Defender for Endpoint での UEFI スキャン

2025-05-01

最近では、Microsoft Defender for Endpoint新しい Unified Extensible Firmware Interface (UEFI) スキャナーを使用して、保護機能をファームウェアレベルに拡張しました。

最新のセキュリティソリューションにより、オペレーティングシステムの永続化と検出回避が困難になったので、ハードウェアとファームウェアレベルの攻撃は近年増加し続けています。攻撃者はブートフローを侵害して、検出が困難な低レベルのマルウェアの動作を実現し、organizationのセキュリティ体制に重大なリスクを与えます。

Windows Defender System Guardは、ハイパーバイザーレベルの構成証明やセキュリティで保護された起動 (動的信頼ルート (DRTM) とも呼ばれる) などのハードウェアでサポートされるセキュリティ機能を通じて、セキュリティで保護されたブートの保証を提供することで、ファームウェア攻撃から防御するのに役立ちます。これは、セキュリティで保護されたコア PC で既定で有効になっています。 Defender for Endpoint の新しい UEFI スキャンエンジンは、ファームウェアスキャンを広く利用できるようにすることで、これらの保護を強化します。

UEFI スキャナーは、Windows 10以降のバージョンの組み込みウイルス対策ソリューションの新しいコンポーネントであり、Defender for Endpoint にファームウェアファイルシステム内をスキャンしてセキュリティ評価を実行する独自の機能を提供します。パートナーチップセットメーカーの分析情報を統合し、Defender for Endpoint によって提供される包括的なエンドポイント保護をさらに強化します。

前提条件

Microsoft Defenderウイルス対策をプライマリウイルス対策製品として、アクティブモードで使用します。 UEFI スキャナーはブロックモードの EDR では機能しません (パッシブモードでは Microsoft Defender ウイルス対策)。
リアルタイム保護が有効になっている
動作の監視が有効になっている
デバイスが現在のMicrosoft Defenderウイルス対策プラットフォームバージョンを実行している
デバイスは、次のいずれかのバージョンの Windows を実行しています。
- クライアントデバイスでのWindows 10、Windows 11以降
- Windows Server 2019、Windows Server 2022 以降のバージョン
- 統合された Defender for Endpoint クライアントがインストールされている R2 とWindows Server 2016をWindows Server 2012する

UEFI スキャナーとは

統合拡張ファームウェアインターフェイス (UEFI) は、従来の BIOS に代わるものです。チップセットが正しく構成されていて (UEFI & チップセット構成自体)、セキュアブートが有効になっている場合、ファームウェアは合理的に安全です。ハードウェアベースの攻撃を実行するために、攻撃者は脆弱なファームウェアまたは正しく構成されていないマシンを悪用してルートキットをデプロイします。これにより、攻撃者はマシンに足がかりを得ることができます。

予想されるブートフローと侵害されたブートフローを示すスクリーンショット

図に示すように、正しく構成されているデバイスの場合、電源投入から OS の初期化までのブートパスは信頼できます。セキュアブートが無効になっている場合、またはマザーボードチップセットが正しく構成されていない場合、攻撃者はファームウェアで署名されていない、または改ざんされた UEFI ドライバーの内容を変更できます。これにより、攻撃者がデバイスの制御を引き継ぎ、オペレーティングシステムのカーネルまたはウイルス対策を奪ってファームウェアのセキュリティを再構成する機能を提供する可能性があります。

UEFI プラットフォームの初期化

シリアル周辺機器インターフェイス (SPI) フラッシュには、重要な情報が格納されます。その構造は OEM の設計に依存し、一般にプロセッサマイクロコード更新プログラム、Intel Management Engine (ME)、ブートイメージ (UEFI 実行可能ファイル) が含まれます。コンピューターを実行すると、プロセッサは UEFI の SEC フェーズ中に SPI フラッシュからファームウェアコードを実行します。メモリの代わりに、フラッシュはx86リセットベクトル(物理アドレス0xFFFF_FFF0)に永続的にマップされます。ただし、攻撃者は、ソフトウェアによってベクターをリセットするためのメモリアクセスを妨げる可能性があります。これを行うには、誤って構成されたデバイスで BIOS コントロールレジスタを再プログラミングし、セキュリティソフトウェアがブート中に実行される内容を正確に判断することがさらに困難になります。

インプラントがデプロイされると、検出するのが難しくなります。このレベルの脅威をキャッチするために、OS レベルのセキュリティソリューションはファームウェアからの情報に依存しますが、信頼のチェーンは弱体化しています。

技術的には、ファームウェアは格納されておらず、メインメモリからアクセスできません。他のソフトウェアとは対照的に、SPI フラッシュストレージに格納されるため、新しい UEFI スキャナーはハードウェア製造元が提供するハードウェアプロトコルに従う必要があります。互換性があり、すべてのプラットフォームで最新の状態にするには、プロトコルの違いを考慮する必要があります。

UEFI スキャナーの内部の概要を示すスクリーンショット

UEFI スキャナーは、ハードウェアフラッシュストレージから取得したファームウェアに対して動的分析を実行します。ファームウェアを取得することで、スキャナーはファームウェアを解析し、Defender for Endpoint が実行時にファームウェアコンテンツを検査できるようにします。

UEFI スキャナーを有効にする方法

新しい UEFI スキャナーは、Microsoft Defenderウイルス対策のコンポーネントであるため、プライマリ AV である限り、UEFI ファームウェアをスキャンしてアクセスするこの機能が含まれています。

UEFI スキャナーの管理方法

これは、Microsoft Defenderウイルス対策の組み込み機能です。そのため、追加の管理はありません。

Defender for Endpoint の UEFI スキャナーのしくみ

新しい UEFI スキャナーは、マザーボードチップセットと対話することで、実行時にファームウェアファイルシステムを読み取ります。脅威を検出するために、次のような複数の新しいソリューションコンポーネントを使用して動的分析を実行します。

シリアル周辺機器インターフェイス (SPI) を介してファームウェアに到達する UEFI 反ルートキット
ファームウェア内のコンテンツを分析するフルファイルシステムスキャナー
エクスプロイトと悪意のある動作を識別する検出エンジン

ファームウェアスキャンは、不審なドライバーの読み込みなどのランタイムイベントや定期的なシステムスキャンによって調整されます。検出は、[保護履歴] の下のWindows セキュリティで報告されます。

NVRAM の悪意のあるコンテンツのWindows セキュリティ通知を示すスクリーンショット

Defender for Endpoint のお客様は、Microsoft Defender ポータルでアラートとして発生した検出を確認できるため、セキュリティ運用チームは、環境のファームウェアレベルでファームウェア攻撃や疑わしいアクティビティを調査して対応できます。

悪意のあるコードを検出する Defender for Endpoint アラートを示すスクリーンショット

SPI フラッシュで未知の脅威を検出するために、UEFI スキャナーからの信号を分析して、異常と実行された場所を特定します。異常は、調査のためにMicrosoft Defender ポータルに報告されます。

UEFI のマルウェアインプラントに対する Defender for Endpoint アラートを示すスクリーンショット

次に示すように、これらのイベントも高度なハンティングを通じて照会できます。

let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)

低レベルの保護による包括的なセキュリティレベルアップ

新しい UEFI スキャナーは、信頼の強いハードウェアルートから OS レベルのクラウドを利用したセキュリティソリューションまで、チップからクラウドへのセキュリティを提供するために統合される豊富な Microsoft テクノロジのセットに追加されます。

セキュア起動やデバイス構成証明などのハードウェアによってサポートされるセキュリティ機能は、ファームウェア攻撃を阻止するのに役立ちます。これらの機能は、セキュリティで保護されたコア PC で既定で有効になっており、Defender for Endpoint とシームレスに統合され、包括的なエンドポイント保護を提供します。

UEFI スキャナーを使用すると、 Defender for Endpoint は、攻撃者が取り組みにますます集中しているファームウェアレベルで、脅威をより詳細に可視化します。セキュリティ運用チームは、この新しいレベルの可視性と、Defender for Endpoint の豊富な検出と対応機能を使用して、このような高度な攻撃を調査して含めることができます。

このレベルの可視性は、Microsoft Defender ポータルでも使用できます。これにより、エンドポイント、ID、電子メール、アプリ間の保護を調整する、より広範なクロスドメイン防御が実現されます。

次の方法で共有