【特別企画】サイバー攻撃の標的はOS以下のレイヤーへ - 求められる「信頼たる端末」

「サイバー攻撃」のニュースが日々世間を騒がせている。国家が支援する攻撃グループや、巨額な資金のもと活動する犯罪グループが暗躍しており、非常に高い技術力のもと、手の込んだ巧妙な手口が次々と明らかとなっている。

守る側も指をくわえて黙って見ているわけではない。端末内を監視して悪意ある挙動を検知、修復する「EDR」、毎回認証認可をおこなうことで不正な利用を排除する「ゼロトラスト」など、より高度な対策が登場し、導入する企業も増えている。

しかしこうした先進的な対策を進める前に、重要な視点が抜け落ちていることはないだろうか。

「EDR」や「ゼロトラスト」など先進的な対策も、稼働する機器そのものが悪意あるプログラムで事前に汚染されていれば意味がない。実力を発揮するには、「信頼できる機器」上で動作していることが大前提となる。

ファームウェアなど、OSより低いレイヤーが侵害された場合、汚染を除去するのは難しい。「端末を初期化すれば良い」との声も聞こえてきそうだが、端末のストレージを初期化し、OSやアプリケーションを再インストールしたところで、ファームウェアが侵害されたままで安全性を担保することは困難だ。

本記事では、脅威の動向、端末における信頼性確保の重要性などを紹介しつつ、対策に力を入れはじめた業界の動向を取り上げる。一部の先進企業ではすでに対策が進められており、標準化にも貢献した日本HPの取り組みなども紹介したい。

ハードウェアやOS以下が侵害されたときの深刻なリスク

パソコンのさまざまな機能はOSやアプリケーションによってもたらされるが、これらを動作させるため、システム全体の起動を制御する重要な土台となるのが、ハードウェアであり、「BIOS」「UEFI」といったファームウェアだ。

これら土台を侵害してしまえば、攻撃者はその端末に対してさまざまな悪事を働くことが可能となる。しかもその悪事は、ファームウェアより上のレイヤーで動作する「OS」や「アプリケーション」から認識することは難しい。先進的なセキュリティソリューションであっても同様だ。

それゆえに、ファームウェアが侵害されていないクリーンな状態は、セキュリティソリューションを導入するうえで大前提となる。ファームウェアレベルで汚染された環境では、端末の挙動を監視しても「まったく意味をなさない」とまでは言わないが、その有効性は大きく損なわれてしまう可能性が高い。

正規の「OS」が動作していると見せかけて悪意あるコードを挿入されることはもちろん、悪意ある活動の検知を阻害される、ログを改ざんされるなど虚偽の情報をつかまされれば、むしろ「安全を確保している」との思い込みを逆手に取られ、長期にわたり侵害状態が続いてしまうことにもなりかねない。

（提供：日本HP - 2025/05/28 ）ツイート