セキュリティ研究者は、マルウェアがコンピューターの基礎ファームウェア内で完全に動作できるようにする「シェードBIOS」と呼ばれる新しい手法を発表し、従来のセキュリティ対策を無力にしました。 FFRIセキュリティのカズキは、Black Hat 2025でメソッドを詳述し、オペレーティングシステム(OS)を完全にバイパスすることにより、前例のない回避能力を強調します。
シェードBIOSは、rootkitsやbootkitsなどの従来のuefi(統合された拡張可能なファームウェアインターフェイス)の脅威と基本的に異なります。 UEFIマルウェアは、OSがロードされる前にファームウェアの永続性を活用して実行しますが、最終的にはハードウェアと相互作用して悪意のあるタスクを実行するためにOSに依存します。シェードBIOSはこの依存関係を排除し、OSブーツの後でもBIOS環境内で攻撃者が悪意のあるコードを独占的に実行できるようにします。
歴史的に、UEFI MalwareのOS Relianceは脆弱性を生み出します。攻撃者は、スタートアップ中に特定のセキュリティプログラムを予測および無効にする必要があります。これは、カーネルドライバーとメカニズムの知識を必要とする複雑なタスクです。 Matsuoは、Windowsのイベントトレース(ETW)のような重要なWindows防御をバイパスする既存のUEFIマルウェアはないと指摘しています。さらに、すべてのセキュリティツールを無効にすると、ユーザーに警告する可能性があります。シェードBIOSは、独立して動作することによりこれらの問題を回避し、OSレベルの保護には悪意のある活動を見えません。
技術的な実行
ブレークスルーには、起動中にOSローダーを欺くことが含まれます。コントロールがBIOSからOSに移行すると、UEFIは通常、ファームウェアリソースを破壊します。 Shade Biosは、UEFIメモリマップを変更することにより、これを覆します。これは、メモリの割り当てを詳述するコンポーネントです。 「メモリマップを変更することでOSローダーを欺いています」と松田は説明します。操作されたマップは、ローダーに、OSランタイム中はバイオス領域がアクティブなままでなければならないと確信し、メモリにBIOS機能を保持します。
これにより、標準のOS APIの代わりにBIOS固有のプロトコル(例えば、ディスクI/O)を使用してマルウェアが動作する「ミニチュアOS」に似た並行した隠された環境が作成されます。マルウェアはCで記述でき、ファイル作成などのタスクのBIOSドライバーを活用できます。 Matsuoは、このアプローチは、従来のUEFIブートキットを開発するよりも潜在的に簡単であると主張しています。「バイナリ操作、フック、またはパターンマッチングは必要ありません。」
シェードバイオスは、UEFIの標準化により普遍的な脅威をもたらします。 ITのために開発されたマルウェアは、PC、サーバー、マザーボードで同じように機能し、ハードウェア固有の適応を必要としません。セキュリティソフトウェアはBIOSランタイム環境をスキャンできないため、検出は非常に困難です。唯一の防御は、妥協の事前の疑いがなくても、疑わしいコードを特定するための積極的で予定外のメモリダンプと分析です。
Matsuoは、検出を合理化するために、Black Hat 2025のオープンソースツール「Kraftdinner」を使用してメモリ分析を実証します。しかし、彼は、シェードバイオス攻撃は主に高セキュリティのコンテキストに関連するニッチのままであることを強調しています。「UEFIの脅威は、国家安全保障以外ではあまり人気がありません。」この手法は、PC調達検査中の政府機関にとって、ファームウェアバックドアを発見するための最も適切です。
この研究は、攻撃能力の重要な進化(OSから完全に離婚したマルウェアの持続性)を強調しています。
Source: 新しいマルウェアはPCの脳に隠れています
