウェアを埋め込めるBIOSの脆弱性が発見される@Next2ch

Basic Input/Output Systemの略であるBIOS(バイオス)とは
マザーボード上のROMに搭載されているプログラムのことで
OSが起動する前にキーボード、マウス、CPUなどの管理や制御を行っています。
そのBIOSを2分以下でハッキング可能にする脆弱性が、セキュリティ調査員により明らかになりました。

Noobs can pwn world's most popular BIOSes in two minutes • The Register
http://www.theregister.co.uk/2015/03/19/cansecwest_talk_bioses_hack/

Hacking BIOS Chips Isn't Just the NSA's Domain Anymore | WIRED
http://www.wired.com/2015/03/researchers-uncover-way-hack-bios-undermine-secure-operating-systems/

BIOSはNSAのような高度なハッキング技術や施設を有する機関でないとハッキングできない代物でしたが
BIOSのセキュリティについて調査を行っている機関LegbaCoreの研究員である
Xeno Kovah氏とCorey Kallenberg氏によると、今回発見された脆弱性をつけば
さほど技術を持ってなくても、ハッキングに関するある程度の知識だけで誰でも攻撃可能になってしまうとのことです。

BIOSはPCを起動してOSをロードするのに必要なプログラムで
通常のアンチウイルスソフトでスキャンすること自体があまりなく
一度マルウェアに感染してしまうと、ユーザーが発見することは難しいそうです。
しかも、やっかいなのは、BIOSがPCの起動前に作動するプログラムのため
OSを初期化してもマルウェアが削除されないことにあります。

Kovah氏とKallenberg氏は自分たちの調査を実証するべく
2015年3月18日から20日にわたって開催されたITセキュリティのイベント「CanSecWest 2015」で
BIOSの危険性を訴えるプレゼンテーションを実施し
その中でAcerやMSI、HP、ASUS、GigabyteのPCに対して
BIOSの脆弱性を悪用した攻撃が可能であることを実演しました。
実演では、各PCのBIOSをマルウェアに感染させ
驚くべきことに攻撃にかかった時間は約1時間でした。

ハッカーはフィッシングメールを介して攻撃コードを送り込むか
物理的にシステムにアクセスする、という2つの攻撃パターンを使って
マルウェアを送り込むと予想されています。

もし、ハッカーがユーザーのPCのシステムにアクセスできるようなら、
マルウェアを送り込むのにかかる時間は2分以下とのこと。
Kovah氏らが発見した脆弱性は、世界中にあるほとんどのPCに搭載されているBIOSに存在します。

一般ユーザーのほとんどはBIOSの存在さえ知らないため
脆弱性を修正するためのパッチが配布されたとしても
配布された修正パッチが当てられる可能性は低くなってしまうことが、さらに問題を複雑にしているようです。

以下ソース
http://gigazine.net/news/20150330-bios-hack/

EFIは大丈夫なの？

たぶんレガシーBIOSが標的なんだろう

ちょっと安心した

そもそもマルウェアを埋め込むだけの空き容量がBIOSになるんだっけ？

ほとんどないはず
仮にBIOS改変させたとしてもたいしたことはできないと予想

>>7
ですよね
たしかいっぱいいっぱいだったと思ったけど
やはりそうだったんですね

対策は？

日付変えられたらファビョッちゃうぞｗｗｗ

一般ユーザーはどーしたらいいの？

ギャラクティカみたくネットワークコンピューティングを拒否した者だけがこの先生きのこる