GIGABYTE製マザーボードのファームウェア更新機能に中間者攻撃リスク　数百モデルに影響：GIGABYTEはBIOS更新プログラムを公開へ

• 段階1：マザーボードのUEFIファームウェアがシステムの起動プロセスの一部として、ファームウェア内に埋め込まれたWindows実行ファイルをディスクに書き込む
• 段階2：このWindows実行ファイルがWindowsサービスとして実行され、安全でない方法で追加のペイロードをダウンロードし、実行する

　Eclypsiumは、アプリセンター機能の実装が、サイバー攻撃者に悪用されるComputraceバックドア（LoJack DoubleAgentとも呼ばれる）のようなOEMバックドアの機能や「Sednit LoJax」「MosaicRegressor」「Vector-EDK」などのファームウェアインプラントで使われているものと同様だと指摘している。

MITM攻撃のリスク

　Eclypsiumによると、上記の段階2でWindows実行ファイルは、設定に応じて以下のいずれかの場所から、実行可能なペイロードをダウンロードして実行する。

• http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
• https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
• https://software-nas/Swhttp/LiveUpdate4

　Eclypsiumは3つのWebサイトについて、次のように問題点を指摘している。

• 1つ目のWebサイトはHTTPであり、中間者攻撃（MITM攻撃）で容易に侵害されるため、特権コードの更新には決して使用してはならない
• HTTPSが有効なオプションを使用する場合でも、リモートサーバ証明書の検証が正しく実装されておらず、MITM攻撃を受ける可能性がある
• いずれのWebサイトも、侵害されたルーター、同じネットワークセグメント上の侵害されたデバイス、DNSポイズニング、または他のネットワーク操作を介したMITM攻撃を受ける可能性がある
• 3つ目のWebサイトは完全修飾ドメイン名ではないことから、ローカルサブネット上の攻撃者が、DNSスプーフィングを行わなくても、インプラントをだまして自分のシステムに接続させることができる可能性がある

　さらにEclypsiumは、実行ファイルに対する暗号化デジタル署名などを用いた検証が、ファームウェアに実装されていないことも指摘した。攻撃者がこの点を突いて、MITM攻撃や侵害されたITインフラを用いて、脆弱（ぜいじゃく）なシステムを持続的に攻撃する恐れがあると指摘している。

Eclypsiumが公開した、中間者攻撃リスクのあるGIGABYTE製マザーボードモデルの一部（提供：Eclypsium）（PDF）

GIGABYTEはBIOS更新プログラムを配信へ

　GIGABYTEは6月1日、Intel 700/600シリーズとAMD 500/400シリーズのチップセットを搭載したマザーボード用に、同問題に対処したβ版BIOSを公開したことを明らかにした。Intel 500/400およびAMD 600シリーズチップセット搭載マザーボード用のBIOS更新プログラムも、今後公開予定としている。